Sudo jogosultságszint-emelés és SSH-kulcsok beállításaHow to configure sudo elevation and SSH keys

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

A System Center-Operations Manager segítségével megadhatja a nem rendszerjogosultságú fiók hitelesítő adatait egy UNIX vagy Linux rendszerű számítógépen a sudo program használatával, amely lehetővé teszi a felhasználók számára, hogy olyan programokat futtassanak, amelyek rendelkeznek egy másik felhasználói fiók biztonsági jogosultságokkal.With System Center - Operations Manager, you can provide credentials for an unprivileged account to be elevated on a UNIX or Linux computer by using the sudo program, which allows users to run programs that have the security privileges of another user account. Az Operations Manager és a célszámítógép közötti kommunikációhoz jelszavak helyett Secure Shell- (SSH-) kulcsokat is használhat.You can also use Secure Shell (SSH) keys instead of a password for secure communication between Operations Manager and the targeted computer.

Ebben a témakörben egy Red Hat Enterprise Linux Server 6 rendszerű számítógép példáján mutatjuk be, hogy hogyan hozhat létre fiókot egy alacsony jogosultsági szinttel rendelkező felhasználónak, hogyan telepítheti a sudo programot, majd hogyan hozhat létre SSH-kulcsot.This topic provides examples for creating an account for a low-privileged user, implementing sudo, and creating an SSH key on a computer that is running Red Hat Enterprise Linux Server 6. Ezek csupán példák, előfordulhat, hogy az Ön környezetében máshogy működnek a dolgok.These are examples only, and might not reflect your environment. Az alábbi példában a jogosultságok teljes körével ellátjuk a felhasználót.The following examples provide a user with access to a full set of privileges.

A UNIX- és Linux-számítógép SSH-kulcsának beszerzéséhez és konfigurálásához a következő szoftvereket kell telepítenie Windows rendszerű számítógépén:To obtain and configure the SSH key from the UNIX and Linux computer, you have to install the following software on your Windows-based computer:

  • Egy fájlátviteli eszköz (például WinSCP), amellyel át lehet vinni a fájlokat a UNIX- vagy Linux-számítógépről a Windows rendszerű számítógépre.A file transfer tool, such as WinSCP, to transfer files from the UNIX or Linux computer to the Windows-based computer.

  • A PuTTY vagy más hasonló program, amellyel parancsokat lehet futtatni a UNIX- vagy Linux-számítógépen.The PuTTY program, or a similar program, to run commands on the UNIX or Linux computer.

  • A PuTTYgen program, amellyel OpenSSH formátumban lehet menteni a titkos SHH-kulcsot a Windows rendszerű számítógépre.The PuTTYgen program to save the private SHH key in OpenSSH format on the Windows-based computer.

Megjegyzés

A sudo program eltérő helyen található a UNIX és Linux operációs rendszereken.The sudo program exists at different locations on UNIX and Linux operating systems. Hogy a két rendszeren ugyanúgy lehessen hozzáférni a sudo programhoz, az UNIX és a Linux ügynöktelepítési parancsprogramja létrehozza az /etc/opt/microsoft/scx/conf/sudodir szimbolikus hivatkozást, amely arra a könyvtárra mutat, amely várhatóan tartalmazza a programot.To provide uniform access to sudo, the UNIX and Linux agent installation script creates the symbolic link /etc/opt/microsoft/scx/conf/sudodir to point to the directory expected to contain the sudo program. Az ügynök ezt a szimbolikus hivatkozást használja a sudo meghívására.The agent uses this symbolic link to invoke sudo. A telepítési szkript automatikusan létrehozza a szimbolikus hivatkozást, így Önnek nincs teendője, ha a UNIX vagy a Linux standard konfigurációját használja. Ha azonban nem a szabványos helyre telepítette a sudo programot, módosítsa úgy a szimbolikus hivatkozást, hogy a sudo telepítési könyvtárára mutasson.The installation script automatically creates the symbolic link, so you do not need to take any action on standard UNIX and Linux configurations; however, if you have sudo installed at a non-standard location, you should change the symbolic link to point to the directory where sudo is installed. Ha módosítja a szimbolikus hivatkozást, annak értéke változatlan marad, és használható az ügynök eltávolításakor, újratelepítésekor és frissítésekor is.If you change the symbolic link, its value is preserved across uninstall, re-install, and upgrade operations with the agent.

Alacsony jogosultsági szintű fiók konfigurálása a sudo jogosultságszint-emeléshezConfigure a low-privileged account for sudo elevation

Az alábbi eljárással létrehozunk egy alacsony jogosultsági szintű fiókot, majd az opsuser felhasználónév segítségével beállítjuk a sudo jogosultságszint-emelést.The following procedures create a low-privileged account and sudo elevation by using opsuser for a user name.

Alacsony jogosultsági szintű felhasználó létrehozásaTo create a low-privileged user

  1. Jelentkezzen be a root fiókkal az UNIX vagy Linux rendszerű számítógépre.Log on to the UNIX or Linux computer as root.

  2. Adja hozzá a következő felhasználót:Add the user:

    useradd opsuser

  3. Állítsa be, majd erősítse meg a jelszót:Add a password and confirm the password:

    passwd opsuser

Mostantól beállíthatja a sudo jogosultságszint-emelést, és létrehozhat egy SSH-kulcsot az opsuser számára. E műveletek leírását alább találja meg.You can now configure sudo elevation and create an SSH key for opsuser, as described in the following procedures.

Az alacsony jogosultsági szintű felhasználó sudo jogosultságszint-emelésének beállításaTo configure sudo elevation for the low-privileged user

  1. Jelentkezzen be a root fiókkal az UNIX vagy Linux rendszerű számítógépre.Log on to the UNIX or Linux computer as root.

  2. A visudo program és egy vi szövegszerkesztő segítségével módosítsa a sudo konfigurációját.Use the visudo program to edit the sudo configuration in a vi text editor. Futtassa a következő parancsot:Run the following command:

    visudo

  3. Keresse meg a következő sort:Find the following line:

    root ALL=(ALL) ALL

  4. Illessze be utána ezt a sort:Insert the following line after it:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. A TTY-kiosztás nem támogatott.TTY allocation is not supported. Fűzzön megjegyzést a következő sorhoz:Ensure the following line is commented out:

    # Defaults requiretty

    Fontos

    Ez a lépés feltétlenül szükséges a sudo megfelelő működéséhez.This step is required for sudo to work.

  6. Mentse a fájlt, majd lépjen ki a visudo programból:Save the file and exit visudo:

    Nyomja le: ESC + : (kettőspont), majd wq!, és végül nyomja le az Enter billentyűt.Press ESC + : (colon) followed by wq!, and then press Enter.

  7. A következő két parancs megadásával ellenőrizze a konfigurációt.Test the configuration by entering in the following two commands. Meg kell jelennie a könyvtár tartalmának, anélkül, hogy a rendszer kérné a jelszó megadását.The result should be a listing of the directory without being prompted for a password:

    su - opsuser

    sudo ls /etc

Az opsuser fiók a jelszó és a sudo jogosultságszint-emelés használata mellett a hitelesítő adatok megadására is használható az Operations Manager varázslóiban, valamint a futtató fiókok konfigurálására.You can use the opsuser account by using the password and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

SSH-kulcs létrehozása a hitelesítéshezCreate an SSH key for authentication

Az alábbi eljárásokkal hozhatja létre az SSH-kulcsot az előző lépéseknél készített opsuser fiókhoz.The following procedures create an SSH key for the opsuser account that was created in the previous examples.

Az SSH-kulcs létrehozása.To generate the SSH key

  1. Jelentkezzen be az opsuser fiókkal.Log on as opsuser.

  2. Hozza létre a kulcsot a Digital Signature Algorithm (DSA) algoritmus segítségével:Generate the key by using the Digital Signature Algorithm (DSA) algorithm:

    ssh-keygen -t dsa

    Ha a nem kötelező jelszót is megadja, jegyezze fel azt.Note the optional passphrase if you provided it.

Az ssh-keygen parancs létrehozza a /home/opsuser/.ssh könyvtárat, amely tartalmazza a titkos kulcs fájlját (id_dsa) és a nyilvános kulcs fájlját (id_dsa.pub).The ssh-keygen creates the /home/opsuser/.ssh directory with the private key file (id_dsa) and the public key file (id_dsa.pub). Most már beállíthatja, hogy az opsuser támogassa a kulcsot. Ennek menetét az alábbi eljárás írja le.You can now configure the key to be supported by opsuser as described in the next procedure.

Felhasználói fiók beállítása az SSH-kulcs támogatásáraTo configure a user account to support the SSH key

  1. Írja be az alábbi parancsokat a parancssorba.At the command prompt, type the following commands. A felhasználói fiók könyvtárának megnyitása:To navigate to the user account directory:

    cd /home/opsuser

  2. Kizárólagos tulajdonosi hozzáférés beállítása a könyvtárhoz:Specify exclusive owner access to the directory:

    chmod 700 .ssh

  3. Az .ssh-könyvtár megnyitása:Navigate to the .ssh directory:

    cd .ssh

  4. Hitelesített kulcsfájl létrehozása a nyilvános kulccsal:Create an authorized keys file with the public key:

    cat id_dsa.pub >> authorized_keys

  5. Olvasási és írási engedély megadása a felhasználónak a hitelesített kulcsfájlhoz:Give the user read and write permissions to the authorized keys file:

    chmod 600 authorized_keys

Most már a Windows-számítógépre másolhatja a titkos SSH-kulcsot. Ennek menetét az alábbi eljárás írja le.You can now copy the private SSH key to the Windows-based computer, as described in the next procedure.

A titkos SSH-kulcs másolása a Windows-számítógépre, majd mentése OpenSSH formátumbanTo copy the private SSH key to the Windows-based computer and save in OpenSSH format

  1. Egy tetszőleges segédprogram, például a WinSCP segítségével vigye át a titkos kulcs fájlját (id_dsa, nincs kiterjesztése) a UNIX- vagy Linux-számítógépről a Windows rendszerű számítógép egy tetszőleges könyvtárába.Use a tool, such as WinSCP, to transfer the private key file (id_dsa - with no extension) from the UNIX or Linux computer to a directory on your Windows-based computer.

  2. Indítsa el a PuTTYgen programot.Run PuTTYgen.

  3. A PuTTY Key Generator (PuTTY-kulcsgenerátor) párbeszédpanelen kattintson a Load (Betöltés) gombra, majd válassza ki a UNIX- vagy Linux-számítógépről származó titkos kulcsot (id_dsa).In the PuTTY Key Generator dialog box, click the Load button, and then select the private key (id_dsa) that you transferred from the UNIX or Linux computer.

  4. Kattintson a Save private key (Titkos kulcs mentése) elemre, adjon nevet a fájlnak, majd mentse a kívánt könyvtárba.Click Save private key and name and save the file to the desired directory.

Az opsuser fiók az SSH-kulcs és a sudo jogosultságszint-emelés használata mellett a hitelesítő adatok megadására is használható az Operations Manager varázslóiban, valamint a futtató fiókok konfigurálására.You can use the opsuser account by using the SSH key and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

Következő lépésekNext steps