Come configurare l'elevazione sudo e le chiavi SSH

Importante

Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.

Con Operations Manager è possibile fornire le credenziali per un account non privato da elevare in un computer UNIX o Linux usando sudo, consentendo all'utente di eseguire programmi o accedere ai file con privilegi di sicurezza di un altro account utente. Per la manutenzione dell'agente, è anche possibile usare chiavi SSH (Secure Shell) anziché una password per la comunicazione sicura tra Operations Manager e il computer di destinazione.

Nota

Operations Manager supporta l'autenticazione basata su chiave SSH con i dati dei file chiave nel formato PuTTY Private Key (PPK). Attualmente supporta chiavi RSA SSH v.1 e chiavi RSA SSH v.2 e DSA.

Per ottenere e configurare la chiave SSH dal computer UNIX e Linux, è necessario il software seguente nel computer basato su Windows:

• Uno strumento di trasferimento file, ad esempio WinSCP, per trasferire file dal computer UNIX o Linux al computer basato su Windows.
• Il programma PuTTY, o un programma simile, per eseguire comandi nel computer UNIX o Linux.
• Il programma PuTTYgen per salvare la chiave privata SHH in formato OpenSSH nel computer basato su Windows.

Nota

Il programma sudo esiste in posizioni diverse nei sistemi operativi UNIX e Linux. Per fornire un accesso uniforme a sudo, lo script di installazione dell'agente UNIX e Linux crea il collegamento simbolico /etc/opt/microsoft/scx/conf/sudodir in modo da puntare alla directory che dovrebbe contenere il programma sudo. L'agente usa quindi questo collegamento simbolico per richiamare sudo. Quando l'agente viene installato questo collegamento simbolico viene creato automaticamente, non sono necessarie azioni aggiuntive nelle configurazioni UNIX e Linux standard; Tuttavia, se è installato sudo in una posizione non standard, è necessario modificare il collegamento simbolico in modo che punti alla directory in cui è installato sudo. Se si modifica il collegamento simbolico, il relativo valore viene conservato nelle operazioni di disinstallazione, reinstallazione e aggiornamento con l'agente.

Configurare un account per l'elevazione sudo

Nota

Le informazioni fornite in questa sezione illustrano la configurazione di un utente di esempio, scomusere concede i diritti completi nel computer client.

Se si dispone già di account utente e/o si vuole configurare il monitoraggio con privilegi limitati , i modelli sudoer sono disponibili e concedere solo le autorizzazioni necessarie per il monitoraggio e le operazioni di manutenzione riuscite. Per altre informazioni, vedere: Modelli di Sudoers per elevazione nel monitoraggio UNIX/Linux

Le procedure seguenti creano un account e un'elevazione sudo usando scomuser per un nome utente.

Creare un utente

1. Accedere al computer UNIX o Linux come root
2. Aggiungere l'utente: useradd scomuser
3. Aggiungere una password e confermare la password: passwd scomuser

È ora possibile configurare l'elevazione sudo e creare una chiave SSH per scomuser, come descritto nelle procedure seguenti.

Configurare l'elevazione sudo per l'utente

1. Accedere al computer UNIX o Linux come root

2. Usare il programma visudo per modificare la configurazione di sudo in un editor di testo vi. Eseguire il comando seguente: visudo

3. Trovare la riga seguente: root ALL=(ALL) ALL

4. Inserire la riga seguente dopo: scomuser ALL=(ALL) NOPASSWD: ALL

5. L'allocazione TTY non è supportata. Verificare che la riga seguente sia commentata: # Defaults requiretty

   Importante

   Questo passaggio è necessario per il funzionamento di sudo.

6. Salvare il file e chiudere visudo:

   • Premere ESC quindi : (colon) seguito da wq!e quindi premere Enter per salvare le modifiche e uscire in modo normale.

7. Testare la configurazione immettendo i due comandi seguenti. Come risultato dovrebbe venire elencata la directory senza che venga richiesta una password:

   su - scomuser
   sudo ls /etc
   

È ora possibile accedere all'account usando la password e l'elevazione scomuser sudo, consentendo di specificare le credenziali nelle procedure guidate di attività e individuazione e all'interno di Account RunAs.

Creare una chiave SSH per l'autenticazione

Suggerimento

Le chiavi SSH vengono usate solo per le operazioni di manutenzione dell'agente e non vengono usate per il monitoraggio, assicurarsi di creare la chiave per l'utente corretto se si usano più account.

Le procedure seguenti creano una chiave SSH per l'account scomuser creato negli esempi precedenti.

Generare la chiave SSH

1. Accedere come scomuser.
2. Generare la chiave usando l'algoritmo DSA (Digital Signature Algorithm): ssh-keygen -t dsa
   • Prendere nota della passphrase facoltativa se è stata specificata.

L'utilità ssh-keygen crea la /home/scomuser/.ssh directory con il file di chiave privata e il file id_dsa.pubid_dsa di chiave pubblica all'interno, questi file vengono usati nella procedura seguente.

Configurare un account utente per supportare la chiave SSH

1. Al prompt dei comandi digitare i comandi seguenti. Per passare alla directory dell'account utente: cd /home/scomuser
2. Specificare l'accesso esclusivo del proprietario alla directory: chmod 700 .ssh
3. Passare alla directory .ssh: cd .ssh
4. Creare un file di chiavi autorizzate con la chiave pubblica: cat id_dsa.pub >> authorized_keys
5. Assegnare all'utente le autorizzazioni di lettura e scrittura al file delle chiavi autorizzate: chmod 600 authorized_keys

È ora possibile copiare la chiave SSH privata nel computer basato su Windows, come descritto nella procedura successiva.

Copiare la chiave SSH privata nel computer basato su Windows e salvare in formato OpenSSH

1. Usare uno strumento, ad esempio WinSCP, per trasferire il file id_dsa di chiave privata (senza estensione) dal client a una directory nel computer basato su Windows.
2. Eseguire PuTTYgen.
3. Nella finestra di dialogo Generatore chiavi PuTTY selezionare il pulsante Carica e quindi selezionare la chiave id_dsa privata trasferita dal computer UNIX o Linux.
4. Selezionare Salva chiave privata e nome e salvare il file nella directory desiderata.
5. È possibile usare il file esportato all'interno di un account RunAs di manutenzione configurato per scomusero quando si eseguono attività di manutenzione tramite la console.

È possibile usare l'account scomuser usando la chiave SSH e l'elevazione sudo per specificare le credenziali nelle procedure guidate di Operations Manager e per configurare gli account RunAs.

Importante

Il file PPK versione 2 è l'unica versione attualmente supportata per System Center Operations Manager.

Per impostazione predefinita, PuTTYgen è impostato per l'uso del file PPK versione 3. È possibile modificare la versione del file PPK su 2 passando alla barra degli strumenti e selezionando Parametri chiave > per il salvataggio dei file chiave..., quindi selezionare il pulsante di opzione per 2 per la versione del file PPK.

Passaggi successivi

• Esaminare le credenziali necessarie per accedere ai computer UNIX e Linux per comprendere come autenticare e monitorare i computer UNIX e Linux.
• Vedere Configurazione delle crittografia SSL se è necessario riconfigurare Operations Manager per usare una crittografia diversa.