sudo を使用した昇格および SSH キーの構成方法How to configure sudo elevation and SSH keys

重要

このバージョンの Operations Manager はサポート終了に達したので、Operations Manager 2019 にアップグレードすることをお勧めします。This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

System Center - Operations Manager では、sudo プログラムを使用して、UNIX または Linux コンピューター上で特権のないアカウントを昇格するための資格情報を指定することができます。これにより、ユーザーは、別のユーザー アカウントのセキュリティ特権を持つプログラムを実行できるようになります。With System Center - Operations Manager, you can provide credentials for an unprivileged account to be elevated on a UNIX or Linux computer by using the sudo program, which allows users to run programs that have the security privileges of another user account. また、Operations Manager とターゲット コンピューターの間のセキュアな通信に、パスワードの代わりに SSH (Secure Shell) キーも使用できます。You can also use Secure Shell (SSH) keys instead of a password for secure communication between Operations Manager and the targeted computer.

このトピックでは、Red Hat Enterprise Linux Server 6 が実行されているコンピューターで、低い特権のユーザー向けのアカウントを作成し、sudo を実装し、SSH キーを作成する方法の例を示します。This topic provides examples for creating an account for a low-privileged user, implementing sudo, and creating an SSH key on a computer that is running Red Hat Enterprise Linux Server 6. これらは単なる例であるため、使用環境を反映していない場合があります。These are examples only, and might not reflect your environment. 次の例は、完全な特権セットへのアクセス権限をユーザーに提供します。The following examples provide a user with access to a full set of privileges.

UNIX および Linux サーバーから SSH キーを取得して構成するには、お使いの Windows ベースのコンピューターに次のソフトウェアをインストールする必要があります。To obtain and configure the SSH key from the UNIX and Linux computer, you have to install the following software on your Windows-based computer:

  • UNIX または Linux コンピューターから Windows ベースのコンピューターにファイルを転送するための、WinSCP などのファイル転送ツール。A file transfer tool, such as WinSCP, to transfer files from the UNIX or Linux computer to the Windows-based computer.

  • UNIX または Linux コンピューターでコマンドを実行するための PuTTY プログラムまたは同様のプログラム。The PuTTY program, or a similar program, to run commands on the UNIX or Linux computer.

  • Windows ベースのコンピューターに OpenSSH 形式で SHH 秘密キーを保存するための PuTTYgen プログラム。The PuTTYgen program to save the private SHH key in OpenSSH format on the Windows-based computer.

注意

sudo プログラムは UNIX および Linux オペレーティング システムのさまざまな場所に存在します。The sudo program exists at different locations on UNIX and Linux operating systems. sudo への一様なアクセスを提供するために、UNIX および Linux エージェント インストール スクリプトは、シンボリック リンク /etc/opt/microsoft/scx/conf/sudodir を作成し、sudo プログラムの格納用のディレクトリを指します。To provide uniform access to sudo, the UNIX and Linux agent installation script creates the symbolic link /etc/opt/microsoft/scx/conf/sudodir to point to the directory expected to contain the sudo program. エージェントはこのシンボリック リンクを使用して sudo を呼び出します。The agent uses this symbolic link to invoke sudo. インストール スクリプトは自動的にシンボリック リンクを作成するので、UNIX および Linux の標準構成ではユーザーによる操作は必要がありません。ただし、非標準的な場所に sudo をインストールした場合は、sudo がインストールされているディレクトリを指すようにシンボリック リンクを変更します。The installation script automatically creates the symbolic link, so you do not need to take any action on standard UNIX and Linux configurations; however, if you have sudo installed at a non-standard location, you should change the symbolic link to point to the directory where sudo is installed. シンボリック リンクを変更する場合、アンインストール、再インストール、およびアップグレード操作にわたって、その値はエージェントで保持されます。If you change the symbolic link, its value is preserved across uninstall, re-install, and upgrade operations with the agent.

低い特権のアカウントを sudo で昇格するように構成するConfigure a low-privileged account for sudo elevation

次の手順では、opsuser をユーザー名に使用して低い特権のアカウントと sudo による昇格を作成します。The following procedures create a low-privileged account and sudo elevation by using opsuser for a user name.

低い特権のユーザーを作成するにはTo create a low-privileged user

  1. root として UNIX または Linux コンピューターにログオンします。Log on to the UNIX or Linux computer as root.

  2. ユーザーを追加します。Add the user:

    useradd opsuser

  3. パスワードを追加して確認します。Add a password and confirm the password:

    passwd opsuser

この時点で、次に説明する手順で opsuser に対して sudo による昇格を構成し SSH キーを作成できます。You can now configure sudo elevation and create an SSH key for opsuser, as described in the following procedures.

低い特権のユーザーの sudo による昇格を構成するにはTo configure sudo elevation for the low-privileged user

  1. root として UNIX または Linux コンピューターにログオンします。Log on to the UNIX or Linux computer as root.

  2. visudo プログラムを使用して vi テキスト エディターで sudo の構成を編集します。Use the visudo program to edit the sudo configuration in a vi text editor. 次のコマンドを実行します。Run the following command:

    visudo

  3. 次の行を見つけます。Find the following line:

    root ALL=(ALL) ALL

  4. その後に以下の行を挿入します。Insert the following line after it:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. TTY 割り当てはサポートされていません。TTY allocation is not supported. 以下の行がコメント アウトされていることを確認します。Ensure the following line is commented out:

    # Defaults requiretty

    重要

    これは sudo の動作に必須の手順です。This step is required for sudo to work.

  6. ファイルを保存して visudo を終了します。Save the file and exit visudo:

    ESC +キーと : ((コロン)) を押し、wq! を入力して Enter キーを押します。Press ESC + : (colon) followed by wq!, and then press Enter.

  7. 次の 2 つのコマンドを入力して構成をテストします。Test the configuration by entering in the following two commands. パスワードの入力を求められずに、ディレクトリの一覧が表示されるはずです。The result should be a listing of the directory without being prompted for a password:

    su - opsuser

    sudo ls /etc

Operations Manager ウィザードで資格情報を指定し、実行アカウントを構成するためのパスワードと sudo による昇格を使用して、opsuser アカウントを使用できます。You can use the opsuser account by using the password and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

認証用の SSH キーを作成するCreate an SSH key for authentication

次の手順では、前の例で作成した opsuser アカウント用に SSH キーを作成します。The following procedures create an SSH key for the opsuser account that was created in the previous examples.

SSH キーを生成するにはTo generate the SSH key

  1. opsuser としてログオンします。Log on as opsuser.

  2. デジタル署名アルゴリズム ((DSA)) を使用してキーを生成します。Generate the key by using the Digital Signature Algorithm (DSA) algorithm:

    ssh-keygen -t dsa

    オプションのパスフレーズを指定した場合は、メモします。Note the optional passphrase if you provided it.

ssh-keygen により、秘密キー ファイル (id_dsa) および公開キー ファイル (id_dsa.pub) で /home/opsuser/.ssh ディレクトリが作成されます。The ssh-keygen creates the /home/opsuser/.ssh directory with the private key file (id_dsa) and the public key file (id_dsa.pub). 次の手順で、opsuser によりサポートされるようにキーを構成できます。You can now configure the key to be supported by opsuser as described in the next procedure.

SSH キーをサポートするようにユーザー アカウントを構成するにはTo configure a user account to support the SSH key

  1. 次のコマンドをコマンド プロンプトに入力します。At the command prompt, type the following commands. 次の手順で、ユーザー アカウント ディレクトリに移動します。To navigate to the user account directory:

    cd /home/opsuser

  2. ディレクトリへの排他的な所有者アクセスを指定します。Specify exclusive owner access to the directory:

    chmod 700 .ssh

  3. .ssh ディレクトリに移動します。Navigate to the .ssh directory:

    cd .ssh

  4. 公開キーで承認済みキー ファイルを作成します。Create an authorized keys file with the public key:

    cat id_dsa.pub >> authorized_keys

  5. 承認済みキー ファイルの読み取りおよび書き込みアクセス許可をユーザーに付与します。Give the user read and write permissions to the authorized keys file:

    chmod 600 authorized_keys

ここで、次の手順で SSH 秘密キーを Windows ベースのコンピューターにコピーできます。You can now copy the private SSH key to the Windows-based computer, as described in the next procedure.

SSH 秘密キーを Windows ベースのコンピューターにコピーして OpenSSH 形式で保存するにはTo copy the private SSH key to the Windows-based computer and save in OpenSSH format

  1. WinSCP のようなツールを使用して、秘密キー ファイル (id_dsa – 拡張子なし) を UNIX または Linux コンピューターから Windows ベースのコンピューター上のディレクトリに転送します。Use a tool, such as WinSCP, to transfer the private key file (id_dsa - with no extension) from the UNIX or Linux computer to a directory on your Windows-based computer.

  2. PuTTYgen を実行します。Run PuTTYgen.

  3. [PuTTY Key Generator] ダイアログ ボックスで、 [読み込み] ボタンをクリックして、UNIX または Linux コンピューターから転送した秘密キー (id_dsa) を選択します。In the PuTTY Key Generator dialog box, click the Load button, and then select the private key (id_dsa) that you transferred from the UNIX or Linux computer.

  4. [Save private key] (秘密キーを保存) をクリックして、名前を付けファイルを目的のディレクトリに保存します。Click Save private key and name and save the file to the desired directory.

Operations Manager ウィザードで資格情報を指定し、実行アカウントを構成するための SSH キーと sudo による昇格を使用して、opsuser アカウントを使用できます。You can use the opsuser account by using the SSH key and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

次のステップNext steps