Share via

sudo を使用した昇格および SSH キーの構成方法

  • [アーティクル]

重要

このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。

Operations Manager を使用すると、sudo を使用して UNIX または Linux コンピューターで特権のないアカウントを昇格するための資格情報を提供できます。これにより、ユーザーは別のユーザー アカウントのセキュリティ特権を持つプログラムを実行したり、ファイルにアクセスしたりできます。 エージェントのメンテナンスのために、Operations Manager とターゲット コンピューター間のセキュリティで保護された通信のために、パスワードの代わりに Secure Shell (SSH) キーを使用することもできます。

Note

Operations Manager は、PuTTY 秘密キー (PPK) 形式でのキー ファイル データを使用した SSH キーベースの認証をサポートしています。 現在、SSH v.1 RSA キーと SSH v.2 RSA および DSA キーをサポートしています。

UNIX および Linux コンピューターから SSH キーを取得して構成するには、Windows ベースのコンピューターに次のソフトウェアが必要です。

  • UNIX または Linux コンピューターから Windows ベースのコンピューターにファイルを転送するための、WinSCP などのファイル転送ツール。
  • UNIX または Linux コンピューターでコマンドを実行するための PuTTY プログラムまたは同様のプログラム。
  • Windows ベースのコンピューターに OpenSSH 形式で SHH 秘密キーを保存するための PuTTYgen プログラム。

Note

sudo プログラムは UNIX および Linux オペレーティング システムのさまざまな場所に存在します。 sudo への一様なアクセスを提供するために、UNIX および Linux エージェント インストール スクリプトは、シンボリック リンク /etc/opt/microsoft/scx/conf/sudodir を作成し、sudo プログラムの格納用のディレクトリを指します。 その後、エージェントはこのシンボリック リンクを使用して sudo を呼び出します。 エージェントがインストールされると、このシンボリック リンクは自動的に作成されます。標準の UNIX および Linux 構成では、追加のアクションは必要ありません。ただし、sudo が標準以外の場所にインストールされている場合は、sudo がインストールされているディレクトリを指すシンボリック リンクを変更する必要があります。 シンボリック リンクを変更する場合、アンインストール、再インストール、およびアップグレード操作にわたって、その値はエージェントで保持されます。

sudo 昇格用のアカウントを構成する

注意

このセクションで提供される情報では、ユーザーの例である を構成し、 scomuserクライアント コンピューターに対する完全な権限を付与します。

ユーザー アカウントを既に持っている場合や 、低特権 の監視を設定する場合は、sudoers テンプレートを使用でき、監視とメンテナンスの操作を成功させるために必要なアクセス許可のみが付与されます。 詳細については、「UNIX/Linux 監視での昇格のための Sudoers テンプレート」を参照してください。

次の手順では、ユーザー名に を使用 scomuser して、アカウントと sudo 昇格を作成します。

ユーザーの作成

  1. UNIX または Linux コンピューターにとしてサインインする root
  2. ユーザーを追加します。 useradd scomuser
  3. パスワードを追加し、パスワードを確認します。 passwd scomuser

この時点で、次に説明する手順で scomuser に対して sudo による昇格を構成し SSH キーを作成できます。

ユーザーの sudo 昇格を構成する

  1. UNIX または Linux コンピューターにとしてサインインする root

  2. visudo プログラムを使用して vi テキスト エディターで sudo の構成を編集します。 次のコマンドを実行します。visudo

  3. 次の行を見つけます。 root ALL=(ALL) ALL

  4. その後に次の行を挿入します。 scomuser ALL=(ALL) NOPASSWD: ALL

  5. TTY 割り当てはサポートされていません。 次の行がコメント アウトされていることを確認します。 # Defaults requiretty

    重要

    これは sudo の動作に必須の手順です。

  6. ファイルを保存して visudo を終了します。

    • を押してから をwq!: (colon)ESCし、次に を押Enterして変更を保存し、正常に終了します。

  7. 次の 2 つのコマンドを入力して構成をテストします。 パスワードの入力を求められずに、ディレクトリの一覧が表示されるはずです。

    su - scomuser
sudo ls /etc

パスワードと sudo 昇格を scomuser 使用してアカウントにアクセスできるようになりました。これにより、タスクウィザードと検出ウィザード、および RunAs アカウント内で資格情報を指定できます。

認証用の SSH キーを作成する

ヒント

SSH キーはエージェントのメンテナンス操作にのみ使用され、監視には使用されません。複数のアカウントを使用している場合は、正しいユーザーのキーを作成していることを確認してください。

次の手順では、前の例で作成した scomuser アカウント用に SSH キーを作成します。

SSH キーを生成する

  1. として scomuserサインインします。
  2. デジタル署名アルゴリズム (DSA) アルゴリズムを使用してキーを生成します。 ssh-keygen -t dsa
    • オプションのパスフレーズを指定した場合は、メモします。

ssh-keygen ユーティリティ/home/scomuser/.sshは、秘密キー ファイルと公開キー ファイルid_dsaid_dsa.pubを含むディレクトリを作成します。これらのファイルは次の手順で使用します。

SSH キーをサポートするようにユーザー アカウントを構成する

  1. 次のコマンドをコマンド プロンプトに入力します。 ユーザー アカウント ディレクトリに移動するには: cd /home/scomuser
  2. ディレクトリへの排他的所有者アクセスを指定します。 chmod 700 .ssh
  3. .ssh ディレクトリに移動します。 cd .ssh
  4. 公開キーを使用して、承認されたキー ファイルを作成します。 cat id_dsa.pub >> authorized_keys
  5. 承認されたキー ファイルに対する読み取りと書き込みのアクセス許可をユーザーに付与します。 chmod 600 authorized_keys

ここで、次の手順で SSH 秘密キーを Windows ベースのコンピューターにコピーできます。

プライベート SSH キーを Windows ベースのコンピューターにコピーし、OpenSSH 形式で保存します

  1. WinSCP などのツールを使用して、秘密キー ファイル id_dsa (拡張子なし) をクライアントから Windows ベースのコンピューター上のディレクトリに転送します。
  2. PuTTYgen を実行します。
  3. [ PuTTY Key Generator ] ダイアログ ボックスで、[ 読み込み ] ボタンを選択し、UNIX または Linux コンピューターから転送した秘密キー id_dsa を選択します。
  4. [秘密キーと名前の 保存] を 選択し、目的のディレクトリにファイルを保存します。
  5. エクスポートされたファイルは、 用 scomuserに構成されたメンテナンス RunAs アカウント内で使用することも、コンソールを使用してメンテナンス タスクを実行する場合にも使用できます。

Operations Manager ウィザードで資格情報を指定し、実行アカウントを構成するための SSH キーと sudo による昇格を使用して、scomuser アカウントを使用できます。

重要

PPK ファイル バージョン 2 は、System Center Operations Manager で現在サポートされている唯一のバージョンです。

既定では、PuTTYgen は PPK ファイル バージョン 3 を使用するように設定されています。 PPK ファイルのバージョンを 2 に変更するには、ツール バーに移動し、キー ファイルを保存するためのキー > パラメーターを選択します。...、PPK ファイル バージョンの場合は 2 のラジオ ボタンを選択します。

秘密キーの PPK ファイル バージョンを選択する場所を示す PuTTY キー ジェネレーターのスクリーンショット。

次の手順