Настройка повышения прав sudo и ключей SSHHow to configure sudo elevation and SSH keys

Важно!

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

С помощью System Center — Operations Manager можно предоставить учетные данные для непривилегированной учетной записи для повышения полномочий на компьютере UNIX или Linux с помощью программы sudo. Это позволит пользователям запускать программы с правами доступа другой учетной записи пользователя.With System Center - Operations Manager, you can provide credentials for an unprivileged account to be elevated on a UNIX or Linux computer by using the sudo program, which allows users to run programs that have the security privileges of another user account. Для безопасного взаимодействия между Operations Manager и целевым компьютером можно также использовать ключи Secure Shell (SSH) вместо пароля.You can also use Secure Shell (SSH) keys instead of a password for secure communication between Operations Manager and the targeted computer.

В этой статье содержатся примеры создания учетной записи для пользователя с низким уровнем привилегий, реализации sudo и создания ключа SSH на компьютере под управлением Red Hat Enterprise Linux Server 6.This topic provides examples for creating an account for a low-privileged user, implementing sudo, and creating an SSH key on a computer that is running Red Hat Enterprise Linux Server 6. Это только примеры, и они могут не соответствовать вашей среде.These are examples only, and might not reflect your environment. В следующем примере пользователю предоставляется доступ к полному набору привилегий.The following examples provide a user with access to a full set of privileges.

Для получения и настройки ключа SSH с компьютеров UNIX и Linux необходимо установить следующее программное обеспечение на компьютере Windows:To obtain and configure the SSH key from the UNIX and Linux computer, you have to install the following software on your Windows-based computer:

  • средство передачи файлов, например WinSCP, для переноса файлов с компьютера UNIX или Linux на компьютер Windows;A file transfer tool, such as WinSCP, to transfer files from the UNIX or Linux computer to the Windows-based computer.

  • программу PuTTY (или аналогичную программу) для выполнения команд на компьютере UNIX или Linux;The PuTTY program, or a similar program, to run commands on the UNIX or Linux computer.

  • программу PuTTYgen для сохранения закрытого ключа SHH в формате OpenSSH на компьютере Windows.The PuTTYgen program to save the private SHH key in OpenSSH format on the Windows-based computer.

Примечание

Программа sudo размещается в разных местах в операционных системах UNIX и Linux.The sudo program exists at different locations on UNIX and Linux operating systems. Чтобы предоставить унифицированный доступ к sudo, сценарий установки агента UNIX и Linux создает символьную ссылку /etc/opt/microsoft/scx/conf/sudodir, указывающую на каталог, который должен содержать программу sudo.To provide uniform access to sudo, the UNIX and Linux agent installation script creates the symbolic link /etc/opt/microsoft/scx/conf/sudodir to point to the directory expected to contain the sudo program. Агент использует эту символьную ссылку для вызова sudo.The agent uses this symbolic link to invoke sudo. Сценарий установки автоматически создает символьную ссылку, поэтому не нужно предпринимать никаких действий в стандартных конфигурациях UNIX и Linux. Однако если программа sudo установлена не в стандартном расположении, следует изменить символьную ссылку, чтобы она указывала на каталог, где установлена программа sudo.The installation script automatically creates the symbolic link, so you do not need to take any action on standard UNIX and Linux configurations; however, if you have sudo installed at a non-standard location, you should change the symbolic link to point to the directory where sudo is installed. Если вы измените символьную ссылку, ее значение будет сохраняться при удалении, переустановке и обновлении агента.If you change the symbolic link, its value is preserved across uninstall, re-install, and upgrade operations with the agent.

Настройка учетной записи с низким уровнем привилегий для повышения прав sudoConfigure a low-privileged account for sudo elevation

В рамках следующей процедуры создается учетная запись с низким уровнем привилегий и выполняется повышение прав sudo с использованием opsuser в качестве имени пользователя.The following procedures create a low-privileged account and sudo elevation by using opsuser for a user name.

Создание пользователя с низким уровнем привилегийTo create a low-privileged user

  1. Войдите на компьютер под управлением UNIX или Linux как root.Log on to the UNIX or Linux computer as root.

  2. Добавьте пользователя:Add the user:

    useradd opsuser

  3. Добавьте пароль и подтвердите пароль:Add a password and confirm the password:

    passwd opsuser

Теперь можно настроить повышение прав sudo и создать ключ SSH для opsuser, как описано в следующих процедурах.You can now configure sudo elevation and create an SSH key for opsuser, as described in the following procedures.

Настройка повышения прав sudo для пользователя с низким уровнем привилегийTo configure sudo elevation for the low-privileged user

  1. Войдите на компьютер под управлением UNIX или Linux как root.Log on to the UNIX or Linux computer as root.

  2. Используйте программу visudo для изменения конфигурации sudo в текстовом редакторе vi.Use the visudo program to edit the sudo configuration in a vi text editor. Выполните следующую команду:Run the following command:

    visudo

  3. Найдите следующую строку:Find the following line:

    root ALL=(ALL) ALL

  4. Вставьте следующую строку после нее:Insert the following line after it:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. Выделение TTY не поддерживается.TTY allocation is not supported. Убедитесь, что следующая строка закомментирована:Ensure the following line is commented out:

    # Defaults requiretty

    Важно!

    Этот шаг является обязательным для работы sudo.This step is required for sudo to work.

  6. Сохраните файл и выйдите из visudo:Save the file and exit visudo:

    Нажмите клавишу ESC + : (двоеточие), wq!, а затем клавишу ВВОД.Press ESC + : (colon) followed by wq!, and then press Enter.

  7. Проверьте конфигурацию. Для этого введите следующие две команды.Test the configuration by entering in the following two commands. Результат должен представлять собой список каталогов, выводимый без запроса пароля:The result should be a listing of the directory without being prompted for a password:

    su - opsuser

    sudo ls /etc

Учетную запись opsuser (с помощью пароля и повышения прав sudo) можно использовать для указания учетных данных в мастерах Operations Manager, а также для настройки учетных записей запуска от имени.You can use the opsuser account by using the password and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

Создание ключа SSH для проверки подлинностиCreate an SSH key for authentication

В рамках следующих процедур мы создадим ключ SSH для учетной записи opsuser, созданной в предыдущих примерах.The following procedures create an SSH key for the opsuser account that was created in the previous examples.

Создание ключа SSHTo generate the SSH key

  1. Войдите в систему как opsuser.Log on as opsuser.

  2. Создайте ключ с помощью алгоритма цифровой подписи (DSA):Generate the key by using the Digital Signature Algorithm (DSA) algorithm:

    ssh-keygen -t dsa

    Запишите необязательную парольную фразу, если вы ее указали.Note the optional passphrase if you provided it.

Команда ssh-keygen создает каталог /home/opsuser/.ssh с файлом закрытого ключа (id_dsa) и файлом открытого ключа (id_dsa.pub).The ssh-keygen creates the /home/opsuser/.ssh directory with the private key file (id_dsa) and the public key file (id_dsa.pub). Теперь можно настроить ключ для поддержки opsuser, как описано в следующей процедуре.You can now configure the key to be supported by opsuser as described in the next procedure.

Настройка учетной записи пользователя для поддержки ключа SSHTo configure a user account to support the SSH key

  1. В командной строке введите следующие команды.At the command prompt, type the following commands. Для перехода к каталогу учетной записи пользователя:To navigate to the user account directory:

    cd /home/opsuser

  2. Укажите монопольный доступ владельца к каталогу:Specify exclusive owner access to the directory:

    chmod 700 .ssh

  3. Перейдите в каталог .ssh:Navigate to the .ssh directory:

    cd .ssh

  4. Создайте файл авторизованных ключей с помощью открытого ключа:Create an authorized keys file with the public key:

    cat id_dsa.pub >> authorized_keys

  5. Назначьте пользователю разрешения на чтение и запись в файл авторизованных ключей:Give the user read and write permissions to the authorized keys file:

    chmod 600 authorized_keys

Теперь можно скопировать закрытый ключ SSH на компьютер Windows, как описано в следующей процедуре.You can now copy the private SSH key to the Windows-based computer, as described in the next procedure.

Копирование закрытого ключа SSH на компьютер Windows и сохранение в формате OpenSSHTo copy the private SSH key to the Windows-based computer and save in OpenSSH format

  1. Используйте средство, например WinSCP, для передачи файла закрытого ключа (id_dsa без расширения) с компьютера UNIX или Linux в каталог на компьютере Windows.Use a tool, such as WinSCP, to transfer the private key file (id_dsa - with no extension) from the UNIX or Linux computer to a directory on your Windows-based computer.

  2. Запустите программу PuTTYgen.Run PuTTYgen.

  3. В диалоговом окне PuTTY Key Generator (Генератор ключей PuTTY) нажмите кнопку Загрузить, а затем выберите закрытый ключ (id_dsa, перенесенный с компьютера UNIX или Linux.In the PuTTY Key Generator dialog box, click the Load button, and then select the private key (id_dsa) that you transferred from the UNIX or Linux computer.

  4. Щелкните Сохранить закрытый ключ, присвойте файлу имя и сохраните его в нужном каталоге.Click Save private key and name and save the file to the desired directory.

Учетную запись opsuser (с помощью ключа SSH и повышения прав sudo) можно использовать для указания учетных данных в мастерах Operations Manager, а также для настройки учетных записей запуска от имени.You can use the opsuser account by using the SSH key and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

Дальнейшие шагиNext steps