Konfigurera sudo-höjning och SSH-nycklar

Viktigt

Den här versionen av Operations Manager har nått slutet av supporten, vi rekommenderar att du uppgraderar till Operations Manager 2022.

Med System Center – Operations Manager kan du ange autentiseringsuppgifter för ett konto utan privilegier som ska höjas på en UNIX- eller Linux-dator med hjälp av sudo-programmet, som gör att användare kan köra program som har säkerhetsbehörighet för ett annat användarkonto. Du kan också använda SSH-nycklar (Secure Shell) i stället för ett lösenord när du vill upprätta säker kommunikation mellan Operations Manager och måldatorn.

Anteckning

Operations Manager stöder SSH-nyckelbaserad autentisering med nyckelfildata i PPK-format (PuTTY Private Key). Stöder för närvarande SSH v.1 RSA-nycklar och SSH v.2 RSA- och DSA-nycklar.

I det här avsnittet ges exempel på hur du kan skapa ett konto för en lågprivilegierad användare, implementera sudo och skapa en SSH-nyckel på en dator som kör Red Hat Enterprise Linux Server 6. Dessa är bara exempel, som kan skilja sig från hur din miljö fungerar. Följande exempel ger en användare åtkomst till en fullständig uppsättning behörigheter.

Om du vill hämta och konfigurera en SSH-nyckel från en UNIX- eller Linux-dator måste du installera följande programvara på din Windows-dator:

• Ett filöverföringsverktyg, t.ex. WinSCP, som du använder för att överföra filer från UNIX- eller Linux-datorn till Windows-datorn.

• Programmet PuTTY eller ett liknande program för att köra kommandon på UNIX- eller Linux-datorn.

• Programmet PuTTYgen, som du använder för att spara den privata SHH-nyckeln i OpenSSH-format på Windows-datorn.

Anteckning

Sudo-programmet finns på olika platser i UNIX- respektive Linux-operativsystem. För att ge en enhetlig åtkomst till sudo skapar installationsskriptet för UNIX- och Linux-agenten den symboliska länken /etc/opt/microsoft/scx/conf/sudodir så att den pekar till den katalog som förväntas innehålla sudo-programmet. Agenten använder denna symboliska länk för att anropa sudo. Installationsskriptet skapar automatiskt den symboliska länken, så du behöver inte vidta några åtgärder för vanliga UNIX- och Linux-konfigurationer. Om sudo har installerats på en icke-standardplats behöver du dock ändra den symboliska länken så att den pekar till den katalog där sudo har installerats. Om du ändrar den symboliska länken behålls värdet för avinstallations-, ominstallations- och uppgraderingsåtgärderna med agenten.

Konfigurera ett lågprivilegierat konto för sudo-höjning

Följande procedurer skapar ett lågprivilegierat konto och sudo-höjning med hjälp opsuser av för ett användarnamn.

Skapa en lågprivilegierad användare

1. Logga in på UNIX- eller Linux-datorn som root.

2. Lägg till användaren:

   useradd opsuser

3. Lägg till ett lösenord och bekräfta lösenordet:

   passwd opsuser

Nu kan du konfigurera sudo-höjning och skapa en SSH-nyckel för opsuser, enligt följande procedurer.

Konfigurera sudo-höjning för den lågprivilegierade användaren

1. Logga in på UNIX- eller Linux-datorn som root.

2. Använd programmet visudo för att redigera sudo-konfigurationen i en vi-textredigerare. Kör följande kommando:

   visudo

3. Sök efter följande rad:

   root ALL=(ALL) ALL

4. Infoga följande rad efter den:

   opsuser ALL=(ALL) NOPASSWD: ALL

5. TTY-allokering stöds inte. Kontrollera att följande rad är utkommenterad:

   # Defaults requiretty

   Viktigt

   Det här steget krävs för sudo ska fungera.

6. Spara filen och avsluta visudo:

   Tryck på ESC + : (kolon) följt av wq!och tryck sedan på Retur.

7. Testa konfigurationen genom att ange följande två kommandon. Resultatet bör vara en kataloglistning, utan att du behöver ange ett lösenord:

   su - opsuser

   sudo ls /etc

Du kan använda kontot opsuser genom att använda lösenord och sudo-höjning för att ange autentiseringsuppgifter i Operations Manager-guider och för att konfigurera Kör som-konton.

Skapa en SSH-nyckel för autentisering

Använd följande procedurer för att skapa en SSH-nyckel för kontot opsuser som skapades i föregående exempel.

Generera SSH-nyckeln

1. Logga in som opsuser.

2. Generera nyckeln med hjälp av DSA-algoritmen (Digital Signature Algorithm):

   ssh-keygen -t dsa

   Observera lösenfrasen (valfri) om du har angett en sådan.

ssh-keygen skapar /home/opsuser/.ssh-katalogen med den privata nyckelfilen (id_dsa) och den offentliga nyckelfilen (id_dsa.pub). Du kan nu konfigurera nyckeln så att den stöds av opsuser, enligt beskrivningen i nästa procedur.

Konfigurera ett användarkonto för att stödja SSH-nyckeln

1. Skriv följande kommandon i kommandotolken. Navigera till katalogen för användarkontot:

   cd /home/opsuser

2. Ange exklusiv ägaråtkomst till katalogen:

   chmod 700 .ssh

3. Gå till katalogen .ssh:

   cd .ssh

4. Skapa en auktoriserad nyckelfil med den offentliga nyckeln:

   cat id_dsa.pub >> authorized_keys

5. Ge användaren läs- och skrivbehörighet till den auktoriserade nyckelfilen:

   chmod 600 authorized_keys

Du kan nu kopiera den privata SSH-nyckeln till den Windows-baserade datorn enligt beskrivningen i nästa procedur.

Kopiera den privata SSH-nyckeln till den Windows-baserade datorn och spara i OpenSSH-format

1. Använd ett verktyg, t.ex. WinSCP, om du vill överföra den privata nyckelfilen (id_dsa – utan tillägg) från UNIX- eller Linux-datorn till en katalog på din Windows-baserade dator.

2. Kör PuTTYgen.

3. Klicka på knappen Läs in i dialogrutan PuTTY-nyckelgenerator och välj den privata nyckel ((id_dsa) som du överförde från UNIX- eller Linux-datorn.

4. Klicka på Spara privat nyckel, ange ett namn och spara filen till den önskade katalogen.

Du kan använda kontot opsuser genom att använda SSH-nyckeln och sudo-höjning för att ange autentiseringsuppgifter i Operations Manager-guider och för att konfigurera Kör som-konton.

Anteckning

Kontrollera att du sparar den privata PuTTYgen-nyckeln som version 2 i stället för version 3. Du kan ändra PPK-filversionen genom att gå till menyn och välja Nyckelparametrar>för att spara nyckelfiler...
PPK-fil version 2 stöds för närvarande för System Center Operations Manager.

Nästa steg

• Information om att autentisera och övervaka UNIX- och Linux-datorer finns i Autentiseringsuppgifter du måste ha för åtkomst till UNIX- och Linux-datorer

• Granska Konfigurera SSL-chiffer om du behöver konfigurera om Operations Manager för att använda ett annat chiffer.