Como configurar sudo elevação e chaves SSH
Publicado: março de 2016
Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Começando System Center 2012 – Operations Manager, pode fornecer credenciais para uma conta sem privilégios para elevada num computador com UNIX ou Linux utilizando o programa de sudo, que permite aos utilizadores executar programas que tenham os privilégios de segurança de outra conta de utilizador. Também pode utilizar teclas de seguro Shell (SSH) em vez de uma palavra-passe para comunicação segura entre o Operations Manager e o computador de destino.
Este tópico oferece exemplos para criar uma conta para um utilizador de baixa-privilegiado, implementar sudo e criar uma chave SSH num computador com Red Hat Enterprise Linux Server 6. Estas são apenas exemplos e não poderão refletir o seu ambiente. Os exemplos seguintes fornecem um utilizador com acesso a um conjunto completo de privilégios.
Para obter e configurar o SSH chave do computador com UNIX e Linux, tem de instalar o seguinte software no seu computador baseados no Windows:
Uma ferramenta de transferência ficheiro, tal como WinSCP, para transferir ficheiros do computador com UNIX ou Linux para o computador baseados no Windows.
O programa PuTTY, ou um programa semelhante, para executar comandos no computador com UNIX ou Linux.
O programa PuTTYgen para guardar a chave privada do SHH no formato de OpenSSH no computador baseados no Windows.
Nota
O programa de sudo existe em diferentes localizações no sistemas operativos UNIX e Linux. Para fornecer acesso uniforme ao sudo, o script de instalação de agentes UNIX e Linux cria a ligação simbólica /etc/opt/microsoft/scx/conf/sudodir para apontar para o diretório esperado para conter o programa de sudo. O agente utiliza esta ligação simbólica invocar sudo. O script de instalação cria automaticamente a ligação simbólica, pelo que não necessita de tomar qualquer ação padrão configurações UNIX e Linux; No entanto, se tiver sudo instalado uma localização não padrão, deverá alterar a ligação simbólica para apontar para o diretório onde sudo está instalado. Se mudar de ligação simbólica, o respetivo valor é preservado nos desinstalar, voltar a instalar e operações com o agente de atualização.
Configurar uma conta privilegiada de baixa para sudo elevação
Os procedimentos seguintes criar uma elevação de conta e sudo baixa-privilegiado utilizando opsuser para um nome de utilizador.
Para criar um utilizador de baixa-privilegiado
-
Inicie sessão no computador com UNIX ou Linux como root.
-
Adicione o utilizador:
useradd opsuser
-
Adicionar uma palavra-passe e confirme a palavra-passe:
passwd opsuser
Agora pode configurar elevação de sudo e criar uma chave SSH para opsuser, tal como descrito nos procedimentos seguintes.
Para configurar elevação de sudo para o utilizador baixa-privilegiado
-
Inicie sessão no computador com UNIX ou Linux como root.
-
Utilize o programa de visudo para editar a configuração de sudo num editor de texto disquete vi. Execute o seguinte comando:
visudo
-
Localize a linha seguinte:
root ALL=(ALL) ALL
-
Inserir a linha seguinte após-lo:
opsuser ALL=(ALL) NOPASSWD: ALL
-
Alocação de TTY não é suportada. Certifique-se de que a linha seguinte tem comentários:
# Defaults requiretty
.jpeg "System_CAPS_important")
ImportanteEste passo é necessário para sudo trabalhar.
-
Guardar o ficheiro e sair visudo:
Prima ESC +: (dois pontos) seguido wq!, e, em seguida, prima Enter.
-
Teste a configuração mediante a introdução os seguintes comandos de dois. O resultado deve ser uma listagem do directório sem que indique uma palavra-passe:
su - opsuser
sudo ls /etc
Pode utilizar o opsuser conta utilizando a palavra-passe e sudo elevação para a especificação de credenciais na assistentes do Operations Manager e para configurar contas Run As.
Criar uma chave SSH para autenticação
Os procedimentos seguintes criar uma chave SSH para a opsuser conta que foi criada nos exemplos anteriores.
Para gerar a chave SSH
-
Inicie sessão como opsuser.
-
Gerar a chave utilizando o algoritmo de algoritmo de Assinatura Digital (DSA):
ssh-keygen –t dsa
Tenha em atenção a frase de acesso de voz opcional se tiver fornecido-lo.
O ssh-keygen cria o /home/opsuser/.ssh \\' com o ficheiro de chave privado (id_dsa) e o ficheiro de chave pública (id_dsa.pub). Agora pode configurar a chave que seja suportado pelo opsuser conforme descrito no procedimento seguinte.
Para configurar uma conta de utilizador para suportar a chave SSH
-
Na linha de comandos, digite os comandos seguintes. Para navegar para o diretório de conta de utilizador:
cd /home/opsuser
-
Especifica acesso exclusivo proprietário para o diretório:
chmod 700 .ssh
-
Navegue para o diretório de .ssh:
cd .ssh
-
Crie um ficheiro de chaves autorizados com a chave pública:
cat id_dsa.pub >> authorized_keys
-
Dê a leitura de utilizador e permissões de escrita para o ficheiro de chaves autorizados:
chmod 600 authorized_keys
Agora pode copiar a chave SSH privada para o computador baseados no Windows, conforme descrito no procedimento seguinte.
Para copiar a chave SSH privada para o computador baseados no Windows e guardar no formato de OpenSSH
-
Utilizar uma ferramenta, tais como WinSCP, para transferir o ficheiro de chave privado (id_dsa – com sem extensão) a partir do computador com UNIX ou Linux para um diretório no seu computador baseados no Windows.
-
Execute PuTTYgen.
-
No PuTTY chave Generator caixa de diálogo, clique na carga botão e, em seguida, selecione a chave privada (id_dsa) que lhe transferidos a partir do computador com UNIX ou Linux.
-
Clique em chave privada guardar e atribua um nome e guardar o ficheiro para o diretório pretendido.
Pode utilizar o opsuser conta utilizando a elevação de chave e sudo SSH para a especificação de credenciais num assistentes do Operations Manager e para configurar contas Run As.