Konfigurera sudo-utökade privilegier och SSH-nycklar

Med Operations Manager kan du ange autentiseringsuppgifter för ett konto utan privilegier som ska utökas på en UNIX- eller Linux-dator med sudo, så att användaren kan köra program eller komma åt filer som har säkerhetsbehörighet för ett annat användarkonto. För agentunderhåll kan du också använda SSH-nycklar (Secure Shell) i stället för ett lösenord för säker kommunikation mellan Operations Manager och måldatorn.

Notera

Operations Manager stöder SSH-nyckelbaserad autentisering med nyckelfildata i PPK-format (PuTTY Private Key). Stöder för närvarande SSH v.1 RSA-nycklar och SSH v.2 RSA- och DSA-nycklar.

För att hämta och konfigurera SSH-nyckeln från UNIX- och Linux-datorn behöver du följande programvara på din Windows-baserade dator:

• Ett filöverföringsverktyg, till exempel WinSCP, för att överföra filer från UNIX- eller Linux-datorn till den Windows-baserade datorn.
• PuTTY-programmet, eller ett liknande program, för att köra kommandon på UNIX- eller Linux-datorn.
• PuTTYgen-programmet för att spara den privata SHH-nyckeln i OpenSSH-format på den Windows-baserade datorn.

Notera

Sudo-programmet finns på olika platser på UNIX- och Linux-operativsystem. För att ge enhetlig åtkomst till sudo skapar installationsskriptet för UNIX- och Linux-agenten den symboliska länken /etc/opt/microsoft/scx/conf/sudodir att peka på den katalog som förväntas innehålla sudo-programmet. Agenten använder sedan den här symboliska länken för att anropa sudo. När agenten installeras skapas den här symboliska länken automatiskt, det finns inga ytterligare åtgärder som krävs för unix- och Linux-standardkonfigurationer. Men om du har sudo installerat på en plats som inte är standard bör du ändra den symboliska länken så att den pekar på katalogen där sudo är installerat. Om du ändrar den symboliska länken bevaras dess värde mellan avinstallations-, ominstallations- och uppgraderingsåtgärder med agenten.

Konfigurera ett konto för sudo-förhöjning

Notera

Informationen i det här avsnittet beskriver hur du konfigurerar en exempelanvändare, scomuser, och ger den fullständiga rättigheter på klientdatorn.

Om du redan har användarkonton och/eller vill konfigurera lågprivilegier övervakning är sudoers-mallar tillgängliga och beviljar endast de behörigheter som krävs för lyckade övervaknings- och underhållsåtgärder. Mer information finns i: Sudoers-mallar för utökade privilegier i UNIX/Linux-övervakning

Följande procedurer skapar ett konto och höjning till sudo-rättigheter genom att använda scomuser som användarnamn.

Skapa en användare

1. Logga in på UNIX- eller Linux-datorn som root
2. Lägg till användaren: useradd scomuser
3. Lägg till ett lösenord och bekräfta lösenordet: passwd scomuser

Nu kan du konfigurera sudo elevation och skapa en SSH-nyckel för scomuser, enligt beskrivningen i följande procedurer.

Konfigurera sudo-höjning för användaren

1. Logga in på UNIX- eller Linux-datorn som root

2. Använd visudo-programmet för att redigera sudo-konfigurationen i en vi-textredigerare. Kör följande kommando: visudo

3. Hitta följande rad: root ALL=(ALL) ALL

4. Infoga följande rad efter den: scomuser ALL=(ALL) NOPASSWD: ALL

5. TTY-allokering stöds inte. Kontrollera att följande rad har kommenterats ut: # Defaults requiretty

   Viktig

   Det här steget krävs för att sudo ska fungera.

6. Spara filen och avsluta visudo:

   • Tryck på ESC sedan : (colon) följt av wq!och tryck sedan på Enter för att spara ändringarna och avsluta korrekt.

7. Testa konfigurationen genom att ange följande två kommandon. Resultatet bör vara en lista över katalogen utan att du uppmanas att ange ett lösenord:

   su - scomuser
   sudo ls /etc
   

Nu kan du komma åt scomuser-kontot genom att använda dess lösenord och sudo-behörighet, vilket gör det möjligt för dig att ange autentiseringsuppgifter i aktivitets- och identifieringsguiderna samt i RunAs-konton.

Skapa en SSH-nyckel för autentisering

Tips

SSH-nycklar används endast för agentunderhållsåtgärder och används inte för övervakning. Se till att du skapar nyckeln för rätt användare om du använder flera konton.

Följande procedurer skapar en SSH-nyckel för det scomuser konto som skapades i föregående exempel.

Generera SSH-nyckeln

1. Logga in som scomuser.
2. Generera nyckeln med hjälp av DSA-algoritmen (Digital Signature Algorithm): ssh-keygen -t dsa
   • Observera den valfria lösenfrasen om du har angett den.

Verktyget ssh-keygen skapar katalogen /home/scomuser/.ssh med den privata nyckelfilen id_dsa och den offentliga nyckelfilen id_dsa.pub inuti. Dessa filer används i följande procedur.

Konfigurera ett användarkonto för att stödja SSH-nyckeln

1. I kommandotolken skriver du följande kommandon. Så här navigerar du till användarkontokatalogen: cd /home/scomuser
2. Ange exklusiv ägaråtkomst till katalogen: chmod 700 .ssh
3. Navigera till .ssh-katalogen: cd .ssh
4. Skapa en auktoriserad nyckelfil med den offentliga nyckeln: cat id_dsa.pub >> authorized_keys
5. Ge användaren läs- och skrivbehörighet till den auktoriserade nyckelfilen: chmod 600 authorized_keys

Du kan nu kopiera den privata SSH-nyckeln till den Windows-baserade datorn enligt beskrivningen i nästa procedur.

Kopiera den privata SSH-nyckeln till den Windows-baserade datorn och spara i OpenSSH-format

1. Använd ett verktyg, till exempel WinSCP, för att överföra den privata nyckelfilen id_dsa (utan tillägg) från klienten till en katalog på din Windows-baserade dator.
2. Kör PuTTYgen.
3. I dialogrutan PuTTY-nyckelgenerator väljer du knappen Läs in och väljer sedan den privata nyckeln id_dsa som du överförde från UNIX- eller Linux-datorn.
4. Välj Spara privat nyckel och namn och spara filen i önskad katalog.
5. Du kan använda den exporterade filen i ett runas-konto för underhåll som konfigurerats för scomusereller när du utför underhållsaktiviteter via konsolen.

Du kan använda scomuser-kontot med hjälp av SSH-nyckeln och höjning av rättigheter med sudo för att specificera referenser i Operations Manager-guider och för att konfigurera Run As-konton.

Viktig

PPK-filversion 2 är den enda version som för närvarande stöds för System Center Operations Manager.

Som standard är PuTTYgen inställt på att använda PPK-fil version 3. Du kan ändra PPK-filversionen till 2 genom att gå till verktygsfältet och välja Nyckel > Parametrar för att spara nyckelfiler... och sedan välja alternativknappen för 2 för PPK-filversion.

Nästa steg

• Granska: Behörighetsuppgifter du måste ha för att få åtkomst till UNIX- och Linux-datorer, för att förstå hur man autentiserar och övervakar dina UNIX- och Linux-datorer.
• Granska Konfigurering av SSL-chiffer om du behöver konfigurera om Operations Manager på nytt för att använda ett annat chiffer.