Condividi tramite

Configurare l'elevazione sudo e le chiavi SSH

  • Articolo

Con Operations Manager è possibile specificare le credenziali per un account senza privilegi elevati in un computer UNIX o Linux usando sudo, consentendo all'utente di eseguire programmi o accedere a file con privilegi di sicurezza di un altro account utente. Per la manutenzione dell'agente, è anche possibile usare chiavi SSH (Secure Shell) anziché una password per la comunicazione sicura tra Operations Manager e il computer di destinazione.

Nota

Operations Manager supporta l'autenticazione basata su chiavi SSH con i dati dei file di chiave nel formato PPK (PuTTY Private Key). Attualmente supporta chiavi RSA SSH v.1 e chiavi SSH v.2 RSA e DSA.

Per ottenere e configurare la chiave SSH dal computer UNIX e Linux, è necessario il software seguente nel computer basato su Windows:

  • Uno strumento di trasferimento file, ad esempio WinSCP, per trasferire i file dal computer UNIX o Linux al computer basato su Windows.
  • Il programma PuTTY, o un programma simile, per eseguire comandi nel computer UNIX o Linux.
  • Il programma PuTTYgen per salvare la chiave SHH privata in formato OpenSSH nel computer basato su Windows.

Nota

Il programma sudo esiste in posizioni diverse nei sistemi operativi UNIX e Linux. Per fornire l'accesso uniforme a sudo, lo script di installazione dell'agente UNIX e Linux crea il collegamento /etc/opt/microsoft/scx/conf/sudodir simbolico per puntare alla directory che deve contenere il programma sudo. L'agente quindi utilizza questo collegamento simbolico per invocare sudo. Quando l'agente viene installato, questo collegamento simbolico viene creato automaticamente, non sono necessarie azioni aggiuntive nelle configurazioni UNIX e Linux standard; Tuttavia, se sudo è installato in un percorso non standard, è necessario modificare il collegamento simbolico in modo che punti alla directory in cui è installato sudo. Se si modifica il collegamento simbolico, il relativo valore viene mantenuto tra le operazioni di disinstallazione, reinstallazione e aggiornamento con l'agente.

Configurare un account per l'elevazione dei privilegi sudo

Nota

Le informazioni fornite in questa sezione illustrano come configurare un utente di esempio, scomusere concede loro diritti completi nel computer client.

Se si dispone già di account utente e/o si vuole configurare il monitoraggio a basso privilegio, sono disponibili modelli sudoers che concedono solo le autorizzazioni necessarie per le operazioni di monitoraggio e manutenzione riuscite. Per altre informazioni, vedere: Modelli sudoers per l'elevazione dei privilegi nel monitoraggio UNIX/Linux

Le procedure seguenti creano un account e forniscono i privilegi sudo utilizzando scomuser come nome utente.

Creare un utente

  1. Accedi al computer UNIX o Linux come root
  2. Aggiungere l'utente: useradd scomuser
  3. Aggiungere una password e confermare la password: passwd scomuser

Ora è possibile configurare l'elevazione sudo e creare una chiave SSH per scomuser, come descritto nelle procedure seguenti.

Configurare l'elevazione dei privilegi sudo per l'utente

  1. Accedi al computer UNIX o Linux come root

  2. Usare il programma visudo per modificare la configurazione sudo in un editor di testo vi. Eseguire il seguente comando: visudo

  3. Trovare la riga seguente: root ALL=(ALL) ALL

  4. Inserire la riga seguente dopo: scomuser ALL=(ALL) NOPASSWD: ALL

  5. L'allocazione TTY non è supportata. Assicurarsi che la riga seguente sia commentata: # Defaults requiretty

    Importante

    Questo passaggio è necessario affinché sudo funzioni.

  6. Salvare il file ed uscire da visudo:

    • Premere ESC quindi : (colon) seguito da wq!e quindi premere Enter per salvare le modifiche e uscire normalmente.

  7. Testare la configurazione immettendo i due comandi seguenti. Il risultato deve essere un elenco della directory senza che venga richiesta una password:

    su - scomuser
sudo ls /etc

È ora possibile accedere all'account scomuser usando la password e l'elevazione dei privilegi con sudo, consentendo di specificare le credenziali nelle procedure guidate per le attività e il rilevamento e all'interno degli account RunAs.

Creare una chiave SSH per l'autenticazione

Suggerimento

Le chiavi SSH vengono usate solo per le operazioni di manutenzione dell'agente e non vengono usate per il monitoraggio, assicurarsi di creare la chiave per l'utente corretto se si usano più account.

Le procedure seguenti creano una chiave SSH per l'account scomuser creato negli esempi precedenti.

Generare la chiave SSH

  1. Accedere come scomuser.
  2. Generare la chiave usando l'algoritmo DSA (Digital Signature Algorithm): ssh-keygen -t dsa
    • Nota la passphrase facoltativa se l'hai specificata.

L'utilità ssh-keygen crea la /home/scomuser/.ssh directory con il file di chiave privata e il file id_dsaid_dsa.pub di chiave pubblica all'interno, questi file vengono usati nella procedura seguente.

Configurare un account utente per supportare la chiave SSH

  1. Al prompt dei comandi digitare i comandi seguenti. Per passare alla directory dell'account utente: cd /home/scomuser
  2. Specificare l'accesso esclusivo del proprietario alla directory: chmod 700 .ssh
  3. Navigare alla directory .ssh: cd .ssh
  4. Creare un file di chiavi autorizzate con la chiave pubblica: cat id_dsa.pub >> authorized_keys
  5. Concedere all'utente le autorizzazioni di lettura e scrittura per il file di chiavi autorizzate: chmod 600 authorized_keys

È ora possibile copiare la chiave SSH privata nel computer basato su Windows, come descritto nella procedura successiva.

Copiare la chiave SSH privata nel computer basato su Windows e salvare in formato OpenSSH

  1. Usare uno strumento, ad esempio WinSCP, per trasferire il file id_dsa di chiave privata (senza estensione) dal client a una directory nel computer basato su Windows.
  2. Eseguire PuTTYgen.
  3. Nella finestra di dialogo Generatore di chiavi PuTTY selezionare il pulsante Carica e quindi selezionare la chiave id_dsa privata trasferita dal computer UNIX o Linux.
  4. Selezionare Salva chiave privata e nome e salvare il file nella directory desiderata.
  5. È possibile usare il file esportato all'interno di un account RunAs di manutenzione configurato per scomusero durante l'esecuzione di attività di manutenzione tramite la console.

È possibile utilizzare l'account scomuser utilizzando la chiave SSH e l'elevazione dei privilegi con sudo per specificare le credenziali nelle procedure guidate di Operations Manager e per la configurazione degli account Run As.

Importante

Il file PPK versione 2 è l'unica versione attualmente supportata per System Center Operations Manager.

Per impostazione predefinita, PuTTYgen è impostato per l'uso del file PPK versione 3. È possibile modificare la versione del file PPK a 2 passando alla barra degli strumenti, selezionando Parametri chiave > per salvare i file di chiave..., e quindi selezionando il pulsante di scelta per 2 per la versione del file PPK.

Screenshot del generatore di chiavi PuTTY che mostra dove selezionare la versione del file PPK per la chiave privata.

Passaggi successivi