共用方式為

設定 sudo 提高許可權和 SSH 金鑰

  • 發行項

透過 Operations Manager,您可以使用 sudo,為 UNIX 或 Linux 電腦上提高非特殊許可權帳戶提供認證,讓使用者能夠執行具有另一個使用者帳戶安全性許可權的程式或存取檔案。 針對代理程式維護,您也可以使用安全殼層 (SSH) 金鑰,而不是密碼,以在 Operations Manager 與目標電腦之間進行安全通訊。

注意

Operations Manager 支援使用 PuTTY 私鑰 (PPK) 格式的金鑰檔案資料進行 SSH 金鑰型驗證。 目前支援 SSH v.1 RSA 金鑰和 SSH v.2 RSA 和 DSA 金鑰。

若要從 UNIX 和 Linux 電腦取得及設定 SSH 金鑰,您需要 Windows 電腦上的下列軟體:

  • 檔案傳輸工具,例如 WinSCP,將檔案從 UNIX 或 Linux 電腦傳輸至 Windows 電腦。
  • PuTTY 程式或類似的程式,在 UNIX 或 Linux 電腦上執行命令。
  • PuTTYgen 程式,在 Windows 電腦上以 OpenSSH 格式儲存私用 SHH 金鑰。

注意

sudo 程式存在於 UNIX 和 Linux 作業系統的不同位置。 為了提供 sudo 的統一存取權,UNIX 和 Linux 代理程式安裝腳本會建立符號連結 /etc/opt/microsoft/scx/conf/sudodir ,以指向預期包含 sudo 程式的目錄。 然後代理程式會使用此符號連結來叫用 sudo。 安裝代理程式時,會自動建立此符號連結,標準 UNIX 和 Linux 組態上不需要執行其他動作;不過,如果您已在非標準位置安裝sudo,您應該將符號連結變更為指向安裝sudo的目錄。 如果您變更符號連結,則會在代理程式進行卸載、重新安裝和升級作業時保留其值。

設定 sudo 提高許可權的帳戶

注意

本節中提供的資訊會逐步解說如何設定範例使用者, scomuser並授與用戶端計算機的完整許可權。

如果您已經有用戶帳戶和/或想要設定 低許可權 監視,可以使用sudoers範本,並僅授與成功監視和維護作業所需的許可權。 如需詳細資訊,請參閱: 在 UNIX/Linux 監視中提升許可權的 Sudoers 範本

下列程式會使用 scomuser 作為用戶名稱來建立帳戶和 sudo 提高許可權。

建立使用者

  1. 以身分登入 UNIX 或 Linux 電腦 root
  2. 新增使用者: useradd scomuser
  3. 新增密碼並確認密碼: passwd scomuser

您現在可以設定 sudo 提高許可權,併為 建立 SSH 金鑰 scomuser,如下列程式所述。

設定使用者的 sudo 提高許可權

  1. 以身分登入 UNIX 或 Linux 電腦 root

  2. 使用visudo程式在vi文本編輯器中編輯sudo組態。 執行下列命令:visudo

  3. 尋找下列這一行: root ALL=(ALL) ALL

  4. 在後面插入下列這一行: scomuser ALL=(ALL) NOPASSWD: ALL

  5. 不支援 TTY 配置。 請確定下列這一行已批注化: # Defaults requiretty

    重要

    需要此步驟,sudo 才能運作。

  6. 儲存盤案並結束visudo:

    • ESC: (colon)wq!按 ,然後按 Enter 以儲存變更並正常結束。

  7. 輸入下列兩個命令來測試組態。 結果應該是目錄的清單,而不會提示您輸入密碼:

    su - scomuser
sudo ls /etc

您現在可以使用其密碼和 sudo 提高許可權來存取 scomuser 帳戶,讓您在工作和探索精靈中,以及在 RunAs 帳戶內指定認證。

建立 SSH 金鑰以進行驗證

提示

SSH 金鑰僅用於代理程式維護作業,而且不會用於監視,請確定您在使用多個帳戶時,為正確的使用者建立密鑰。

下列程式會針對先前範例中建立的 scomuser 帳戶建立 SSH 金鑰。

產生 SSH 金鑰

  1. scomuser登入。
  2. 使用數位簽章演算法 (DSA) 演演算法產生金鑰: ssh-keygen -t dsa
    • 如果您提供了選擇性複雜密碼,請記下它。

ssh-keygen 公用程式會/home/scomuser/.ssh使用私鑰檔案和內部的公鑰檔案id_dsaid_dsa.pub來建立目錄,這些檔案會在下列程式中使用。

設定用戶帳戶以支援 SSH 金鑰

  1. 在命令提示字元中,輸入下列命令。 若要瀏覽至使用者帳戶目錄: cd /home/scomuser
  2. 指定目錄的獨佔擁有者存取權: chmod 700 .ssh
  3. 瀏覽至 .ssh 目錄: cd .ssh
  4. 使用公鑰建立授權金鑰檔案: cat id_dsa.pub >> authorized_keys
  5. 為使用者提供授權金鑰檔案的讀取和寫入權限: chmod 600 authorized_keys

您現在可以將私鑰複製到 Windows 電腦,如下一個程式所述。

將私鑰複製到 Windows 電腦,並以 OpenSSH 格式儲存

  1. 使用 WinSCP 之類的工具,將私鑰檔案 id_dsa (不含擴展名)從用戶端傳輸到 Windows 電腦上的目錄。
  2. 執行 PuTTYgen。
  3. 在 [ PuTTY 金鑰產生器] 對話框中,選取 [ 載入 ] 按鈕,然後選取您從 UNIX 或 Linux 電腦傳輸的私鑰 id_dsa
  4. 選取 [ 儲存私鑰 和名稱],並將檔案儲存至所需的目錄。
  5. 您可以在針對 scomuser設定的維護 RunAs 帳戶內,或透過主控台執行維護工作時,使用導出的檔案。

您可以使用 SSH 金鑰和 sudo 提高許可權來使用 scomuser 帳戶,以在 Operations Manager 精靈中指定認證,以及設定執行身分帳戶。

重要

PPK 檔案第 2 版是 System Center Operations Manager 目前唯一支援的版本。

根據預設,PuTTYgen 會設定為使用 PPK 檔案第 3 版。 您可以移至工具列並選取 [金鑰 > 參數] 以將 PPK 檔案版本變更為 2...,然後針對 PPK 檔案版本選取 2 的單選按鈕。

PuTTY 金鑰產生器的螢幕快照,其中顯示要選取私鑰的 PPK 檔案版本。

下一步