Table of contents
TOC
Réduire la table des matières
Développer la table des matières

Comment configurer l’élévation sudo et les clés SSH

Matt Goedtel|Dernière mise à jour: 30/11/2016
|
1 Contributeur

S’applique à : System Center 2016 - Operations Manager

Avec System Center 2016 - Operations Manager, vous pouvez utiliser le programme sudo pour fournir des informations d’identification pour un compte non privilégié avec élévation de privilèges sur un ordinateur UNIX ou Linux. Cela permet aux utilisateurs d’exécuter des programmes qui ont les privilèges de sécurité d’un autre compte d’utilisateur. Vous pouvez également utiliser des clés Secure Shell (SSH) au lieu d’un mot de passe pour sécuriser la communication entre Operations Manager et l’ordinateur cible.

Cette rubrique fournit des exemples montrant comment créer un compte pour un utilisateur avec des privilèges faibles, comment implémenter l’élévation sudo et comment créer une clé SSH sur un ordinateur exécutant Red Hat Enterprise Linux Server 6. Il s’agit seulement d’exemples, qui ne reflètent pas forcément votre environnement. Les exemples suivants permettent d’accorder à un utilisateur un accès avec un ensemble complet de privilèges.

Pour obtenir et configurer la clé SSH à partir d’un ordinateur UNIX et Linux, vous devez installer les logiciels suivants sur votre ordinateur Windows :

  • Un outil de transfert de fichiers, tel que WinSCP, pour transférer les fichiers de l’ordinateur UNIX ou Linux vers l’ordinateur Windows.

  • Le programme PuTTY, ou un programme similaire, pour exécuter les commandes sur l’ordinateur UNIX ou Linux.

  • Le programme PuTTYgen pour enregistrer la clé SSH privée au format OpenSSH sur l’ordinateur Windows.

Remarque

Le programme sudo se trouve à différents emplacements sur les systèmes d’exploitation UNIX et Linux. Pour faciliter l’accès au programme sudo, le script d’installation de l’agent UNIX et Linux crée le lien symbolique /etc/opt/microsoft/scx/conf/sudodir qui pointe vers le répertoire devant contenir le programme sudo. L’agent utilise ce lien symbolique pour appeler sudo. Le script d’installation crée automatiquement le lien symbolique. Vous n’avez donc pas besoin de modifier les configurations standard UNIX et Linux. Toutefois, si sudo n’est pas installé à l’emplacement standard, vous devez modifier le lien symbolique pour qu’il pointe vers le répertoire d’installation actuel de sudo. Si vous modifiez le lien symbolique, le nouveau lien est conservé et utilisé dans les opérations de désinstallation, de réinstallation et de mise à niveau de l’agent.

Configurer l’élévation sudo pour un compte à faibles privilèges

Les procédures suivantes créent un compte à faibles privilèges et configurent une élévation sudo pour le nom d’utilisateur opsuser.

Pour créer un utilisateur avec de faibles privilèges

  1. Ouvrez une session sur l’ordinateur UNIX ou Linux en tant que root.

  2. Ajoutez l’utilisateur :

    useradd opsuser

  3. Ajoutez un mot de passe et confirmez-le :

    passwd opsuser

Vous pouvez maintenant configurer l’élévation sudo et créer une clé SSH pour opsuser, comme décrit dans les procédures suivantes.

Pour configurer l’élévation sudo pour l’utilisateur avec de faibles privilèges

  1. Ouvrez une session sur l’ordinateur UNIX ou Linux en tant que root.

  2. Utilisez le programme visudo pour modifier la configuration sudo dans un éditeur de texte vi. Exécutez la commande suivante :

    visudo

  3. Recherchez la ligne suivante :

    root ALL=(ALL) ALL

  4. Ajoutez à la fin de cette ligne la ligne suivante :

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. L’allocation TTY n’est pas prise en charge. La ligne suivante doit être mise en commentaire :

    # Defaults requiretty

    Important

    Cette étape est indispensable pour que le programme sudo fonctionne.

  6. Enregistrez le fichier et quittez visudo :

    Appuyez sur Échap + : (deux-points) suivi par wq!, puis appuyez sur Entrée.

  7. Testez la configuration en entrant les deux commandes suivantes. Le contenu du répertoire doit s’afficher sans demande de mot de passe :

    su - opsuser

    sudo ls /etc

Vous pouvez utiliser le compte opsuser avec le mot de passe et l’élévation sudo pour spécifier des informations d’identification dans les Assistants d’Operations Manager et pour configurer des comptes d’identification.

Créer une clé SSH pour l’authentification

Les procédures suivantes créent une clé SSH pour le compte opsuser qui a été créé dans les exemples précédents.

Pour générer la clé SSH

  1. Ouvrez une session en tant que opsuser.

  2. Générez la clé à l’aide de l’algorithme DSA (Digital Signature Algorithm) :

    ssh-keygen -t dsa

    Notez la phrase secrète (facultative) si vous en indiquez une.

La commande sshkeygen crée le répertoire /home/opsuser/.ssh avec le fichier de clé privée id_dsa et le fichier de clé publique (id_dsa.pub). Vous pouvez maintenant configurer la clé devant être prise en charge par opsuser, comme expliqué dans la procédure suivante.

Pour configurer un compte d’utilisateur pour prendre en charge la clé SSH

  1. À l’invite de commandes, tapez les commandes suivantes. Pour accéder au répertoire du compte d’utilisateur :

    cd /home/opsuser

  2. Spécifiez un accès propriétaire exclusif au répertoire :

    chmod 700 .ssh

  3. Accédez au répertoire .ssh :

    cd .ssh

  4. Créez un fichier de clés autorisées avec la clé publique :

    cat id_dsa.pub >> authorized_keys

  5. Accordez à l’utilisateur des autorisations de lecture et d’écriture pour le fichier de clés autorisées :

    chmod 600 authorized_keys

Vous pouvez maintenant copier la clé SSH privée sur l’ordinateur Windows, comme indiqué dans la procédure suivante.

Pour copier la clé SSH privée sur l’ordinateur Windows et l’enregistrer au format OpenSSH

  1. Utilisez un outil tel que WinSCP pour transférer le fichier de clé privée (id_dsa -, sans extension) de l’ordinateur UNIX ou Linux vers un répertoire sur votre ordinateur Windows.

  2. Exécutez PuTTYgen.

  3. Dans la boîte de dialogue Générateur de clé PuTTY, cliquez sur le bouton Charger, puis sélectionnez la clé privée (id_dsa que vous avez transférée de l’ordinateur UNIX ou Linux.

  4. Cliquez sur Enregistrer la clé privée, puis nommez et enregistrez le fichier dans le répertoire de votre choix.

Vous pouvez utiliser le compte opsuser avec la clé SSH et l’élévation sudo pour spécifier des informations d’identification dans les Assistants d’Operations Manager et pour configurer des comptes d’identification.

Étapes suivantes

© 2017 Microsoft