Интеллектуальные возможности > Сервисы Directum Ario > Администрирование сервисов Ario (Linux) > Распределенная установка сервисов Ario > Настройка защищенного подключения к управляемым узлам

Чтобы безопасно управлять удаленными серверами, настройте протокол SSH:

1.С помощью команды на управляющем узле сгенерируйте открытый и закрытый ключи. Скопируйте открытый ключ на управляемые узлы с операционной системой Linux.

2.Скопируйте открытый ключ на управляемые узлы с операционной системой Microsoft Windows.

Генерация ключей и копирование открытого ключа на управляемые узлы с Linux

На управляющем узле перейдите в папку с Directum Launcher и выполните команду:

./do.sh ssh_keygen_and_copy --remote_username="<Имя пользователя>" --remote_server="<Имя узла>" --private_key_path="<Путь до закрытого ключа>"

В качестве значений ключей укажите:

--remote_username – имя пользователя, от которого будет происходить подключение по протоколу SSH к управляемым узлам;

--remote_server – имя или IP-адрес управляемого узла на который нужно скопировать открытый ключ;

--private_key_path – аргумент необязательный. Если аргумент не используется, то закрытый ключ сохраняется по пути ~/.ssh/id_rsa. Если нужно изменить путь по умолчанию, добавьте аргумент и укажите в нем нужное значение.

ПРИМЕЧАНИЕ. Если ранее был сгенерирован ключ с произвольным именем, то укажите путь до него в качестве значения --private_key_path.

--comment – комментарий к ключу, если он требуется.

Пример команды:

./do.sh ssh_keygen_and_copy --remote_username="User" --remote_server="linux_host_1" --private_key_path="/home/admin/.ssh/id_rsa"

В результате сгенерируются:

•закрытый ключ – в папку, указанную в --private_key_path. Хранится на управляющем сервере и должен быть защищен от компрометации;

•открытый ключ – в папку с закрытым ключом. При этом открытый ключ сохраняется с расширением .pub. В дальнейшем копируется на сервер, к которому нужно получить доступ.

ПРИМЕЧАНИЕ. Ключи также можно сгенерировать с помощью стандартной команды ssh-keygen. После этого их нужно вручную скопировать на управляемые узлы.

Копирование открытого ключа на управляемые узлы с Windows

В операционной системе Microsoft Windows используется средство подключения для удаленного входа OpenSSH. Чтобы проверить, установлен ли OpenSSH Server, в Powershell выполните команду:

Get-service sshd

Если в результате выводится информация о сервисе sshd, то OpenSSH Server уже установлен.

Если в результате отображается ошибка «Get-service: Не удается найти службу с именем службы "sshd"», то OpenSSH Server не установлен. В этом случае установите его. Порядок установки см. в документации Microsoft статью «Установка OpenSSH».

Дальнейшие шаги выполняются в зависимости от того, в какую группу входит пользователь, от которого будет осуществляться подключение по протоколу SSH.

Пользователь входит в группу «Администраторы»

1.Откройте конфигурационный файл OpenSSH. По умолчанию путь до файла C:\ProgramData\ssh\sshd_config.

2.Найдите строки, в которых указан путь до файла с открытым ключом. Пример:

Match Group administrators
AuthorizedKeysFile
__PROGRAMDATA__/ssh/administrators_authorized_keys

В приведенном примере файл сохраняется в папку C:\ProgramData\ssh\administrators_authorized_keys. Если файла нет, то создайте текстовый файл по указанному пути. Расширение указывать не нужно.

3.Дальнейшие шаги выполняйте в зависимости от языка установленной операционной системы:

•англоязычная версия Microsoft Windows:

1.В файл C:\ProgramData\ssh\administrators_authorized_keys скопируйте содержимое открытого ключа.

2.Настройте права для файла administrators_authorized_keys. Для этого в PowerShell от имени администратора выполните:

icacls.exe "C:\ProgramData\ssh\administrators_authorized_keys" /inheritance:r /grant "Administrators:F" /grant "SYSTEM:F"

3.Перезапустите службу sshd. Для этого запустите Powershell от имени администратора и выполните:

Restart-Service sshd

•русскоязычная версия Microsoft Windows:

1.В конфигурационном файле OpenSSH измените имя группы на русское в нижнем регистре. Затем сохраните файл в кодировке UTF-8. Путь до файла по умолчанию: C:\ProgramData\ssh\sshd_config.

Пример настройки:

Match Group администраторы
AuthorizedKeysFile
__PROGRAMDATA__/ssh/administrators_authorized_keys

2.В файл C:\ProgramData\ssh\administrators_authorized_keys скопируйте содержимое открытого ключа.

3.Настройте права для файла administrators_authorized_keys. Для этого запустите PowerShell от имени администратора и выполните:

icacls.exe "C:\ProgramData\ssh\administrators_authorized_keys" /inheritance:r /grant "администраторы:F" /grant "SYSTEM:F"

4.Перезапустите службу sshd. Для этого запустите Powershell от имени администратора и выполните:

Restart-Service sshd

5.Выполните первое подключение к управляемому узлу. Для каждого сервера выполните:

ssh user@remote_server

Где user@server – имя пользователя и адрес удаленного сервера.

В результате выполнения команды появится запрос подтверждения, что вы доверяете ключу сервера. Введите «yes» и нажмите на клавишу ENTER. В результате ключ сервера сохранится на управляющем сервере в файле ~/.ssh/known_hosts.

Пользователь не входит в группу «Администраторы»