Управление SSH-ключами пользователя

Доступна только в UEM версии

Описание

Управление SSH-ключами пользователя — политика, которая позволяет добавлять или удалять публичные SSH-ключи для пользователей на устройствах под управлением Linux и macOS

Это инструмент для централизованного управления доступом по SSH без пароля, что упрощает автоматизацию, развертывание и безопасный доступ к устройствам по протоколу SSH

Примечание

Поддерживаемые операционные системы:

  • Linux

  • macOS

Важно

Внимание! SSH-ключи предоставляют доступ к устройству без ввода пароля. Используйте эту политику с осторожностью

Рекомендуется:

  • Хранить приватные SSH-ключи в безопасном месте

  • Регулярно обновлять и ротировать SSH-ключи

  • Удалять неиспользуемые или скомпрометированные ключи

  • Использовать ключи с парольной фразой для дополнительной безопасности

Свойства политики

После выбора шаблона политики откроется окно с ее свойствами для настройки

Вкладка «Политика» содержит следующие поля:

  • Название — уникальное имя политики в системе

    Важно

    Для выполнения или сохранения политики название обязательно для заполнения

  • Имя пользователя — учетная запись пользователя, для которой управляются SSH-ключи

    Важно

    Пользователь должен существовать на целевом устройстве

    Пример: deploy, admin, user

  • Действие — операция для выполнения с SSH-ключом

    • Добавить — добавляет указанный публичный SSH-ключ пользователю

    • Удалить — удаляет указанный публичный SSH-ключ у пользователя

  • Публичный SSH-ключ — содержимое публичного SSH-ключа

    Важно

    Для добавления: укажите полное содержимое публичного ключа (обычно начинается с ssh-rsa, ssh-ed25519 или ecdsa-sha2-nistp256)

    Для удаления: укажите тот же ключ, который был добавлен ранее

    Пример: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC... user@host

Остальные вкладки описаны на странице Политики

Пример

Для добавления SSH-ключа пользователю deploy:

  1. Нажать на кнопку Добавить Политику в верхнем правом углу экрана на странице Политики

  2. Выбрать шаблон политики «Управление SSH-ключами пользователя» из списка предложенных шаблонов

  3. Заполнить поле Название

    Например: Добавление SSH-ключа для пользователя deploy

  4. Заполнить поле Имя пользователя

    Например: deploy

  5. Выбрать действие Действие

    Например: Добавить

  6. Заполнить поле Публичный SSH-ключ

    Например: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8NgeUqKpCVL1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/= user@deploy-host

    Примечание

    Ключ должен быть в однострочном формате. Обычно содержимое файла id_rsa.pub или id_ed25519.pub

  7. Нажать на кнопку Сохранить

  8. Выполнить Тестовый запуск на устройстве для проверки работоспособности политики

  9. После применения политики:

    • На устройстве будет создана директория ~/.ssh (если не существует) с правами 0700

    • Будет создан или обновлен файл ~/.ssh/authorized_keys с правами 0600

    • Указанный SSH-ключ будет добавлен в файл authorized_keys

    • Владельцем файлов будет указанный пользователь

    • Пользователь сможет подключаться по SSH с соответствующего приватного ключа

Для удаления SSH-ключа у пользователя deploy:

  1. Заполнить поле Название

    Например: Удаление SSH-ключа пользователя deploy

  2. Заполнить поле Имя пользователя

    Например: deploy

  3. Выбрать действие Действие

    Например: Удалить

  4. Заполнить поле Публичный SSH-ключ

    Например: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8NgeUqKpCVL1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/= user@deploy-host

    Важно

    Для удаления необходимо указать точно такой же ключ, который был добавлен ранее

  5. Нажать на кнопку Сохранить

  6. Выполнить Тестовый запуск на устройстве для проверки работоспособности политики

Примечание

Расположение файлов SSH-ключей:

  • Linux: /home/<username>/.ssh/authorized_keys

  • macOS: /Users/<username>/.ssh/authorized_keys

Формат SSH-ключа: <тип_ключа> <содержимое_ключа> <комментарий>

Предупреждение

Важные предупреждения:

  • Публичный SSH-ключ должен быть в корректном формате

  • При добавлении дублирующихся ключей они будут проигнорированы

  • Удаление ключа работает только при точном совпадении всего содержимого ключа

  • При удалении несуществующего ключа операция завершится успешно (idempотентность)

  • Убедитесь, что пользователь существует на целевом устройстве

  • На macOS домашняя директория всегда имеет путь /Users/<username>