Ověřování a šifrování dat pro počítače se systémem Windows
Rozsah platnosti: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Nástroj System Center 2012 – Operations Manager se skládá z různých součástí, například serveru pro správu, serveru brány, serveru pro sestavy, provozní databáze, datového skladu vykazovaných sestav, agenta, webové konzole a konzole Operations Console. V této části je podrobněji vysvětleno provádění ověřování. Jsou zde také uvedeny kanály připojení, kde jsou šifrována data.
Ověřování prostřednictvím certifikátu
Jestliže jsou agent a server pro správu nástroje Operations Manager odděleni nedůvěryhodnou doménovou strukturou nebo hranicí pracovních skupin, je třeba implementovat ověřování prostřednictvím certifikátu. V následujících částech najdete informace o těchto situacích a konkrétní postupy pro získání a instalaci certifikátů od certifikačních autorit pro systémy Windows.
Nastavení komunikace mezi agenty a servery pro správu v rámci téže hranice vztahů důvěryhodnosti
Agent a server pro správu používají ověřování systému Windows ke vzájemnému ověřování předtím, než server pro správu přijme data od agenta. Protokol Kerberos verze 5 je výchozí metodou pro zajištění ověřování. Má-li vzájemné ověřování prostřednictvím protokolu Kerberos fungovat, musí být agenti a server pro správu nainstalováni v doméně služby Active Directory. Pokud jsou agenti a server pro správu nainstalováni v samostatných doménách, mezi doménami musí být úplný vztah důvěryhodnosti. V tomto scénáři je po vzájemném ověření zašifrován datový kanál mezi agentem a serverem pro správu. K provedení ověření a šifrování není třeba žádný zásah uživatele.
Nastavení komunikace mezi agenty a servery pro správu v rámci více hranic vztahů důvěryhodnosti
Agenta (nebo agenty) lze nasadit do jiné domény (domény B), než ve které je server pro správu (doména A). Mezi doménami nemusí existovat žádný obousměrný vztah důvěryhodnosti. Protože mezi těmito dvěma doménami není žádný vztah důvěryhodnosti, agenti v jedné doméně se nemohou ověřovat se serverem pro správu v druhé doméně pomocí protokolu Kerberos. I přesto dochází ke vzájemnému ověřování mezi součástmi nástroje Operations Manager v rámci každé domény.
Tuto situaci lze vyřešit tak, že nainstalujete server brány do stejné domény, v níž jsou agenti, a potom na serveru brány i serveru pro správu nainstalujete certifikáty. Tím se umožní vzájemné ověřování a šifrování dat. Při použití serveru brány je zapotřebí pouze jeden certifikát v doméně B a pouze jeden port přes bránu firewall, jak je vidět na následujícím obrázku.
.jpeg "Vztah důvěryhodnosti mezi doménami")
Nastavení komunikace v rámci domény – hranice pracovní skupiny
V příslušném prostředí můžete mít jednoho nebo dva agenty nasazené do pracovní skupiny v rámci brány firewall. Agent v této pracovní skupině se nemůže ověřit se serverem pro správu v doméně pomocí protokolu Kerberos. Tuto situaci lze vyřešit tak, že nainstalujete certifikáty do počítače hostujícího agenta i na server pro správu, k němuž se agent připojuje (viz následující obrázek).
Poznámka
V tomto scénáři je zapotřebí agenta nainstalovat ručně.
.jpeg "Vztah důvěryhodnosti mezi doménou a pracovní skupinou")
Proveďte následující postup v počítači hostujícím agenta i na serveru pro správu pomocí stejné certifikační autority pro každou položku:
Požádejte certifikační autoritu o certifikáty.
Schvalte žádosti o certifikát u certifikační autority.
Nainstalujte schválené certifikáty do úložišť certifikátů v počítači.
Pomocí nástroje MOMCertImport nakonfigurujte nástroj Operations Manager.
Jedná se o tytéž kroky jako při instalaci certifikátů na serveru brány, avšak neinstalujete ani nespouštíte nástroj pro schválení brány.
Potvrzení instalace certifikátu
Pokud jste certifikát nainstalovali správně, do protokolu událostí nástroje Operations Manager se zapíše následující událost.
Typ |
Zdroj |
ID události |
Obecné |
|---|---|---|---|
Informace |
Konektor OpsMgr |
20053 |
Konektor OpsMgr úspěšně načetl zadaný certifikát ověřování. |
Během instalace certifikátu spusťte nástroj MOMCertImport. Po dokončení činnosti nástroje MOMCertImport se zapíše sériové číslo naimportovaného certifikátu do následujícího podklíče registru.
.jpeg "System_CAPS_caution") Upozornění |
|---|
Nesprávná úprava registru může vážně poškodit systém. Před provedením změn registru byste měli v počítači zálohovat veškerá cenná data. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Ověřování a šifrování dat mezi serverem pro správu, serverem brány a agenty
Komunikace mezi těmito součástmi nástroje Operations Manager začíná vzájemným ověřováním. Pokud se certifikáty nacházejí na obou koncích komunikačního kanálu, budou použity k vzájemnému ověřování; jinak se použije protokol Kerberos verze 5. Jsou-li jakékoli dvě součásti oddělené v rámci nedůvěryhodné domény, vzájemné ověřování musí být provedeno pomocí certifikátů.
Na tomto kanálu probíhá běžná komunikace, např. události, výstrahy a nasazení sady Management Pack. Předchozí obrázek je příkladem výstrahy vytvořené v jednom z agentů, která je směrována na server pro správu. Balíček zabezpečení Kerberos slouží k šifrování dat od agenta po server brány, protože server brány a agent jsou v téže doméně. Výstraha je dešifrována serverem brány a potom znovu zašifrována pomocí certifikátů pro server pro správu. Když server pro správu výstrahu přijme, tento server zprávu dešifruje, znovu ji zašifruje pomocí protokolu Kerberos a odešle ji na server pro správu, který ji dešifruje.
Některá komunikace mezi serverem pro správu a agentem může zahrnovat informace o pověření, například konfigurační data a úlohy. Datový kanál mezi agentem a serverem pro správu přidá k běžnému šifrování kanálu další úroveň šifrování navíc. Není vyžadován žádný zásah uživatele.
Server pro správu a konzole Operations Console, server webové konzole a server pro sestavy
Ověřování a šifrování dat mezi serverem pro správu a konzolí Operations Console, serverem webové konzole nebo serverem pro sestavy se provádí pomocí technologie WCF (Windows Communication Foundation). Počáteční pokus o ověření se uskuteční pomocí pověření uživatele. Nejprve se provede pokus o ověření pomocí protokolu Kerberos. Pokud protokol Kerberos nefunguje, další pokus se uskuteční pomocí protokolu NTLM. Jestliže ověření znovu neproběhne úspěšně, uživatel bude vyzván k zadání pověření. Po úspěšném ověření je zašifrován datový proud jako funkce protokolu Kerberos nebo SSL, použije-li se protokol NTLM.
V případě serveru pro sestavy a serveru pro správu se po ověření vytvoří datové připojení mezi serverem pro správu a serverem pro sestavy systému SQL Server. Toho je dosaženo výhradně pomocí protokolu Kerberos; proto se musejí server pro správu a server pro sestavy nacházet v důvěryhodných doménách. Další informace o technologii WCF najdete v článku na webu MSDN Co je technologie Windows Communication Foundation.
Server pro správu a datový sklad vykazovaných sestav
Mezi serverem pro správu a datovým skladem vykazovaných sestav existují dva komunikační kanály:
Proces hostitele monitorování vytvořený službou Health Service (služba System Center Management) na serveru pro správu
Služba System Center Data Access na serveru pro správu
Proces hostitele monitorování a datový sklad vykazovaných sestav
Ve výchozím nastavení provádí proces hostitele monitorování vytvořený službou Health Service, která zajišťuje zápis informací o shromážděných událostech a čítačích výkonu do datového skladu, integrované ověřování systému Windows spouštěné jako účet Data Writer, jež se zadává během nastavení vytváření sestav. Pověření účtu je bezpečně uloženo na účet Spustit jako, který se nazývá účet akce datového skladu. Tento účet Spustit jako je členem profilu Spustit jako, který se nazývá účet datového skladu (jenž je spojený s pravidly shromažďování dat).
Pokud jsou datový sklad vykazovaných sestav a server pro správu oddělené hranicí vztahů důvěryhodnosti (každý se nachází například v jiné doméně bez vztahu důvěryhodnosti), integrované ověřování systému Windows nebude fungovat. Tuto situaci lze vyřešit tak, že se proces hostitele monitorování připojí k datovému skladu vykazovaných sestav pomocí ověřování serveru SQL Server. Chcete-li to provést, vytvořte nový účet Spustit jako (typ jednoduchého účtu) s pověřením účtu SQL a nastavte jej jako člena profilu Spustit jako nazývaného účet ověřování systému SQL Server datového skladu. Server pro správu nastavte jako cílový počítač.
.jpeg "System_CAPS_important") Důležité |
|---|
Ve výchozím nastavení byl profilu Spustit jako (účet ověřování systému SQL Server datového skladu) přiřazen zvláštní účet prostřednictvím účtu Spustit jako se stejným názvem. Nikdy žádným způsobem neměňte účet přidružený k profilu Spustit jako pod názvem účet ověřování systému SQL Server datového skladu. Místo toho vytvořte vlastní účet a vlastní účet Spustit jako a nastavte jej jako člena profilu Spustit jako (účet ověřování systému SQL Server datového skladu) během konfigurace ověřování systému SQL Server. |
V následující části je popsán vztah různých pověření účtu, účtů Spustit jako a profilů Spustit jako pro integrované ověřování systému Windows a ověřování systému SQL Server.
Výchozí: Integrované ověřování systému Windows
Profil Spustit jako: Účet datového skladu
Účet Spustit jako: Účet akce datového skladu
Pověření: Účet Data Writer (zadaný během nastavení)
Profil Spustit jako: Účet ověřování systému SQL Server datového skladu
Účet Spustit jako: Účet ověřování systému SQL Server datového skladu
Pověření: Zvláštní účet vytvořený nástrojem Operations Manager (neměnit)
Volitelně: Ověřování serveru SQL
Profil Spustit jako: Účet ověřování systému SQL Server datového skladu
Účet Spustit jako: Nově vytvořený účet Spustit jako
Pověření: Nově vytvořený účet
Služba System Center Data Access a datový sklad vykazovaných sestav
Ve výchozím nastavení provádí služba System Center Data Access, která zajišťuje čtení dat z datového skladu vykazovaných sestav a jejich zpřístupnění v oblasti parametrů sestav, integrované ověřování systému Windows tak, že je spustí pomocí účtu služby Data Access a služby Configuration Service, jenž byl určen během instalace nástroje Operations Manager.
Jsou-li datový sklad vykazovaných sestav a server pro správu oddělené hranicí vztahů důvěryhodnosti (každý se nachází například v jiné doméně bez vztahu důvěryhodnosti), integrované ověřování systému Windows nebude fungovat. Tuto situaci lze vyřešit tak, že se služba System Center Data Access připojí k datovému skladu vykazovaných sestav pomocí ověřování serveru SQL Server. Chcete-li to provést, vytvořte nový účet Spustit jako (typ jednoduchého účtu) s pověřením účtu SQL a nastavte jej jako člena profilu Spustit jako nazývaného účet pro ověřování sestav serveru SQL SDK. Server pro správu nastavte jako cílový počítač.
| Důležité |
|---|
Ve výchozím nastavení byl profilu Spustit jako (účet pro ověřování sestav serveru SQL SDK) přiřazen zvláštní účet prostřednictvím účtu Spustit jako se stejným názvem. Nikdy žádným způsobem neměňte účet přidružený k profilu Spustit jako pod názvem účet pro ověřování sestav serveru SQL SDK. Místo toho vytvořte vlastní účet a vlastní účet Spustit jako a nastavte jej jako člena profilu Spustit jako (účet pro ověřování sestav serveru SQL SDK) během konfigurace ověřování systému SQL Server. |
V následující části je popsán vztah různých pověření účtu, účtů Spustit jako a profilů Spustit jako pro integrované ověřování systému Windows a ověřování systému SQL Server.
Výchozí: Integrované ověřování systému Windows
Účet služby Data Access a služby Configuration Service (určen při instalaci nástroje Operations Manager)
Profil Spustit jako: Účet pro ověřování sestav serveru SQL SDK
Účet Spustit jako: Účet pro ověřování sestav serveru SQL SDK
Pověření: Zvláštní účet vytvořený nástrojem Operations Manager (neměnit)
Volitelně: Ověřování serveru SQL
Profil Spustit jako: Účet ověřování systému SQL Server datového skladu
Účet Spustit jako: Nově vytvořený účet Spustit jako
Pověření: Nově vytvořený účet
Konzole Operations Console a server pro sestavy
Konzole Operations Console se připojí k serveru pro sestavy na portu 80 pomocí protokolu HTTP. Ověření se provede pomocí ověřování systému Windows. Data lze zašifrovat pomocí kanálu SSL. Další informace o použití protokolu SSL mezi konzolí Operations Console a serverem pro sestavy najdete v části Jak lze nakonfigurovat Operations Console používat protokol SSL při připojování k serveru pro generování sestav.
Server pro sestavy a datový sklad vykazovaných sestav
Ověřování mezi serverem pro sestavy a datovým skladem vykazovaných sestav je prováděno pomocí ověřování systému Windows. Účet, který byl zadán jako účet Data Reader během nastavení vytváření sestav, se na serveru pro sestavy stane účtem pro spouštění. Pokud bude třeba heslo účtu změnit, tutéž změnu hesla bude třeba provést pomocí Správce konfigurace služby Reporting Services na serveru SQL Server. Další informace o změně daného hesla najdete v části Změna sestav heslo účtu spuštění serveru. Data mezi serverem pro sestavy a datovým skladem vykazovaných sestav nejsou šifrována.