Planear las credenciales de seguridad para acceder a equipos Unix y Linux
En este artículo se describen las credenciales necesarias para instalar, mantener, actualizar y desinstalar agentes en un equipo UNIX o Linux.
En Operations Manager, el servidor de administración usa dos protocolos para comunicarse con el equipo UNIX o Linux:
Secure Shell (SSH) y Secure Shell File Transfer Protocol (SFTP)
- Se usa para instalar, actualizar y quitar agentes.
Servicios web para la administración (WS-Management)
- Se usa para todas las operaciones de supervisión e incluye la detección de agentes que ya estaban instalados.
El protocolo que se usa depende de la acción o la información que se solicita en el servidor de administración. Todas las acciones, como el mantenimiento del agente, monitores, reglas, tareas y recuperaciones, están configuradas para usar perfiles predefinidos según sus necesidades de una cuenta con privilegios o sin privilegios.
En Operations Manager, ya no es necesario el administrador del sistema para proporcionar la contraseña raíz del equipo UNIX o Linux al servidor de administración. Ahora, por elevación, una cuenta sin privilegios puede asumir la identidad de una cuenta con privilegios en el equipo UNIX o Linux. El proceso de elevación lo realizan los programas su (superusuario) y sudo UNIX que usan las credenciales que proporciona el servidor de administración. Para las operaciones de mantenimiento del agente con privilegios que usan SSH (por ejemplo, detección, implementación, actualizaciones, desinstalación y recuperación del agente), se proporciona compatibilidad con su, elevación de sudo y compatibilidad con la autenticación de clave SSH (con o sin frase de contraseña). Para las operaciones con privilegios de WS-Management (como ver archivos de registro seguros), se agrega compatibilidad con la elevación de sudo (sin contraseña).
Credenciales para instalar agentes
Operations Manager usa el protocolo Secure Shell (SSH) para instalar un agente y servicios web para la administración (WS-Management) para detectar agentes instalados anteriormente. La instalación requiere una cuenta con privilegios en el equipo UNIX o Linux. Hay dos maneras de proporcionar credenciales al equipo de destino, como se obtiene en el Asistente para administración de equipo y dispositivo:
Especifica un nombre de usuario y contraseña
El protocolo SSH usa la contraseña para instalar un agente o el protocolo WS-Management si el agente ya se instaló mediante un certificado firmado.
Especifica un nombre de usuario y una clave SSH. La clave puede incluir una frase de contraseña opcional.
Si no usas las credenciales para una cuenta con privilegios, puedes proporcionar credenciales adicionales para que la cuenta se convierta en una cuenta con privilegios mediante la elevación de privilegios en el equipo UNIX o Linux.
La instalación no se completa hasta que se comprueba el agente. El protocolo WS-Management realiza la comprobación del agente que usa credenciales mantenidas en el servidor de administración, independientes de la cuenta con privilegios que se usa para instalar el agente. Debes proporcionar un nombre de usuario y una contraseña para la comprobación del agente si has realizado una de las siguientes acciones:
Se proporcionó una cuenta con privilegios mediante una clave.
Se proporcionó una cuenta sin privilegios para que se elevara mediante sudo con una clave.
Se ejecutó el asistente con el tipo de detección establecido en Detectar solo equipos con el agente UNIX/Linux instalado.
Como alternativa, puedes instalar el agente, incluido su certificado, manualmente en el equipo UNIX o Linux y, después, detectar ese equipo. Este método es la forma más segura de instalar agentes. Para más información, consulta Instalación del agente y el certificado en equipos UNIX y Linux mediante la línea de comandos.
Credenciales para supervisar las operaciones y realizar el mantenimiento del agente
Operations Manager contiene tres perfiles predefinidos para usar en la supervisión de equipos UNIX y Linux y realizar el mantenimiento del agente:
Cuenta de acción de UNIX/Linux
Este perfil es un perfil de cuenta sin privilegios que es necesario para la supervisión básica de estado y rendimiento.
Cuenta con privilegios de UNIX/Linux
Este perfil es un perfil de cuenta con privilegios que se usa para supervisar recursos protegidos, como archivos de registro.
Cuenta de mantenimiento de UNIX/Linux
Este perfil se usa para las operaciones de mantenimiento con privilegios, como actualizar y quitar agentes.
En los módulos de administración de UNIX y Linux, todas las reglas, monitores, tareas, recuperaciones y otros elementos del módulo de administración están configurados para usar estos perfiles. Por lo tanto, no es necesario definir perfiles adicionales mediante el Asistente para perfiles de ejecución a menos que las circunstancias especiales lo indiquen. Los perfiles no son acumulativos en el ámbito. Por ejemplo, el perfil de cuenta de mantenimiento de UNIX/Linux no se puede usar en lugar de los demás perfiles simplemente porque está configurado mediante una cuenta con privilegios.
En Operations Manager, un perfil no puede funcionar hasta que esté asociado con al menos una cuenta de ejecución. Las credenciales para acceder a los equipos UNIX o Linux se configuran en las cuentas de ejecución. Dado que no hay cuentas de ejecución predefinidas para la supervisión de UNIX y Linux, debes crearlas.
Para crear una cuenta de ejecución, debes ejecutar el Asistente para cuentas de ejecución de UNIX/Linux que está disponible al seleccionar Cuentas de UNIX/Linux en el área de trabajo Administración. El asistente crea una cuenta de ejecución basada en la elección de un tipo de cuenta de ejecución. Existen dos tipos de cuentas de ejecución:
Supervisión de cuenta
Usa esta cuenta para la supervisión continua de rendimiento y estado en las operaciones que se comunican mediante WS-Management.
Cuenta de mantenimiento de agente
Usa esta cuenta para el mantenimiento de agente, como actualizar y desinstalar en operaciones que se comunican mediante SSH.
Estos tipos de cuenta de ejecución se pueden configurar para distintos niveles de acceso según las credenciales que proporciones. Las credenciales pueden ser cuentas sin privilegios o con privilegios o cuentas sin privilegios que se elevarán a cuentas con privilegios. En la tabla siguiente se muestran las relaciones entre perfiles, cuentas de ejecución y niveles de acceso.
| Perfiles | Tipo de cuenta de ejecución | Niveles de acceso permitidos |
|---|---|---|
| Cuenta de acción de UNIX/Linux | Supervisión de cuenta | - Sin privilegios - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
| Cuenta con privilegios de UNIX/Linux | Supervisión de cuenta | - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
| Cuenta de mantenimiento de UNIX/Linux | Cuenta de mantenimiento de agente | - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
Nota:
Hay tres perfiles, pero solo dos tipos de cuenta de ejecución.
Al especificar un tipo de cuenta de ejecución de supervisión, debes especificar un nombre de usuario y una contraseña para que los use el protocolo WS-Management. Al especificar un tipo de cuenta de ejecución de mantenimiento de agente, debes especificar cómo se proporcionan las credenciales al equipo de destino mediante el protocolo SSH:
Especifica un nombre de usuario y una contraseña.
Especifica un nombre de usuario y una clave. Puedes incluir una frase de contraseña opcional.
Después de crear las cuentas de ejecución, debes editar los perfiles de UNIX y Linux para asociarlos a las cuentas de ejecución que creaste. Para obtener instrucciones detalladas, consulta Configuración de cuentas y perfiles de ejecución para el acceso a UNIX y Linux
Consideraciones importantes de seguridad
El agente Linux/UNIX de Operations Manager usa el mecanismo estándar PAM (módulo de autenticación acoplable) en el equipo Linux o UNIX para autenticar el nombre de usuario y la contraseña especificados en el perfil de acción y el perfil de privilegios. Cualquier nombre de usuario con una contraseña que PAM autentique puede realizar funciones de supervisión, incluidas la ejecución de líneas de comandos y scripts que recopilan datos de supervisión. Estas funciones de supervisión siempre se realizan en el contexto de ese nombre de usuario (a menos que la elevación de sudo esté habilitada explícitamente para ese nombre de usuario), por lo que el agente de Operations Manager no proporciona más capacidad que si el nombre de usuario fuera a iniciar sesión en el sistema Linux/UNIX.
Sin embargo, la autenticación de PAM usada por el agente de Operations Manager no requiere que el nombre de usuario tenga asociado un shell interactivo. Si las prácticas de administración de cuentas de Linux/UNIX incluyen quitar el shell interactivo como una manera de deshabilitar una cuenta, esta eliminación no impide que la cuenta se use para conectarse al agente de Operations Manager y realizar funciones de supervisión. En estos casos, debes usar la configuración adicional de PAM para asegurarte de que estas cuentas deshabilitadas no se autentiquen en el agente de Operations Manager.
Credenciales para actualizar y desinstalar agentes
El Asistente para actualización del agente UNIX/Linux y el Asistente para desinstalación del agente UNIX/Linux proporcionan credenciales a sus equipos de destino. En primer lugar, los asistentes te pedirán que selecciones los equipos de destino para actualizar o desinstalar, seguido de opciones sobre cómo proporcionar las credenciales al equipo de destino:
Usar cuentas de ejecución asociadas existentes
Selecciona esta opción para usar las credenciales asociadas con el perfil de cuenta de acción de UNIX/Linux y el perfil de cuenta de mantenimiento de UNIX/Linux.
El asistente te avisa si uno o varios de los equipos seleccionados no tienen una cuenta de ejecución asociada en los perfiles necesarios, en cuyo caso debes volver y borrar los equipos que no tienen una cuenta de ejecución asociada o especificar credenciales.
Especificar las credenciales
Selecciona esta opción para especificar credenciales de Secure Shell (SSH) mediante un nombre de usuario y una contraseña o un nombre de usuario y una clave. Opcionalmente, puedes proporcionar una frase de contraseña con una clave. Si las credenciales no son para una cuenta con privilegios, puedes elevarlas a una cuenta con privilegios en el equipo de destino mediante los programas de elevación su o sudo de UNIX. La elevación "su" requiere una contraseña. Si usas la elevación de sudo, se te pedirá un nombre de usuario y una contraseña para la comprobación del agente mediante una cuenta sin privilegios.