Planifier les informations d’identification de sécurité pour accéder aux ordinateurs Unix et Linux
Cet article décrit les informations d’identification requises pour installer, gérer, mettre à niveau et désinstaller des agents sur un ordinateur UNIX ou Linux.
Dans Operations Manager, le serveur d’administration utilise deux protocoles pour communiquer avec l’ordinateur UNIX ou Linux :
SSH (Secure Shell) et SFTP (Secure Shell File Transfer Protocol)
- Utilisé pour l'installation, la mise à niveau et la suppression des agents.
Web Services for Management (WS-Management)
- Utilisé pour toutes les opérations d'analyse et inclut la détection d'agents déjà installés.
Le protocole utilisé dépend de l'action ou des informations demandées sur le serveur d'administration. Toutes les actions, telles que la maintenance des agents, les analyses, les règles, les tâches et les restaurations, sont configurées pour utiliser des profils prédéfinis en fonction de leurs besoins pour un compte non privilégié ou privilégié.
Dans Operations Manager, l’administrateur système n’est plus tenu de fournir le mot de passe racine de l’ordinateur UNIX ou Linux au serveur d’administration. Désormais, par élévation, un compte non privilégié peut endosser l'identité d'un compte privilégié sur l'ordinateur UNIX ou Linux. Le processus d'élévation est effectué à l'aide des programmes su (superutilisateur) ou sudo UNIX qui utilisent les informations d'identification fournies par le serveur d'administration. Pour les opérations de maintenance d'agents privilégiées utilisant SSH (telles que la découverte, le déploiement, les mises à jour, la désinstallation et la récupération d'agents), le support de l'élévation su et sudo ainsi que l'authentification par clé SSH (avec ou sans phrase de passe) sont assurés. Pour les opérations WS-Management nécessitant des privilèges, telles que l'affichage de fichiers journaux sécurisés, la prise en charge de l'élévation sudo sans mot de passe a été ajoutée.
Informations d’identification pour l’installation des agents
Operations Manager utilise le protocole SSH (Secure Shell) pour installer un agent et des services web pour la gestion (WS-Management) pour découvrir les agents précédemment installés. L'installation nécessite un compte privilégié sur l'ordinateur UNIX ou Linux. Il existe deux moyens de fournir des informations d'identification à l'ordinateur ciblé, tels qu'obtenus par l' Assistant Gestion des ordinateurs et des périphériques:
Spécifier un nom d'utilisateur et un mot de passe.
Le protocole SSH utilise le mot de passe pour installer un agent ou le protocole WS-Management si l'agent a déjà été installé à l'aide d'un certificat signé.
Spécifier un nom d'utilisateur et une clé SSH. La clé peut inclure un mot de passe facultatif.
Si vous n’utilisez pas les informations d’identification d’un compte privilégié, vous pouvez fournir des informations d’identification supplémentaires afin que votre compte devienne un compte privilégié par élévation de privilèges sur l’ordinateur UNIX ou Linux.
L’installation n’est pas terminée tant que l’agent n’est pas vérifié. La vérification de l'agent est effectuée par le protocole WS-Management qui utilise les informations d'identification conservées sur le serveur d'administration, séparé du compte privilégié utilisé pour installer l'agent. Vous devez fournir un nom d’utilisateur et un mot de passe pour la vérification de l’agent si vous avez effectué l’une des opérations suivantes :
Fourni un compte privilégié à l'aide d'une clé.
Fourni un compte non privilégié à élever à l'aide de sudo avec une clé.
Exécuter l'Assistant avec le Type de détection défini sur Détecter uniquement les ordinateurs qui ont l'agent UNIX/Linux installé.
Vous pouvez également installer l'agent, y compris son certificat, manuellement sur l'ordinateur UNIX ou Linux, puis détecter cet ordinateur. Cette méthode est la plus sûre pour installer des agents. Pour plus d’informations, consultez Installer l’agent et le certificat sur les ordinateurs UNIX et Linux à l’aide de la ligne de commande.
Informations d’identification pour la surveillance des opérations et l’exécution de la maintenance de l’agent
Operations Manager contient trois profils prédéfinis à utiliser pour surveiller les ordinateurs UNIX et Linux et effectuer la maintenance de l’agent :
Compte d'action UNIX/Linux
Ce profil est un compte non privilégié requis pour la surveillance de base de la santé et des performances.
Compte privilégié UNIX/Linux
Ce profil est un profil de compte privilégié utilisé pour analyser les ressources protégées telles que les fichiers journaux.
Compte de maintenance UNIX/Linux
Ce profil est utilisé pour les opérations de maintenance privilégiées, telles que la mise à jour et la suppression des agents.
Dans les packs d'administration UNIX et Linux, toutes les règles, analyses, tâches, récupérations et autres éléments du pack d'administration sont configurés pour utiliser ces profils. Par conséquent, il n’est pas nécessaire de désigner des profils supplémentaires à l’aide de l’Assistant pour les Profils 'Exécuter en tant que', sauf si des circonstances particulières l’exigent. Les profils ne sont pas cumulatifs en termes de portée. Par exemple, le profil de compte de maintenance UNIX/Linux ne peut pas être utilisé à la place des autres profils simplement parce qu’il est configuré à l’aide d’un compte privilégié.
Dans Operations Manager, un profil ne peut pas fonctionner tant qu’il n’est pas associé à au moins un compte Run As. Les informations d'identification pour accéder aux ordinateurs UNIX ou Linux sont configurées dans les comptes Run As. Comme il n'existe aucun compte d'exécution prédéfini pour la surveillance UNIX et Linux, vous devez en créer.
Pour créer un compte d'exécution, vous devez exécuter l'Assistant Compte d'exécution UNIX/Linux disponible lorsque vous sélectionnez Comptes UNIX/Linux dans l'espace de travail Administration. L'Assistant crée un compte d'exécution en fonction du type de compte d'exécution choisi. Il existe deux types de comptes Run As :
Compte de surveillance
Utilisez ce compte pour la surveillance continue de la santé et des performances dans les opérations qui communiquent via WS-Management.
Compte de maintenance d'agent
Utilisez ce compte pour la maintenance de l'agent, telle que la mise à jour et la désinstallation dans les opérations qui communiquent à l'aide de SSH.
Ces types de comptes 'Exécuter en tant que' peuvent être configurés pour différents niveaux d'accès selon les informations d'identification que vous fournissez. Les informations d'identification peuvent être des comptes non privilégiés ou privilégiés, ou bien des comptes non privilégiés qui seront élevés en comptes privilégiés. Le tableau suivant montre les relations entre les profils, les comptes Run As et les niveaux d'accès.
| Profils | Type de compte 'Exécuter en tant que' | Niveaux d'accès autorisés |
|---|---|---|
| Compte d'action UNIX/Linux | Compte de surveillance | - Sans privilège - Privilégié - Non privilégié, élevé à un statut privilégié |
| Compte privilégié UNIX/Linux | Compte de suivi | - Privilégié - Sans privilège, devenu privilégié |
| Compte de maintenance UNIX/Linux | Compte de maintenance d'agent | - Privilégié - Sans privilège, passé à un statut privilégié |
Remarque
Il existe trois profils, mais seulement deux types de compte d’identification.
Lorsque vous spécifiez un type de compte 'Exécuter en tant que' pour la surveillance, vous devez spécifier un nom d'utilisateur et un mot de passe utilisés par le protocole WS-Management. Lorsque vous spécifiez un type de compte de connexion pour le support de l'agent, vous devez préciser comment les identifiants sont fournis à l'ordinateur ciblé en utilisant le protocole SSH :
Spécifiez un nom d'utilisateur et un mot de passe.
Spécifiez un nom d'utilisateur et une clé. Vous pouvez inclure un mot de passe facultatif.
Une fois que vous avez créé les comptes Run As, vous devez modifier les profils UNIX et Linux pour les associer aux comptes Run As que vous avez créés. Pour obtenir des instructions détaillées, consultez Comment configurer des comptes d’identification et des profils pour l’accès UNIX et Linux
Considérations importantes relatives à la sécurité
L’agent Operations Manager Linux/UNIX utilise le mécanisme PAM standard (module d’authentification enfichable) sur l’ordinateur Linux ou UNIX pour authentifier le nom d’utilisateur et le mot de passe spécifiés dans le profil d’action et le profil privilégié. Tout nom d’utilisateur avec un mot de passe que PAM authentifie peut effectuer des fonctions de surveillance, notamment l’exécution de lignes de commande et de scripts qui collectent des données de surveillance. Ces fonctions de surveillance sont toujours effectuées dans le contexte de ce nom d’utilisateur (sauf si l’élévation sudo est explicitement activée pour ce nom d’utilisateur), de sorte que l’agent Operations Manager ne fournit pas plus de fonctionnalités que si le nom d’utilisateur devait se connecter au système Linux/UNIX.
Toutefois, l’authentification PAM utilisée par l’agent Operations Manager ne nécessite pas que le nom d’utilisateur dispose d’un interpréteur de commandes interactif associé à celui-ci. Si vos pratiques de gestion de compte Linux/UNIX incluent la suppression de l’interpréteur de commandes interactif comme moyen de pseudo-désactiver un compte, cette suppression n’empêche pas le compte d’être utilisé pour se connecter à l’agent Operations Manager et effectuer des fonctions de surveillance. Dans ces cas, vous devez utiliser une configuration PAM supplémentaire pour vous assurer que ces comptes pseudo-désactivés ne s’authentifient pas auprès de l’agent Operations Manager.
Informations d’identification pour la mise à niveau et la désinstallation des agents
L' Assistant de mise à niveau de l'agent UNIX/Linux et l' Assistant de désinstallation de l'agent UNIX/Linux fournissent des informations d'identification à leurs ordinateurs ciblés. Les Assistants vous invitent à sélectionner les ordinateurs ciblés à mettre à niveau ou à désinstaller, puis à choisir les options sur la façon de fournir les informations d'identification à l'ordinateur ciblé :
Utiliser des comptes 'Exécuter en tant que' associés existants
Sélectionnez cette option pour utiliser les informations d'identification associées au profil du compte d'action UNIX/Linux et le profil du compte de maintenance UNIX/Linux.
L’Assistant vous avertit si un ou plusieurs des ordinateurs sélectionnés n’ont pas de compte d’identification associé dans les profils requis, auquel cas vous devez revenir en arrière et effacer ces ordinateurs qui n’ont pas de compte d’identification associé ni spécifier les informations d’identification.
Spécifier les informations d’identification
Sélectionnez cette option pour spécifier des informations d'identification SSH (Secure Shell) en utilisant un nom d'utilisateur et un mot de passe ou un nom d'utilisateur et une clé. Vous pouvez éventuellement fournir un mot de passe avec une clé. Si les informations d’identification ne concernent pas un compte privilégié, vous pouvez les élever à un compte privilégié sur l’ordinateur cible à l’aide des programmes d’élévation unix su ou sudo. L’élévation « su » nécessite un mot de passe. Si vous utilisez l’élévation sudo, vous êtes invité à entrer un nom d’utilisateur et un mot de passe pour la vérification de l’agent à l’aide d’un compte non privilégié.