Planifier les informations d’identification de sécurité pour accéder aux ordinateurs Unix et Linux
Cet article décrit les informations d’identification requises pour installer, gérer, mettre à niveau et désinstaller des agents sur un ordinateur UNIX ou Linux.
Dans Operations Manager, le serveur d’administration utilise deux protocoles pour communiquer avec l’ordinateur UNIX ou Linux :
SSH (Secure Shell) et SFTP (Secure Shell File Transfer Protocol)
- Utilisé pour l'installation, la mise à niveau et la suppression des agents.
Web Services for Management (WS-Management)
- Utilisé pour toutes les opérations d'analyse et inclut la détection d'agents déjà installés.
Le protocole utilisé dépend de l'action ou des informations demandées sur le serveur d'administration. Toutes les actions, telles que la maintenance des agents, les analyses, les règles, les tâches et les restaurations, sont configurées pour utiliser des profils prédéfinis en fonction de leurs besoins pour un compte non privilégié ou privilégié.
Dans Operations Manager, l’administrateur système n’est plus tenu de fournir le mot de passe racine de l’ordinateur UNIX ou Linux au serveur d’administration. Désormais, par élévation, un compte non privilégié peut endosser l'identité d'un compte privilégié sur l'ordinateur UNIX ou Linux. Le processus d'élévation est effectué à l'aide des programmes su (superutilisateur) ou sudo UNIX qui utilisent les informations d'identification fournies par le serveur d'administration. Pour les opérations de maintenance de l'agent privilégiées qui ont recours à SSH (telles que la détection, le déploiement, les mises à niveau, la désinstallation et la récupération d'agent), la prise en charge de l'élévation su et sudo su et de l'authentification par clé SSH (avec ou sans phrase secrète) est fournie. Pour les opérations privilégiées de WS-Management (telles que l'affichage des fichiers journaux sécurisés), la prise en charge de l'élévation sudo (sans mot de passe) est ajoutée.
Informations d’identification pour l’installation des agents
Operations Manager utilise le protocole SSH (Secure Shell) pour installer un agent et des services web pour la gestion (WS-Management) pour découvrir les agents précédemment installés. L'installation nécessite un compte privilégié sur l'ordinateur UNIX ou Linux. Il existe deux moyens de fournir des informations d'identification à l'ordinateur ciblé, tels qu'obtenus par l' Assistant Gestion des ordinateurs et des périphériques:
Spécifier un nom d'utilisateur et un mot de passe.
Le protocole SSH utilise le mot de passe pour installer un agent ou le protocole WS-Management si l'agent a déjà été installé à l'aide d'un certificat signé.
Spécifier un nom d'utilisateur et une clé SSH. La clé peut inclure un mot de passe facultatif.
Si vous n’utilisez pas les informations d’identification d’un compte privilégié, vous pouvez fournir des informations d’identification supplémentaires afin que votre compte devienne un compte privilégié par élévation de privilèges sur l’ordinateur UNIX ou Linux.
L’installation n’est pas terminée tant que l’agent n’est pas vérifié. La vérification de l'agent est effectuée par le protocole WS-Management qui utilise les informations d'identification conservées sur le serveur d'administration, séparé du compte privilégié utilisé pour installer l'agent. Vous devez fournir un nom d’utilisateur et un mot de passe pour la vérification de l’agent si vous avez effectué l’une des opérations suivantes :
Fourni un compte privilégié à l'aide d'une clé.
Fourni un compte non privilégié à élever à l'aide de sudo avec une clé.
Exécuté l'Assistant avec le Type de détection défini sur Détecter uniquement les ordinateurs avec l'agent UNIX/Linux installé.
Vous pouvez également installer l'agent, y compris son certificat, manuellement sur l'ordinateur UNIX ou Linux, puis détecter cet ordinateur. Cette méthode est la plus sûre pour installer des agents. Pour plus d’informations, consultez Installer l’agent et le certificat sur les ordinateurs UNIX et Linux à l’aide de la ligne de commande.
Informations d’identification pour la surveillance des opérations et l’exécution de la maintenance de l’agent
Operations Manager contient trois profils prédéfinis à utiliser pour surveiller les ordinateurs UNIX et Linux et effectuer la maintenance de l’agent :
Compte d'action UNIX/Linux
Ce profil est un profil de compte non privilégié requis pour l'analyse de base de l'intégrité et des performances.
Compte privilégié UNIX/Linux
Ce profil est un profil de compte privilégié utilisé pour analyser les ressources protégées telles que les fichiers journaux.
Compte de maintenance UNIX/Linux
Ce profil est utilisé pour les opérations de maintenance privilégiées, telles que la mise à jour et la suppression des agents.
Dans les packs d'administration UNIX et Linux, toutes les règles, analyses, tâches, récupérations et autres éléments du pack d'administration sont configurés pour utiliser ces profils. Par conséquent, il n’est pas nécessaire de définir des profils supplémentaires à l’aide de l’Assistant Profils d’identification, sauf si des circonstances particulières le déterminent. Les profils ne sont pas cumulatifs dans l’étendue. Par exemple, le profil de compte de maintenance UNIX/Linux ne peut pas être utilisé à la place des autres profils simplement parce qu’il est configuré à l’aide d’un compte privilégié.
Dans Operations Manager, un profil ne peut pas fonctionner tant qu’il n’est pas associé à au moins un compte d’identification. Les informations d'identification pour accéder aux ordinateurs UNIX ou Linux sont configurées dans les comptes d'identification. Dans la mesure où il n'existe aucun compte d'identification prédéfini pour l'analyse UNIX et Linux, vous devez en créer.
Pour créer un compte d'identification, vous devez exécuter l' Assistant Créer un compte d'identification UNIX/Linux disponible lorsque vous sélectionnez Comptes UNIX/Linux dans l'espace de travail Administration . L'Assistant crée un compte d'identification en fonction du type de compte d'identification choisi. Il existe deux types de compte d'identification :
Compte d'analyse
Utilisez ce compte pour l'analyse continue de l'intégrité et des performances dans les opérations qui communiquent à l'aide de WS-Management.
Compte de maintenance d'agent
Utilisez ce compte pour la maintenance de l'agent, telle que la mise à jour et la désinstallation dans les opérations qui communiquent à l'aide de SSH.
Ces types de compte d'identification peuvent être configurés pour différents niveaux d'accès selon les informations d'identification que vous fournissez. Les informations d'identification peuvent être des comptes non privilégiés ou privilégiés, ou bien des comptes non privilégiés qui seront élevés en comptes privilégiés. Le tableau suivant montre les relations entre les profils, les comptes d'identification et les niveaux d'accès.
Profiles | Type de compte d'identification | Niveaux d'accès autorisés |
---|---|---|
Compte d'action UNIX/Linux | Compte d'analyse | - Sans privilège - Privilégié - Sans privilège, élevé à privilégié |
Compte privilégié UNIX/Linux | Compte d'analyse | - Privilégié - Sans privilège, élevé à privilégié |
Compte de maintenance UNIX/Linux | Compte de maintenance d'agent | - Privilégié - Sans privilège, élevé à privilégié |
Remarque
Il existe trois profils, mais seulement deux types de compte d’identification.
Lorsque vous spécifiez un type de compte d'identification d'analyse, vous devez spécifier un nom d'utilisateur et un mot de passe que le protocole WS-Management utilisera. Lorsque vous spécifiez un type de compte d'identification de maintenance d'agent, vous devez spécifier la façon dont les informations d'identification sont fournies à l'ordinateur ciblé en utilisant le protocole SSH :
Spécifiez un nom d'utilisateur et un mot de passe.
Spécifiez un nom d'utilisateur et une clé. Vous pouvez inclure un mot de passe facultatif.
Une fois que vous avez créé les comptes d'identification, vous devez modifier les profils UNIX et Linux pour les associer aux comptes d'identification que vous avez créés. Pour obtenir des instructions détaillées, consultez Comment configurer des comptes d’identification et des profils pour l’accès UNIX et Linux
Considérations importantes relatives à la sécurité
L’agent Operations Manager Linux/UNIX utilise le mécanisme PAM standard (module d’authentification enfichable) sur l’ordinateur Linux ou UNIX pour authentifier le nom d’utilisateur et le mot de passe spécifiés dans le profil d’action et le profil privilégié. Tout nom d’utilisateur avec un mot de passe que PAM authentifie peut effectuer des fonctions de surveillance, notamment l’exécution de lignes de commande et de scripts qui collectent des données de surveillance. Ces fonctions de surveillance sont toujours effectuées dans le contexte de ce nom d’utilisateur (sauf si l’élévation sudo est explicitement activée pour ce nom d’utilisateur), de sorte que l’agent Operations Manager ne fournit pas plus de fonctionnalités que si le nom d’utilisateur devait se connecter au système Linux/UNIX.
Toutefois, l’authentification PAM utilisée par l’agent Operations Manager ne nécessite pas que le nom d’utilisateur dispose d’un interpréteur de commandes interactif associé à celui-ci. Si vos pratiques de gestion de compte Linux/UNIX incluent la suppression de l’interpréteur de commandes interactif comme moyen de pseudo-désactiver un compte, cette suppression n’empêche pas le compte d’être utilisé pour se connecter à l’agent Operations Manager et effectuer des fonctions de surveillance. Dans ces cas, vous devez utiliser une configuration PAM supplémentaire pour vous assurer que ces comptes pseudo-désactivés ne s’authentifient pas auprès de l’agent Operations Manager.
Informations d’identification pour la mise à niveau et la désinstallation des agents
L' Assistant de mise à niveau de l'agent UNIX/Linux et l' Assistant de désinstallation de l'agent UNIX/Linux fournissent des informations d'identification à leurs ordinateurs ciblés. Les Assistants vous invitent à sélectionner les ordinateurs ciblés à mettre à niveau ou à désinstaller, puis à choisir les options sur la façon de fournir les informations d'identification à l'ordinateur ciblé :
Utiliser des comptes d’identification associés existants
Sélectionnez cette option pour utiliser les informations d'identification associées au profil du compte d'action UNIX/Linux et le profil du compte de maintenance UNIX/Linux.
L’Assistant vous avertit si un ou plusieurs des ordinateurs sélectionnés n’ont pas de compte d’identification associé dans les profils requis, auquel cas vous devez revenir en arrière et effacer ces ordinateurs qui n’ont pas de compte d’identification associé ni spécifier les informations d’identification.
Spécifier les informations d’identification
Sélectionnez cette option pour spécifier des informations d'identification SSH (Secure Shell) en utilisant un nom d'utilisateur et un mot de passe ou un nom d'utilisateur et une clé. Vous pouvez éventuellement fournir un mot de passe avec une clé. Si les informations d’identification ne concernent pas un compte privilégié, vous pouvez les élever à un compte privilégié sur l’ordinateur cible à l’aide des programmes d’élévation unix su ou sudo. L’élévation « su » nécessite un mot de passe. Si vous utilisez l’élévation sudo, vous êtes invité à entrer un nom d’utilisateur et un mot de passe pour la vérification de l’agent à l’aide d’un compte non privilégié.