Pianificare le credenziali di sicurezza per l'accesso ai computer Unix e Linux
Questo articolo descrive le credenziali necessarie per installare, gestire, aggiornare e disinstallare gli agenti in un computer UNIX o Linux.
In Operations Manager il server di gestione usa due protocolli per comunicare con il computer UNIX o Linux:
SSH (Secure Shell) e SFTP (Secure Shell File Transfer Protocol)
- Utilizzato per l'installazione, l'aggiornamento e la rimozione di agenti.
Servizi Web per la gestione (WS-Management)
- Utilizzato per tutte le operazioni di monitoraggio e l'individuazione degli agenti già installati.
Il protocollo utilizzato dipende dall'operazione o dalle informazioni richieste sul server di gestione. Tutte le operazioni, quali la manutenzione degli agenti, i monitoraggi, le regole, le attività e i ripristini, sono configurate per utilizzare i profili predefiniti in base all'account richiesto, ossia con o senza privilegi.
In Operations Manager l'amministratore di sistema non è più necessario per fornire la password radice del computer UNIX o Linux al server di gestione. Tramite il processo di elevazione, un account senza privilegi può ora assumere l'identità di un account con privilegi sul computer UNIX o Linux. Il processo di elevazione viene eseguito dall'account su (utente con privilegi avanzati) UNIX e dai programmi sudo che utilizzano le credenziali fornite dal server di gestione. Per le operazioni di manutenzione agente con privilegi in cui viene utilizzato SSH (quali l'individuazione, la distribuzione, gli aggiornamenti, la disinstallazione e il ripristino agente) viene fornito supporto per su, l'elevazione sudo e l'autenticazione tramite codice SSH (con o senza passphrase). Per le operazioni di WS-Management con privilegi, (ad esempio la visualizzazione dei file di registro protetti), viene aggiunto supporto per l'elevazione sudo (senza password).
Credenziali per l'installazione degli agenti
Operations Manager usa il protocollo Secure Shell (SSH) per installare un agente e Servizi Web per la gestione (WS-Management) per individuare gli agenti installati in precedenza. L'installazione richiede un account con privilegi sul computer UNIX o Linux. Sono disponibili due metodi per fornire le credenziali al computer di destinazione ottenute tramite Gestione guidata dispositivi e computer:
Specificare un nome utente e una password.
Il protocollo SSH utilizza la password per installare un agente oppure, se un agente è già stato installato utilizzando un certificato firmato, viene utilizzato il protocollo WS-Management.
Specificare un nome utente e una chiave SSH. La chiave può includere una passphrase facoltativa.
Se non si usano le credenziali per un account con privilegi, è possibile fornire credenziali aggiuntive in modo che l'account diventi un account con privilegi tramite l'elevazione dei privilegi nel computer UNIX o Linux.
L'installazione non viene completata fino a quando l'agente non viene verificato. La verifica dell'agente viene eseguita dal protocollo WS-Management utilizzando le credenziali mantenute nel server di gestione, distinte dall'account con privilegi utilizzato per installare l'agente. Se è stata eseguita una delle operazioni seguenti, è necessario specificare un nome utente e una password per la verifica dell'agente:
È stato fornito un account con privilegi utilizzando una chiave.
È stato fornito un account senza privilegi da elevare utilizzando sudo con una chiave.
È stata eseguita la procedura guidata con l'opzione Tipo di individuazione impostata su Individua solo i computer con l'agente UNIX/Linux installato.
In alternativa, è possibile installare manualmente l'agente, compreso il certificato, nel computer UNIX o Linux e quindi individuare il computer. Questo metodo è il modo più sicuro per l'installazione di agenti. Per altre informazioni, vedere Installare l'agente e il certificato in computer UNIX e Linux tramite la riga di comando.
Credenziali per il monitoraggio delle operazioni e l'esecuzione della manutenzione dell'agente
Operations Manager contiene tre profili predefiniti da usare per il monitoraggio dei computer UNIX e Linux e l'esecuzione della manutenzione dell'agente:
Account azione UNIX/Linux
Si tratta di un profilo di account senza privilegi necessario per il monitoraggio delle prestazioni e dell'integrità di base.
Account con privilegi UNIX/Linux
Si tratta di un profilo di account con privilegi utilizzato per il monitoraggio di risorse protette quali i file di registro.
Account di manutenzione UNIX/Linux
Questo account viene utilizzato per le operazioni di manutenzione con privilegi quali l'aggiornamento e la rimozione di agenti.
Nei Management Pack per Unix/Linux, tutte le regole, i monitoraggi, le attività, i ripristini e gli altri elementi dei Management Pack sono configurati per l'utilizzo di questi profili. Non è quindi necessario definire profili aggiuntivi tramite la Creazione guidata profili RunAs, a meno che non vengano determinate circostanze particolari. I profili non sono cumulativi nell'ambito. Ad esempio, il profilo dell'account di manutenzione UNIX/Linux non può essere usato al posto degli altri profili semplicemente perché è configurato usando un account con privilegi.
In Operations Manager un profilo non può funzionare finché non è associato ad almeno un account RunAs. Le credenziali per l'accesso a computer UNIX o Linux vengono configurate negli account RunAs. Poiché non sono disponibili account RunAs predefiniti per il monitoraggio di UNIX e Linux, è necessario crearli.
Per creare un account RunAs è necessario eseguire la Creazione guidata account RunAs UNIX/Linux che è disponibile quando si seleziona Account UNIX/Linux nell'area di lavoro Amministrazione . La procedura guidata consente di creare un account RunAs in base alla scelta di un tipo di account RunAs. Esistono due tipi di account RunAs:
Account di monitoraggio
Utilizzare questo account per il monitoraggio continuato delle prestazioni e dell'integrità nelle operazioni che comunicano utilizzando WS-Management.
Account di manutenzione agente
Utilizzare questo account per le operazioni di manutenzione degli agenti quali l'aggiornamento e la disinstallazione nelle operazioni che comunicano utilizzando SSH.
I tipi di account RunAs possono essere configurati per diversi livelli di accesso in base alle credenziali fornite. Le credenziali possono essere utilizzate in account con o senza privilegi oppure in account senza privilegi che verranno elevati ad account con privilegi. Nella tabella che segue vengono illustrate le relazioni tra profili, account RunAs e livelli di accesso.
Profili | Tipo di account RunAs | Livelli di accesso consentito |
---|---|---|
Account azione UNIX/Linux | Account di monitoraggio | - Senza privilegi -Privilegiato - Senza privilegi, con privilegi elevati |
Account con privilegi UNIX/Linux | Account di monitoraggio | -Privilegiato - Senza privilegi, con privilegi elevati |
Account di manutenzione UNIX/Linux | Account di manutenzione agente | -Privilegiato - Senza privilegi, con privilegi elevati |
Nota
Esistono tre profili, ma solo due tipi di account RunAs.
Quando si specifica un tipo di account RunAs di monitoraggio, è necessario specificare un nome utente e una password da utilizzare per il protocollo WS-Management. Quando si specifica un tipo di account RunAs di manutenzione agente, è necessario specificare in che modo le credenziali vengono fornite ai computer di destinazione utilizzando il protocollo SSH:
Specificare un nome utente e una password.
Specificare un nome utente e una chiave. È possibile includere una passphrase facoltativa.
Dopo aver creato gli account RunAs, è necessario modificare i profili UNIX e Linux per associarli agli account RunAs creati. Per istruzioni dettagliate, vedere How to Configure RunAs Accounts and Profiles for UNIX and Linux Access (Come configurare account e profili RunAs per l'accesso UNIX e Linux)
Considerazioni importanti sulla sicurezza
L'agente Linux/UNIX di Operations Manager usa il meccanismo PAM standard (Pluggable Authentication Module) nel computer Linux o UNIX per autenticare il nome utente e la password specificati nel profilo di azione e nel profilo dei privilegi. Qualsiasi nome utente con una password autenticata da PAM può eseguire funzioni di monitoraggio, incluse le righe di comando e gli script che raccolgono i dati di monitoraggio. Tali funzioni di monitoraggio vengono sempre eseguite nel contesto di tale nome utente (a meno che l'elevazione sudo non sia abilitata in modo esplicito per tale nome utente), quindi l'agente di Operations Manager non offre più funzionalità rispetto a se il nome utente dovesse accedere al sistema Linux/UNIX.
Tuttavia, l'autenticazione PAM usata dall'agente di Operations Manager non richiede che al nome utente sia associata una shell interattiva. Se le procedure di gestione degli account Linux/UNIX includono la rimozione della shell interattiva come metodo per pseudo-disabilitare un account, tale rimozione non impedisce l'uso dell'account per connettersi all'agente di Operations Manager ed eseguire funzioni di monitoraggio. In questi casi, è consigliabile usare una configurazione PAM aggiuntiva per assicurarsi che questi account pseudo-disabilitati non eseguano l'autenticazione all'agente di Operations Manager.
Credenziali per l'aggiornamento e la disinstallazione degli agenti
Aggiornamento guidato dell'agente UNIX/Linux e Disinstallazione guidata dell'agente UNIX/Linux offrono le credenziali per i computer di destinazione. Nelle procedure guidate viene chiesto all'utente innanzitutto di selezionare i computer di destinazione da aggiornare o disinstallare e poi le opzioni per fornire le credenziali al computer di destinazione:
Usare account RunAs associati esistenti
Selezionare questa opzione per utilizzare le credenziali associate al profilo dell'account azione UNIX/Linux e al profilo dell'account di manutenzione UNIX/Linux.
La procedura guidata avvisa se uno o più computer selezionati non hanno un account RunAs associato nei profili necessari, nel qual caso è necessario tornare indietro e cancellare i computer che non dispongono di un account RunAs associato o specificare le credenziali.
Specificare le credenziali
Selezionare questa opzione per specificare le credenziali di Secure Shell (SSH) utilizzando un nome utente e una password oppure un nome utente e una chiave. Facoltativamente, è possibile fornire una passphrase con una chiave. Se le credenziali non sono per un account con privilegi, è possibile eseguirne l'elevazione a un account con privilegi nel computer di destinazione usando i programmi di elevazione su o sudo UNIX. L'elevazione dei privilegi "su" richiede una password. Se si usa l'elevazione sudo, viene richiesto un nome utente e una password per la verifica dell'agente usando un account senza privilegi.