Unix 및 Linux 컴퓨터에 액세스하기 위한 보안 자격 증명 계획
이 문서에서는 UNIX 또는 Linux 컴퓨터에서 에이전트를 설치, 유지 관리, 업그레이드 및 제거하는 데 필요한 자격 증명에 대해 설명합니다.
Operations Manager에서 관리 서버는 두 프로토콜을 사용하여 UNIX 또는 Linux 컴퓨터와 통신합니다.
SSH(Secure Shell) 및 SFTP(Secure Shell File Transfer Protocol)
- 에이전트 설치, 업그레이드 및 제거에 사용됩니다.
WS-Management(관리용 웹 서비스)
- 모든 모니터링 작업에 사용되며, 이미 설치되어 있는 에이전트의 검색을 포함합니다.
관리 서버에서 요청되는 작업 또는 정보에 따라 사용되는 프로토콜입니다. 에이전트 유지 관리, 모니터, 규칙, 작업 및 복구와 같은 모든 작업은 권한 없는 계정 또는 특권 계정에 대한 요구 사항에 따라 미리 정의된 프로필을 사용하도록 구성됩니다.
Operations Manager에서 시스템 관리자는 더 이상 UNIX 또는 Linux 컴퓨터의 루트 암호를 관리 서버에 제공할 필요가 없습니다. 이제는 권한 상승을 통해 권한 없는 계정이 UNIX 또는 Linux 컴퓨터에서 특권 계정의 ID를 사용할 수 있습니다. 권한 상승 프로세스는 관리 서버가 제공하는 자격 증명을 사용하는 UNIX su(superuser) 및 sudo 프로그램을 통해 수행됩니다. SSH(예: 검색, 배포, 업그레이드, 제거 및 에이전트 복구)를 사용하는 특권 수준의 에이전트 유지 관리 작업, su 지원, sudo 권한 상승 및 SSH 키 지원을 위해 인증(암호가 있든 없든)이 제공됩니다. 특권 수준의 WS-Management 작업(예: 보안 로그 파일 보기)을 위해 sudo 권한 상승을 위한 지원(암호 없음)이 추가됩니다.
에이전트 설치를 위한 자격 증명
Operations Manager는 SSH(Secure Shell) 프로토콜을 사용하여 에이전트 및 WS-Management(Web Services for Management)를 설치하여 이전에 설치된 에이전트를 검색합니다. 설치하려면 UNIX 또는 Linux 컴퓨터에 대한 특권 계정이 있어야 합니다. 컴퓨터 및 디바이스 관리 마법사를 통해 가져온 자격 증명을 대상 컴퓨터에 제공하는 방법은 다음과 같이 두 가지입니다.
사용자 이름 및 암호를 지정합니다.
SSH 프로토콜은 암호를 사용하여 에이전트를 설치하거나 에이전트가 이미 서명된 인증서로 설치되어 있는 경우 WS-Management 프로토콜을 사용합니다.
사용자 이름 및 SSH 키를 지정합니다. 키에는 선택적으로 암호를 포함할 수 있습니다.
권한 있는 계정에 대한 자격 증명을 사용하지 않는 경우 UNIX 또는 Linux 컴퓨터에서 권한 상승을 통해 계정이 권한 있는 계정이 되도록 추가 자격 증명을 제공할 수 있습니다.
에이전트가 확인될 때까지 설치가 완료되지 않습니다. 에이전트 확인은 에이전트를 설치하는 데 사용되는 특권 계정과 별개로, 관리 서버에서 유지 관리되는 자격 증명을 사용하는 WS-Management 프로토콜을 통해 수행됩니다. 다음 중 하나를 수행한 경우 에이전트 확인을 위해 사용자 이름과 암호를 제공해야 합니다.
키를 사용하여 특권 계정을 제공했습니다.
키와 sudo를 사용하여 권한을 상승할 특권 계정을 제공했습니다.
검색 유형 을 UNIX/Linux 에이전트가 설치된 컴퓨터만 검색으로 설정하고 마법사를 실행했습니다.
또는 UNIX나 Linux 컴퓨터에서 에이전트를 인증서와 함께 수동으로 설치한 후 해당 컴퓨터를 검색할 수 있습니다. 이 방법은 에이전트를 가장 안전하게 설치할 수 있는 방법입니다. 자세한 내용은 명령줄을 사용하여 UNIX 및 Linux 컴퓨터에 에이전트 및 인증서 설치를 참조 하세요.
작업 모니터링 및 에이전트 유지 관리 수행을 위한 자격 증명
Operations Manager에는 UNIX 및 Linux 컴퓨터를 모니터링하고 에이전트 유지 관리를 수행하는 데 사용할 세 가지 미리 정의된 프로필이 포함되어 있습니다.
UNIX/Linux 작업 계정
이 프로필은 기본 상태 및 성능 모니터링에 필요한 권한 없는 계정 프로필입니다.
UNIX/Linux 특권 계정
이 프로필은 로그 파일과 같이 보호된 리소스를 모니터링하는 데 사용되는 특권 계정 프로필입니다.
UNIX/Linux 유지 관리 계정
이 프로필은 에이전트 업데이트 및 제거 같은 특권 유지 관리 작업에 사용됩니다.
UNIX 및 Linux 관리 팩에서 모든 규칙, 모니터, 작업, 복구 및 기타 관리 팩 요소는 이러한 프로필을 사용하도록 구성됩니다. 따라서 특별한 상황에서 지시하지 않는 한 실행 프로필 마법사를 사용하여 추가 프로필을 정의할 필요가 없습니다. 프로필은 범위에서 누적되지 않습니다. 예를 들어 UNIX/Linux 유지 관리 계정 프로필은 권한 있는 계정을 사용하여 구성되었기 때문에 다른 프로필 대신 사용할 수 없습니다.
Operations Manager에서 프로필은 하나 이상의 실행 계정과 연결될 때까지 작동할 수 없습니다. UNIX 또는 Linux 컴퓨터에 액세스하는 데 필요한 자격 증명은 실행 계정으로 구성됩니다. UNIX 및 Linux 모니터링의 경우 미리 정의된 실행 계정이 없으므로 이러한 계정을 만들어야 합니다.
실행 계정을 만들려면 관리 작업 영역에서 UNIX/Linux 실행 을 선택한 경우에만 UNIX/Linux 실행 계정 만들기 마법사 를 실행해야 합니다. 이 마법사는 선택된 실행 계정 유형에 따라 실행 계정을 만듭니다. 실행 계정 유형으로는 두 가지가 있습니다.
모니터링 계정
WS-Management를 사용하여 통신하는 작업에서 지속적인 상태 및 성능 모니터링에 이 계정을 사용합니다.
에이전트 유지 관리 계정
SSH를 사용하여 통신하는 작업에서 업데이트 및 제거와 같은 에이전트 유지 관리에 이 계정을 사용합니다.
이러한 실행 계정 유형은 사용자가 제공하는 자격 증명에 따라 서로 다른 액세스 수준으로 구성할 수 있습니다. 자격 증명은 권한 없는 계정 또는 특권 계정이거나 특권 계정으로 상승될 권한 없는 계정이 될 수 있습니다. 다음 표에서는 프로필, 실행 계정 및 액세스 수준 간의 관계를 보여 줍니다.
프로필 | 실행 계정 유형 | 허용 가능한 액세스 수준 |
---|---|---|
UNIX/Linux 작업 계정 | 모니터링 계정 | - 권한 없는 계정 - 권한 있는 계정 - 권한 없는 계정, 권한 있는 계정으로 승격 |
UNIX/Linux 특권 계정 | 모니터링 계정 | - 권한 있는 계정 - 권한 없는 계정, 권한 있는 계정으로 승격 |
UNIX/Linux 유지 관리 계정 | 에이전트 유지 관리 계정 | - 권한 있는 계정 - 권한 없는 계정, 권한 있는 계정으로 승격 |
참고 항목
세 개의 프로필이 있지만 실행 계정 유형은 두 개뿐입니다.
모니터링 실행 계정 유형을 지정하는 경우 WS-Management 프로토콜에 사용할 사용자 이름 및 암호를 지정해야 합니다. 에이전트 유지 관리 실행 계정 유형을 지정한 경우 SSH 프로토콜을 사용하여 대상 컴퓨터에 자격 증명을 제공하는 방법을 지정해야 합니다.
사용자 이름 및 암호를 지정합니다.
사용자 이름 및 키를 지정합니다. 키에는 선택적으로 암호화를 포함할 수 있습니다.
실행 계정을 만든 후 생성된 실행 계정과 연결되도록 UNIX 및 Linux 프로필을 편집해야 합니다. 자세한 지침은 UNIX 및 Linux 액세스에 대한 실행 계정 및 프로필을 구성하는 방법을 참조 하세요.
중요한 보안 고려 사항
Operations Manager Linux/UNIX 에이전트는 Linux 또는 UNIX 컴퓨터에서 표준 PAM(플러그형 인증 모듈) 메커니즘을 사용하여 작업 프로필 및 권한 프로필에 지정된 사용자 이름 및 암호를 인증합니다. PAM이 인증하는 암호를 가진 모든 사용자 이름은 모니터링 데이터를 수집하는 명령줄 및 스크립트 실행을 포함하여 모니터링 기능을 수행할 수 있습니다. 이러한 모니터링 함수는 항상 해당 사용자 이름 컨텍스트에서 수행되므로(sudo 권한 상승이 해당 사용자 이름에 대해 명시적으로 사용하도록 설정되지 않은 경우) Operations Manager 에이전트는 사용자 이름이 Linux/UNIX 시스템에 로그인하는 경우보다 더 이상 기능을 제공하지 않습니다.
그러나 Operations Manager 에이전트에서 사용하는 PAM 인증에는 사용자 이름에 연결된 대화형 셸이 필요하지 않습니다. Linux/UNIX 계정 관리 방법에는 계정을 의사로 사용하지 않도록 설정하는 방법으로 대화형 셸을 제거하는 것이 포함된 경우 이러한 제거로 인해 계정이 Operations Manager 에이전트에 연결되고 모니터링 기능을 수행하는 데 사용되는 것을 방지할 수 없습니다. 이러한 경우 추가 PAM 구성을 사용하여 의사 사용 안 함 계정이 Operations Manager 에이전트에 인증되지 않도록 해야 합니다.
에이전트 업그레이드 및 제거를 위한 자격 증명
UNIX/Linux 에이전트 업그레이드 마법사 및 UNIX/Linux 에이전트 제거 마법사 는 대상 컴퓨터에 자격 증명을 제공합니다. 마법사는 먼저 업그레이드 또는 제거할 대상 컴퓨터를 선택하라는 메시지를 표시한 후 대상 컴퓨터에 자격 증명을 제공하는 방법에 대한 옵션을 제공합니다.
연결된 기존 실행 계정 사용
UNIX/Linux 작업 계정 프로필 및 UNIX/Linux 유지 관리 계정 프로필에 연결된 자격 증명을 사용하려면 이 옵션을 선택합니다.
마법사는 선택한 컴퓨터 중 하나 이상이 필요한 프로필에 연결된 실행 계정이 없는 경우 경고를 표시합니다. 이 경우 연결된 실행 계정이 없는 컴퓨터로 돌아가서 해당 컴퓨터를 지우거나 자격 증명을 지정해야 합니다.
자격 증명 지정
사용자 이름 및 암호나 사용자 이름 및 키를 사용하여 SSH(보안 셸) 자격 증명을 지정하려면 이 옵션을 선택합니다. 선택적으로 키와 암호를 제공할 수 있습니다. 권한 있는 계정에 대한 자격 증명이 아닌 경우 UNIX su 또는 sudo 권한 상승 프로그램을 사용하여 대상 컴퓨터에서 권한 있는 계정으로 승격되도록 할 수 있습니다. 'su' 권한 상승에는 암호가 필요합니다. sudo 권한 상승을 사용하는 경우 권한 없는 계정을 사용하여 에이전트 확인을 위해 사용자 이름 및 암호를 묻는 메시지가 표시됩니다.