Beveiligingsreferenties plannen voor toegang tot Unix- en Linux-computers
In dit artikel worden de referenties beschreven die nodig zijn voor het installeren, onderhouden, upgraden en verwijderen van agents op een UNIX- of Linux-computer.
In Operations Manager gebruikt de beheerserver twee protocollen om te communiceren met de UNIX- of Linux-computer:
Secure Shell (SSH) en Secure Shell File Transfer Protocol (SFTP)
- Wordt gebruikt voor het installeren, upgraden en verwijderen van agents.
Webservices voor beheer (WS-Management)
- Wordt gebruikt voor alle bewakingsbewerkingen en omvat de detectie van agents die al zijn geïnstalleerd.
Het gebruikte protocol is afhankelijk van de actie of informatie die wordt aangevraagd op de beheerserver. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, zijn geconfigureerd om vooraf gedefinieerde profielen te gebruiken op basis van hun behoeften voor een niet-gemachtigd of bevoegd account.
In Operations Manager hoeft de systeembeheerder het hoofdwachtwoord van de UNIX- of Linux-computer niet meer op te geven aan de beheerserver. Door uitbreiding kan een niet-gemachtigd account nu de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het uitbreidingsproces wordt uitgevoerd door de UNIX su -programma's (superuser) en sudo-programma's die gebruikmaken van de referenties die de beheerserver levert. Voor agentbeheerwerkzaamheden die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, deïnstallatie en agentherstel) is er ondersteuning voor su, sudo-rechtenverhoging en verificatie via SSH-sleutels (met of zonder wachtwoordzin). Voor geprivilegieerde WS-Management-bewerkingen (zoals het weergeven van beveiligde logboekbestanden) wordt ondersteuning toegevoegd voor sudo-verhoging (zonder wachtwoord).
Referenties voor het installeren van agents
Operations Manager gebruikt het SSH-protocol (Secure Shell) om een agent en Web Services for Management (WS-Management) te installeren om eerder geïnstalleerde agents te detecteren. Installatie vereist een bevoegd account op de UNIX- of Linux-computer. Er zijn twee manieren om referenties op te geven aan de doelcomputer, zoals verkregen door de wizard Computer- en apparaatbeheer:
Geef een gebruikersnaam en wachtwoord op.
Het SSH-protocol gebruikt het wachtwoord om een agent of het WS-Management protocol te installeren als de agent al is geïnstalleerd met behulp van een ondertekend certificaat.
Geef een gebruikersnaam en een SSH-sleutel op. De sleutel kan een optionele wachtwoordzin bevatten.
Als u de referenties voor een bevoegd account niet gebruikt, kunt u extra referenties opgeven, zodat uw account een bevoegd account wordt door uitbreiding van bevoegdheden op de UNIX- of Linux-computer.
De installatie is pas voltooid nadat de agent is geverifieerd. Agentverificatie wordt uitgevoerd door het WS-Management-protocol dat gebruikmaakt van referenties die worden onderhouden op de beheerserver, gescheiden van het bevoegde account dat wordt gebruikt om de agent te installeren. U moet een gebruikersnaam en wachtwoord opgeven voor verificatie van de agent als u een van de volgende handelingen hebt uitgevoerd:
Een geprivilegieerd account voorzien met behulp van een sleutel.
Er is een onbevoorrecht account opgegeven dat via sudo met een sleutel in rechten moet worden verhoogd.
De wizard is uitgevoerd met het Detectietype ingesteld op Alleen computers detecteren waarop de UNIX-/Linux-agent is geïnstalleerd.
U kunt de agent, inclusief het bijbehorende certificaat, ook handmatig installeren op de UNIX- of Linux-computer en die computer vervolgens detecteren. Deze methode is de veiligste manier om agents te installeren. Zie De agent en het certificaat installeren op UNIX- en Linux-computers met behulp van de opdrachtregelvoor meer informatie.
Referenties voor het bewaken van bewerkingen en het uitvoeren van agentonderhoud
Operations Manager bevat drie vooraf gedefinieerde profielen voor het bewaken van UNIX- en Linux-computers en het uitvoeren van agentonderhoud:
UNIX/Linux-actieaccount
Dit profiel is een niet-gemachtigd accountprofiel dat vereist is voor basisstatus- en prestatiebewaking.
UNIX-/Linux-account met speciale rechten
Dit profiel is een bevoegd accountprofiel dat wordt gebruikt voor het bewaken van beveiligde resources, zoals logboekbestanden.
UNIX-/Linux-onderhoudsaccount
Dit profiel wordt gebruikt voor bevoegde onderhoudsbewerkingen, zoals het bijwerken en verwijderen van agents.
In de UNIX- en Linux-management packs worden alle regels, monitors, taken, herstelbewerkingen en andere management pack-elementen geconfigureerd voor het gebruik van deze profielen. Dus, het is niet nodig om extra profielen te definiëren met de Wizard 'Uitvoeren als Profielen', tenzij er speciale omstandigheden zijn. De profielen zijn niet cumulatief in hun toepassing. Het accountprofiel voor UNIX-/Linux-onderhoud kan bijvoorbeeld niet worden gebruikt in plaats van de andere profielen, omdat het is geconfigureerd met behulp van een bevoegd account.
In Operations Manager kan een profiel pas functioneren als het is gekoppeld aan ten minste één 'Run As'-account. De referenties voor toegang tot de UNIX- of Linux-computers worden geconfigureerd in de Run As-accounts. Omdat er geen vooraf gedefinieerde Uitvoeren als-accounts zijn voor UNIX- en Linux-bewaking, moet u ze zelf aanmaken.
Als u een Uitvoeren als-account wilt maken, moet u de UNIX/Linux Uitvoeren als-account Wizard gebruiken, die beschikbaar is wanneer u de optie UNIX/Linux Accounts selecteert in de Administratie werkruimte. De wizard maakt een Run As-account aan op basis van de keuze voor een Run As-accounttype. Er zijn twee typen 'Uitvoeren als'-accounts:
Bewakingsaccount
Gebruik dit account voor doorlopende status- en prestatiebewaking in bewerkingen die communiceren met WS-Management.
Agentonderhoudsaccount
Gebruik dit account voor agentonderhoud, zoals het bijwerken en verwijderen van bewerkingen die communiceren met behulp van SSH.
Deze typen Run As-accounts kunnen worden geconfigureerd voor verschillende niveaus van toegang op basis van de referenties die u opgeeft. Referenties kunnen bestaan uit niet-gemachtigde of bevoegde accounts, of uit niet-gemachtigde accounts die worden omgezet in bevoegde accounts. In de volgende tabel ziet u de relaties tussen profielen, Run As-accounts en toegangsniveaus.
| Profielen | Accounttype voor uitvoeren als | Toegestane toegangsniveaus |
|---|---|---|
| UNIX-/Linux-actieaccount | Controleaccount | - Achtergesteld -Bevoorrecht - Onbevoegd, omgezet in bevoegd |
| Bevoegd UNIX-/Linux-account | Bewakingsaccount | -Bevoorrecht - Niet-gemachtigd, verhoogd naar bevoegd |
| UNIX-/Linux-onderhoudsaccount | Onderhoudsaccount voor agent | -Bevoorrecht - Onbevoegd, verhoogd naar bevoegdheidsniveau |
Notitie
Er zijn drie profielen, maar slechts twee Run As-accounttypen.
Wanneer u een accounttype voor te bewaken als opgeeft, moet u een gebruikersnaam en wachtwoord opgeven die door de WS-Management-protocol worden gebruikt. Wanneer u een agentonderhoud uitvoert met een "uitvoeren als"-accounttype, moet u aangeven hoe de referenties op de doelcomputer worden verstrekt met behulp van het SSH-protocol:
Geef een gebruikersnaam en een wachtwoord op.
Geef een gebruikersnaam en een sleutel op. U kunt een optionele wachtwoordzin opnemen.
Nadat u de Uitvoeren als-accounts hebt gemaakt, moet u de UNIX- en Linux-profielen bewerken om ze te koppelen aan de Uitvoeren als-accounts die u hebt gemaakt. Voor gedetailleerde instructies, zie Hoe Uitvoeren-als-accounts en -profielen te configureren voor UNIX- en Linux-toegang
Belangrijke beveiligingsoverwegingen
De Operations Manager Linux/UNIX-agent maakt gebruik van het standaard PAM-mechanisme (Pluggable Authentication Module) op de Linux- of UNIX-computer om de gebruikersnaam en het wachtwoord te verifiëren die zijn opgegeven in het actieprofiel en het bevoegdheidsprofiel. Elke gebruikersnaam met een wachtwoord dat door PAM wordt geverifieerd, kan bewakingsfuncties uitvoeren, waaronder het uitvoeren van opdrachtregels en scripts die bewakingsgegevens verzamelen. Dergelijke bewakingsfuncties worden altijd uitgevoerd in de context van die gebruikersnaam (tenzij sudo-verhoging expliciet is ingeschakeld voor die gebruikersnaam), zodat de agent van Operations Manager niet meer mogelijkheden biedt dan wanneer de gebruikersnaam zich zou aanmelden bij het Linux/UNIX-systeem.
Terwijl de PAM-verificatie die door de Operations Manager-agent wordt gebruikt vereist niet dat de gebruikersnaam een interactieve shell heeft. Als uw linux-/UNIX-accountbeheerprocedures het verwijderen van de interactieve shell omvatten als een manier om een account pseudo uit te schakelen, voorkomt deze verwijdering niet dat het account wordt gebruikt om verbinding te maken met de Operations Manager-agent en bewakingsfuncties uit te voeren. In deze gevallen moet u aanvullende PAM-configuratie gebruiken om ervoor te zorgen dat deze pseudo-uitgeschakelde accounts niet worden geverifieerd bij de Operations Manager-agent.
Referenties voor het upgraden en verwijderen van agents
De Upgrade-wizard voor UNIX-/Linux-agent en de Verwijder-wizard voor UNIX/Linux-agent bieden referenties aan voor hun doelcomputers. De wizards vragen u eerst om de doelcomputers te selecteren die u wilt upgraden of verwijderen, gevolgd door opties voor het opgeven van de referenties voor de doelcomputer:
Gebruik bestaande gekoppelde Run As-accounts
Selecteer deze optie om de referenties te gebruiken die zijn gekoppeld aan het unix-/Linux-actieaccountprofiel en het unix-/Linux-onderhoudsaccountprofiel.
De wizard waarschuwt u als een of meer van de geselecteerde computers geen gekoppeld Uitvoeren als-account hebben in de vereiste profielen. In dat geval moet u teruggaan en de computers wissen die geen gekoppeld Uitvoeren als-account hebben of referenties opgeven.
Referenties opgeven
Selecteer deze optie om SSH-referenties (Secure Shell) op te geven met behulp van een gebruikersnaam en wachtwoord of een gebruikersnaam en een sleutel. U kunt desgewenst een wachtwoordzin met een sleutel opgeven. Als de inloggegevens niet voor een geprivilegieerd account zijn, kunt u deze opwaarderen tot een geprivilegieerd account op de doelcomputer met behulp van de UNIX su- of sudo-elevatieprogramma's. Voor de verhoging van bevoegdheden met su is een wachtwoord vereist. Als u sudo-verhoging gebruikt, wordt u gevraagd voor een gebruikersnaam en wachtwoord voor agentverificatie door een niet-gemachtigd account te gebruiken.