Uwierzytelnianie i szyfrowanie danych na komputerach z systemem Windows
Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Program System Center 2012 – Operations Manager zawiera takie funkcje, jak serwer zarządzania, serwer bramy, serwer raportowania, operacyjna baza danych, magazyn danych raportowania, agent, konsola sieci Web i konsola Operacje. W tej sekcji opisano przebieg uwierzytelniania oraz sposób rozpoznawania kanałów połączeń, w których dane są szyfrowane.
Uwierzytelnianie oparte na certyfikatach
Gdy agenta i serwer zarządzania programu Operations Manager rozdziela niezaufana granica lasu lub grupy roboczej, należy zaimplementować uwierzytelnianie oparte na certyfikatach. Poniższe sekcje zawierają informacje dotyczące tych sytuacji oraz określonych procedur w celu uzyskania i zainstalowania certyfikatów z urzędów certyfikacji opartych na systemie Windows.
Konfigurowanie komunikacji między agentami i serwerami zarządzania w tej samej granicy zaufania
Agent i serwer zarządzania wzajemnie się uwierzytelniają przy użyciu uwierzytelniania systemu Windows zanim serwer zarządzania zaakceptuje dane od agenta. Domyślną metodą uwierzytelniania jest protokół Kerberos w wersji 5. Aby umożliwić działanie wzajemnego uwierzytelniania opartego na protokole Kerberos, agenci i serwer zarządzania muszą być zainstalowani w domenie usługi Active Directory. Jeżeli agent i serwer zarządzania znajdują się w osobnych domenach, muszą one być w pełni zaufane. W tym scenariuszu po przeprowadzeniu wzajemnego uwierzytelniania następuje zaszyfrowanie kanału danych między agentem a serwerem zarządzania. W celu przeprowadzenia uwierzytelniania i szyfrowania nie jest wymagana interwencja użytkownika.
Konfigurowanie komunikacji między agentami i serwerami zarządzania w granicach zaufania
Agent (lub agenci) może być wdrożony do domeny (domena B) innej niż domena serwera zarządzania (domena A), przez co między domenami może nie istnieć zaufanie dwukierunkowe. Ponieważ między tymi dwiema domenami nie występuje zaufanie, agenci w jednej domenie nie mogą uwierzytelniać się wzajemnie z serwerem zarządzania w drugiej domenie przy użyciu protokołu Kerberos. Nadal odbywa się wzajemne uwierzytelnianie funkcji programu Operations Manager w każdej domenie.
Rozwiązaniem tej sytuacji jest zainstalowanie serwera bramy w tej samej domenie, w której znajdują się agenci, a następnie zainstalowanie na serwerze bramy oraz serwerze zarządzania certyfikatów w celu zapewnienia wzajemnego uwierzytelniania i szyfrowania danych. W przypadku używania serwera bramy wystarczy tylko jeden certyfikat w domenie B i tylko jeden port umożliwiający komunikację przez zaporę, zgodnie z poniższą ilustracją.
.jpeg "Zaufanie między domenami")
Konfigurowanie komunikacji między granicami domeny i grupy roboczej
W środowisku może istnieć jeden lub dwaj agenci wdrożeni do grupy roboczej objętej zaporą. Agent w grupie roboczej nie może uwierzytelniać się wzajemnie z serwerem zarządzania w domenie przy użyciu protokołu Kerberos. Rozwiązaniem tej sytuacji jest zainstalowanie certyfikatów na komputerze hostującym agenta oraz na serwerze zarządzania, z którym agent nawiązuje połączenie, zgodnie z poniższą ilustracją.
Uwaga
W tym scenariuszu należy ręcznie zainstalować agenta.
.jpeg "Zaufanie między domeną i grupą roboczą")
Wykonaj następujące czynności na komputerze hostującym agenta oraz na serwerze zarządzania przy użyciu tego samego urzędu certyfikacji (CA):
Zażądaj certyfikatów z urzędu CA.
Zatwierdź żądania certyfikatów w urzędzie CA.
Zainstaluj zatwierdzone certyfikaty w magazynach certyfikatów komputerów.
Skonfiguruj program Operations Manager za pomocą narzędzia MOMCertImport.
Takie same czynności należy wykonać w celu zainstalowania certyfikatów na serwerze bramy, lecz bez instalowania i uruchamiania narzędzia zatwierdzania bramy.
Potwierdzenie instalacji certyfikatu
W przypadku prawidłowego zainstalowania certyfikatu w dzienniku zdarzeń programu Operations Manager zostanie zapisane poniższe zdarzenie.
Typ |
Źródło |
Identyfikator zdarzenia |
Ogólne |
|---|---|---|---|
Informacje |
Łącznik programu Operations Manager |
20053 |
Łącznik programu Operations Manager pomyślnie załadował określony certyfikat uwierzytelniania. |
Podczas instalacji certyfikatu uruchamia się narzędzie MOMCertImport. Gdy narzędzie MOMCertImport zakończy działanie, w poniższym podkluczu rejestru zostanie zapisany numer seryjny zaimportowanego certyfikatu.
.jpeg "System_CAPS_caution"){kind=icon} Przestroga |
|---|
Nieprawidłowa edycja rejestru może poważnie uszkodzić system. Przed wprowadzeniem w rejestrze jakichkolwiek zmian należy wykonać kopię zapasową wszelkich cennych danych przechowywanych na komputerze. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Uwierzytelnianie oraz szyfrowanie danych między serwerem zarządzania, serwerem bramy i agentami
Komunikacja między tymi funkcjami programu Operations Manager rozpoczyna się od wzajemnego uwierzytelniania. Jeżeli na obu końcach kanału komunikacji istnieją certyfikaty, zostanę one użyte do wzajemnego uwierzytelniania. W przeciwnym razie zostanie użyty protokół Kerberos w wersji 5. Jeżeli dowolne dwie funkcje są rozdzielone przez niezaufaną domenę, wzajemne uwierzytelnianie odbywa się przy użyciu certyfikatów.
Za pośrednictwem tego kanału odbywa się normalna komunikacja w ramach m.in. zdarzeń, alertów i wdrażania pakietu administracyjnego. Na poprzedniej ilustracji przedstawiono przykład generowania alertu w jednym z agentów kierowanych na serwer zarządzania. Dane przesyłane z agenta na serwer bramy są szyfrowane przy użyciu pakietu zabezpieczeń protokołu Kerberos, ponieważ serwer bramy i agent znajdują się w tej samej domenie. Alert jest odszyfrowywany przez serwer bramy i ponownie szyfrowany przy użyciu certyfikatów serwera zarządzania. Serwer zarządzania po odebraniu alertu odszyfrowuje komunikat, szyfruje go ponownie przy użyciu protokołu Kerberos i wysyła na serwer zarządzania, na którym alert został rozszyfrowany.
Komunikacja między serwerem zarządzania a agentem może obejmować informacje dotyczące poświadczeń; na przykład zadania i dane konfiguracji. Kanał danych między agentem a serwerem zarządzania uzupełnia normalne szyfrowanie kanału, dodając kolejną warstwę szyfrowania. Interwencja użytkownika nie jest wymagana.
Serwer zarządzania i konsola Operacja, serwer konsoli sieci Web oraz serwer raportowania
Uwierzytelnianie i szyfrowanie danych między serwerem zarządzania a konsolą Operacje, serwerem konsoli sieci Web lub serwerem raportowania odbywa się przy użyciu technologii Windows Communication Foundation (WCF). Pierwsza próba uwierzytelniania odbywa się przy użyciu poświadczeń użytkownika. Pierwszy w kolejności jest protokół Kerberos. Jeżeli protokół Kerberos nie działa, podejmowana jest kolejna próba przy użyciu protokołu NTLM. Jeżeli nadal nie można przeprowadzić uwierzytelniania, użytkownik otrzymuje monit o podanie poświadczeń. Po przeprowadzeniu uwierzytelniania przy użyciu protokołu NTLM strumień danych jest szyfrowany w ramach funkcji protokołu Kerberos lub SSL.
W przypadku serwera raportowania i serwera zarządzania po przeprowadzeniu uwierzytelniania zostaje nawiązane połączenie danych między serwerem zarządzania a serwerem raportowania programu SQL Server. Ten proces odbywa się wyłącznie przy użyciu protokołu Kerberos; dlatego serwer zarządzania i serwer raportowania muszą znajdować się w zaufanych domenach. Więcej informacji o technologii WCF znajduje się w witrynie MSDN w artykule What Is Windows Communication Foundation (Co to jest Windows Communication Foundation).
Serwer zarządzania i magazyn danych raportowania
Między serwerem zarządzania a magazynem danych raportowania istnieją dwa kanały komunikacyjne:
Proces hosta monitorowania zduplikowany przez usługę System Center Management Health na serwerze zarządzania
Usługi System Center Data Access na serwerze zarządzania
Proces hosta monitorowania i magazyn danych raportowania
Domyślnie proces hosta monitorowania zduplikowany przez usługę Health, odpowiedzialną za zapisywanie zebranych zdarzeń i liczników wydajności w magazynie danych, realizuje uwierzytelnianie zintegrowane systemu Windows przez uruchomienie w ramach konta Moduł zapisywania danych określonego podczas konfigurowania raportowania. Poświadczenia konta są bezpiecznie przechowywane na koncie Uruchom jako o nazwie Konto działania magazynu danych. To konto Uruchom jako jest członkiem profilu Uruchom jako o nazwie Konto magazynu danych (skojarzone z bieżącymi zasadami zbierania danych).
Uwierzytelnianie zintegrowane systemu Windows nie będzie działało, gdy magazyn danych raportowania i serwer zarządzania są rozdzielone przez granicę zaufania (na przykład znajdują się w różnych domenach bez zaufania). Aby obejść tę sytuację, proces hosta monitorowania może połączyć się z magazynem danych raportowania przy użyciu uwierzytelniania programu SQL Server. W tym celu należy utworzyć nowe konto Uruchom jako (prostego typu) z poświadczeniami konta SQL i dołączyć je do profilu Uruchom jako o nazwie Konto uwierzytelniania programu SQL Server dla magazynu danych, ustanawiając serwer zarządzania komputerem docelowym.
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Domyślnie Konto uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako ma przypisane specjalne konto przy użyciu konta Uruchom jako o takiej samej nazwie. Nie należy wprowadzać żadnych zmian na koncie skojarzonym z Kontem uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako. Zamiast tego podczas konfigurowania uwierzytelniania programu SQL Server utwórz własne konto oraz konto Uruchom jako i dołącz je do Konta uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako. |
Poniżej opisano relacje między różnymi poświadczeniami kont, kontami Uruchom jako oraz profilami Uruchom jako w ramach uwierzytelniania zintegrowanego systemu Windows i uwierzytelniania programu SQL Server.
Domyślne: Uwierzytelnianie zintegrowane systemu Windows
Profil Uruchom jako: Konto Magazynu danych
Konto Uruchom jako: Konto działania magazynu danych
Poświadczenia: Konto Moduł zapisywania danych (określone podczas konfigurowania)
Profil Uruchom jako: Konto uwierzytelniania programu SQL Server magazynu danych
Konto Uruchom jako: Konto uwierzytelniania programu SQL Server magazynu danych
Poświadczenia: Konto specjalne utworzone przez program Operations Manager (nie należy go zmieniać)
Opcjonalne: Uwierzytelnianie programu SQL Server
Profil Uruchom jako: Konto uwierzytelniania programu SQL Server magazynu danych
Konto Uruchom jako: Utworzone konto Uruchom jako.
Poświadczenia: Utworzone konto.
Usługa System Center Data Access i magazyn danych raportowania
Domyślnie usługa System Center Data Access odpowiedzialna za odczytywanie danych z magazynu danych raportowania i udostępnianie ich w obszarze parametrów raportu realizuje uwierzytelnianie zintegrowane systemu Windows przez uruchomienie w ramach konta usługi Data Access oraz usługi konfigurowania zdefiniowanego podczas instalowania programu Operations Manager.
Uwierzytelnianie zintegrowane systemu Windows nie będzie działało, gdy magazyn danych raportowania i serwer zarządzania są rozdzielone przez granicę zaufania (na przykład znajdują się w różnych domenach bez zaufania). Aby obejść tę sytuację, usługa System Center Data Access może połączyć się z magazynem danych raportowania przy użyciu uwierzytelniania programu SQL Server. W tym celu należy utworzyć nowe konto Uruchom jako (prostego typu) z poświadczeniami konta SQL i dołączyć je do profilu Uruchom jako o nazwie Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK, ustanawiając serwer zarządzania komputerem docelowym.
| Ważne |
|---|
Domyślnie Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK w ramach profilu Uruchom jako ma przypisane specjalne konto przy użyciu konta Uruchom jako o takiej samej nazwie. Nie należy wprowadzać żadnych zmian na koncie skojarzonym z Kontem uwierzytelniania programu SQL Server dla usługi raportowania SDK w ramach profilu Uruchom jako. Zamiast tego podczas konfigurowania uwierzytelniania programu SQL Server utwórz własne konto oraz konto Uruchom jako i dołącz je do Konta uwierzytelniania programu SQL Server dla usługi raportowania SDK w ramach profilu Uruchom jako. |
Poniżej opisano relacje między różnymi poświadczeniami kont, kontami Uruchom jako oraz profilami Uruchom jako w ramach uwierzytelniania zintegrowanego systemu Windows i uwierzytelniania programu SQL Server.
Domyślne: Uwierzytelnianie zintegrowane systemu Windows
Konto usługi Data Access oraz usługi konfigurowania (zdefiniowane podczas instalowania programu Operations Manager)
Profil Uruchom jako: Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK
Konto Uruchom jako: Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK
Poświadczenia: Konto specjalne utworzone przez program Operations Manager (nie należy go zmieniać)
Opcjonalne: Uwierzytelnianie programu SQL Server
Profil Uruchom jako: Konto uwierzytelniania programu SQL Server magazynu danych
Konto Uruchom jako: Utworzone konto Uruchom jako.
Poświadczenia: Utworzone konto.
Konsola Operacje i serwer raportowania
Konsola Operacje łączy się z serwerem raportowania przez port 80 za pośrednictwem protokołu HTTP. Uwierzytelnianie odbywa się przy użyciu uwierzytelniania systemu Windows. Dane można szyfrować przy użyciu kanału SSL. Więcej informacji dotyczących używania protokołu SSL do komunikacji między konsolą Operacje a serwerem raportowania znajduje się w temacie Jak skonfigurować konsolę operacje do używania protokołu SSL, podczas nawiązywania połączenia z serwerem raportów.
Serwer raportowania i magazyn danych raportowania
Uwierzytelnianie między serwerem raportowania a magazynem danych raportowania odbywa się przy użyciu uwierzytelniania systemu Windows. Określone podczas konfigurowania raportowania konto Czytnik danych obejmuje funkcje konta wykonywania na serwerze raportowania. W przypadku zmiany hasła do konta należy również zmienić hasło w programie SQL Server przy użyciu menedżera konfiguracji usług Reporting Services. Więcej informacji dotyczących resetowania hasła znajduje się w temacie Jak zmienić hasło konta wykonywania serwera raportowania. Dane między serwerem raportowania a magazynem danych raportowania nie są szyfrowane.