Планирование учетных данных безопасности для доступа к компьютерам Unix и Linux
В этой статье описываются учетные данные, необходимые для установки, обслуживания, обновления и удаления агентов на компьютере UNIX или Linux.
В Operations Manager сервер управления использует два протокола для взаимодействия с компьютером UNIX или Linux:
Secure Shell (SSH) и протокол SFTP
- Используется для установки, обновления и удаления агентов.
Веб-службы для управления (WS-Management)
- Используется для всех операций мониторинга и обнаружения уже установленных агентов.
Используемый протокол зависит от действия или информации, запрошенной на сервере управления. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.
В Operations Manager системный администратор больше не требуется для предоставления корневого пароля компьютера UNIX или Linux серверу управления. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).
Учетные данные для установки агентов
Operations Manager использует протокол Secure Shell (SSH) для установки агента и веб-служб для управления (WS-Management) для обнаружения ранее установленных агентов. Для установки требуется привилегированная учетная запись на компьютере с UNIX или Linux. Существует два способа указания учетных данных для целевого компьютера, полученных мастером управления компьютерами и устройствами:
Указание имени пользователя и пароля.
Протокол SSH использует пароль для установки агента или протокола WS-Management, если агент уже был установлен с использованием подписанного сертификата.
Указание имени пользователя и ключа SSH. При необходимости ключ может содержать парольную фразу.
Если вы не используете учетные данные для привилегированной учетной записи, вы можете предоставить дополнительные учетные данные, чтобы ваша учетная запись стала привилегированной учетной записью через повышение привилегий на компьютере UNIX или Linux.
Установка не завершается до тех пор, пока агент не будет проверен. Проверка агента выполняется протоколом WS-Management, который использует учетные данные, хранимые на сервере управления, отдельно от привилегированной учетной записи, используемой для установки агента. Если вы выполнили одно из следующих действий, необходимо указать имя пользователя и пароль для проверки агента.
указали привилегированную учетную запись с помощью ключа;
указали непривилегированную учетную запись для повышения полномочий с использованием sudo с помощью ключа;
запустили мастер, где в поле Тип обнаружения выбрано значение Обнаруживать только компьютеры с установленным агентом UNIX или Linux.
Или же вы можете установить агент, в том числе его сертификат, вручную на компьютере с UNIX ил Linux, а затем выполнить обнаружение компьютера. Это наиболее безопасный метод установки агентов. Дополнительные сведения см. в разделе "Установка агента и сертификата" на компьютерах UNIX и Linux с помощью командной строки.
Учетные данные для операций мониторинга и обслуживания агента
Operations Manager содержит три предопределенных профиля для мониторинга компьютеров UNIX и Linux и выполнения обслуживания агента:
Учетная запись действия UNIX или Linux
Это профиль непривилегированной учетной записи, необходимый для базового мониторинга работоспособности и производительности.
Привилегированная учетная запись UNIX или Linux
Это профиль привилегированной учетной записи, используемый для мониторинга защищенных ресурсов, таких как файлы журнала.
Учетная запись обслуживания UNIX или Linux
Этот профиль используется для привилегированных операций обслуживания, таких как обновление и удаление агентов.
В пакетах управления UNIX и Linux все правила, мониторы, задачи, операции восстановления и другие элементы пакета управления настраиваются для использования этих профилей. Таким образом, нет необходимости определять дополнительные профили с помощью мастера профилей запуска от имени, если это не диктует особые обстоятельства. Профили не являются совокупными в области. Например, профиль учетной записи обслуживания UNIX/Linux не может использоваться вместо других профилей, так как он настроен с помощью привилегированной учетной записи.
В Operations Manager профиль не может функционировать, пока он не связан с одной учетной записью запуска от имени. Учетные данные для доступа к компьютерам под управлением ОС UNIX или Linux настраиваются в учетных записях запуска от имени. Поскольку предварительно определенные учетные записи запуска от имени для наблюдения за компьютерами под управлением ОС UNIX и Linux отсутствуют, их необходимо создать.
Чтобы создать учетную запись запуска от имени, необходимо запустить мастер учетной записи запуска от имени UNIX или Linux , доступный при выборе параметра Учетные записи UNIX или Linux в рабочей области Администрирование . Мастер создает учетную запись запуска от имени на основе выбранного типа учетной записи. Существует два типа учетных записей запуска от имени:
Учетная запись мониторинга
Используйте эту учетную запись для мониторинга работоспособности и производительности операций, взаимодействующих с помощью WS-Management.
Учетная запись обслуживания агента
Используйте эту учетную запись для обслуживания агентов, например для обновления и удаления, в операциях, взаимодействующих с помощью SSH.
Эти типы учетных записей запуска от имени можно настроить для различных уровней доступа в соответствии с указанными учетными данными. Учетные данные могут представлять привилегированные учетные записи или непривилегированные учетные записи, которые будут повышено до привилегированных. В приведенной ниже таблице показаны отношения между профилями, учетными записями запуска от имени и уровнями доступа.
| Профили | Тип учетной записи запуска от имени | Доступные уровни доступа |
|---|---|---|
| Учетная запись действия UNIX или Linux | Учетная запись мониторинга | — Непривилегированная — Привилегированная — Непривилегированная, повышенная до привилегированной |
| Привилегированная учетная запись UNIX или Linux | Учетная запись мониторинга | — Привилегированная — Непривилегированная, повышенная до привилегированной |
| Учетная запись обслуживания UNIX или Linux | Учетная запись обслуживания агента | — Привилегированная — Непривилегированная, повышенная до привилегированной |
Примечание.
Существует три профиля, но только два типа учетной записи запуска от имени.
При указании типа учетной записи запуска от имени для мониторинга необходимо ввести имя пользователя и пароль, которые будут применяться протоколом WS-Management. При указании типа учетной записи запуска от имени для обслуживания агента необходимо указать, как учетные данные передаются на целевой компьютер по протоколу SSH:
Указание имени пользователя и пароля.
Указание имени пользователя и ключа. При необходимости ключ может содержать парольную фразу.
После создания учетных записей запуска от имени необходимо изменить профили UNIX и Linux, чтобы связать их с созданными учетными записями запуска. Подробные инструкции см. в статье "Настройка учетных записей запуска от имени и профилей для доступа к UNIX и Linux"
Важные вопросы безопасности
Агент Operations Manager Linux/UNIX использует стандартный механизм PAM (подключаемый модуль проверки подлинности) на компьютере Linux или UNIX для проверки подлинности имени пользователя и пароля, указанного в профиле действий и привилегиях. Любое имя пользователя с паролем, прошедшим проверку подлинности PAM, может выполнять функции мониторинга, включая выполнение командных строк и скриптов, которые собирают данные мониторинга. Такие функции мониторинга всегда выполняются в контексте этого имени пользователя (если для этого имени пользователя явно не включено повышение прав sudo), поэтому агент Operations Manager не предоставляет больше возможностей, чем если имя пользователя должно было войти в систему Linux/UNIX.
Однако проверка подлинности PAM, используемая агентом Operations Manager, не требует, чтобы имя пользователя было связано с ним интерактивной оболочкой. Если методы управления учетными записями Linux и UNIX включают удаление интерактивной оболочки в качестве способа псевдо-отключения учетной записи, такое удаление не препятствует использованию учетной записи для подключения к агенту Operations Manager и выполнению функций мониторинга. В этих случаях следует использовать дополнительную конфигурацию PAM, чтобы убедиться, что эти псевдоактивные учетные записи не проходят проверку подлинности в агенте Operations Manager.
Учетные данные для обновления и удаления агентов
Мастер обновления агента UNIX и Linux и мастер удаления агента UNIX и Linux предоставляют учетные данные целевым компьютерам. Сначала мастер отображает запрос на выбор целевых компьютеров для обновления или удаления, после чего отображаются параметры указания учетных данных для целевого компьютера:
Использование существующих связанных учетных записей запуска от имени
Выберите этот параметр, чтобы использовать учетные данные, связанные с профилем учетной записи действия UNIX и Linux и профилем учетной записи обслуживания UNIX и Linux.
Мастер предупреждает вас, если у одного или нескольких выбранных компьютеров нет связанной учетной записи запуска от имени в необходимых профилях, в этом случае необходимо вернуться и очистить эти компьютеры, у которых нет связанной учетной записи запуска от имени или указать учетные данные.
Указание учетных данных
Выберите этот параметр, чтобы указать учетные данные SSH (имя пользователя и пароль или имя пользователя и ключ). При необходимости вы можете указать парольную фразу для ключа. Если учетные данные не предназначены для привилегированной учетной записи, их можно повысить до привилегированной учетной записи на целевом компьютере с помощью программ повышения привилегий unix su или sudo. Для повышения прав su требуется пароль. Если вы используете повышение прав sudo, вам будет предложено указать имя пользователя и пароль для проверки агента с помощью непривилегированных учетных записей.