Planera säkerhetsautentiseringsuppgifter för åtkomst till Unix- och Linux-datorer
I den här artikeln beskrivs de autentiseringsuppgifter som krävs för att installera, underhålla, uppgradera och avinstallera agenter på en UNIX- eller Linux-dator.
I Operations Manager använder hanteringsservern två protokoll för att kommunicera med UNIX- eller Linux-datorn:
Secure Shell (SSH) och Secure Shell File Transfer Protocol (SFTP)
- Används för att installera, uppgradera och ta bort agenter.
Webbservices för hantering (WS-Management)
- Används för alla övervakningsåtgärder och inkluderar identifiering av agenter som redan har installerats.
Vilket protokoll som används beror på vilken åtgärd eller information som begärs på hanteringsservern. Alla åtgärder, såsom agentunderhållning, övervakning, regler, uppgifter och återställningar, är konfigurerade att använda fördefinierade profiler beroende på deras krav för antingen ett icke-privilegierat eller ett privilegierat konto.
I Operations Manager behöver systemadministratören inte längre ange rotlösenordet för UNIX- eller Linux-datorn till hanteringsservern. Nu kan ett konto som inte är privilegierat anta identiteten för ett privilegierat konto på UNIX- eller Linux-datorn. Höjningsprocessen utförs av UNIX su-program (superanvändare) och sudo-program som använder de autentiseringsuppgifter som hanteringsservern tillhandahåller. För privilegierade agentunderhållsåtgärder som använder SSH (till exempel identifiering, distribution, uppgraderingar, avinstallation och agentåterställning), tillhandahålls stöd för su, sudo elevation och stöd för SSH-nyckelautentisering (med eller utan lösenfras). För privilegierade WS-Management åtgärder (till exempel visning av säkra loggfiler) läggs stöd för sudo-höjning (utan lösenord) till.
Autentiseringsuppgifter för att installera agenter
Operations Manager använder SSH-protokollet (Secure Shell) för att installera en agent och Web Services for Management (WS-Management) för att identifiera tidigare installerade agenter. Installationen kräver ett privilegierat konto på UNIX- eller Linux-datorn. Det finns två sätt att ange autentiseringsuppgifter till måldatorn enligt guiden Dator- och enhetshantering:
Ange ett användarnamn och lösenord.
SSH-protokollet använder lösenordet för att installera en agent eller WS-Management-protokollet om agenten redan har installerats med hjälp av ett signerat certifikat.
Ange ett användarnamn och en SSH-nyckel. Nyckeln kan innehålla en valfri lösenfras.
Om du inte använder autentiseringsuppgifterna för ett privilegierat konto kan du ange ytterligare autentiseringsuppgifter så att ditt konto blir ett privilegierat konto genom utökade privilegier på UNIX- eller Linux-datorn.
Installationen har inte slutförts förrän agenten har verifierats. Agentverifiering utförs av WS-Management protokoll som använder autentiseringsuppgifter som underhålls på hanteringsservern, separat från det privilegierade konto som används för att installera agenten. Du måste ange ett användarnamn och lösenord för agentverifiering om du har gjort något av följande:
Ett privilegierat konto tillhandahölls med hjälp av en nyckel.
Tillhandahöll ett konto som inte är privilegierat och som ska utökas med sudo med en nyckel.
Körde guiden med Identifieringstyp inställd på Identifiera endast datorer med UNIX/Linux-agenten installerad.
Du kan också installera agenten, inklusive dess certifikat, manuellt på UNIX- eller Linux-datorn och sedan identifiera den datorn. Den här metoden är det säkraste sättet att installera agenter. Mer information finns i Installera agenten och certifikatet på UNIX- och Linux-datorer med hjälp av kommandoraden.
Autentiseringsuppgifter för övervakningsåtgärder och agentunderhåll
Operations Manager innehåller tre fördefinierade profiler som ska användas för att övervaka UNIX- och Linux-datorer och utföra agentunderhåll:
UNIX/Linux-åtgärdskonto
Den här profilen är en kontoprofil som inte är privilegierad och som krävs för grundläggande hälso- och prestandaövervakning.
UNIX/Linux-privilegierat konto
Den här profilen är en privilegierad kontoprofil som används för övervakning av skyddade resurser, till exempel loggfiler.
UNIX/Linux-underhållskonto
Den här profilen används för privilegierade underhållsåtgärder, till exempel uppdatering och borttagning av agenter.
I UNIX- och Linux-hanteringspaketen konfigureras alla regler, övervakare, uppgifter, återställningar och andra hanteringspaketelement för att använda dessa profiler. Därför finns det inget krav på att definiera ytterligare profiler med hjälp av guiden Kör som-profil, om inte särskilda omständigheter kräver det. Profilerna är inte kumulativa i omfånget. Unix-/Linux-underhållskontoprofilen kan till exempel inte användas i stället för de andra profilerna bara för att den har konfigurerats med ett privilegierat konto.
I Operations Manager kan en profil inte fungera förrän den är associerad med minst ett Kör som-konto. Autentiseringsuppgifterna för åtkomst till UNIX- eller Linux-datorerna konfigureras i Kör som-kontona. Eftersom det inte finns några fördefinierade Kör som-konton för UNIX- och Linux-övervakning måste du skapa dem.
Om du vill skapa ett Kör som-konto måste du köra guiden UNIX-/Linux-kör som-konto som är tillgänglig när du väljer UNIX-/Linux-konton på arbetsytan Administration. Guiden skapar ett Run As-konto utifrån vald typ av Run As-konto. Det finns två Kör som-kontotyper:
Övervakningskonto
Använd det här kontot för kontinuerlig hälso- och prestandaövervakning i åtgärder som kommunicerar med hjälp av WS-Management.
Agentunderhållskonto
Använd det här kontot för agentunderhåll, till exempel uppdatering och avinstallation i åtgärder som kommunicerar med hjälp av SSH.
Dessa Kör som-kontotyper kan konfigureras för olika åtkomstnivåer enligt de autentiseringsuppgifter som du anger. Autentiseringsuppgifter kan vara oprivilegierade eller privilegierade konton eller konton utan privilegier som utökas till privilegierade konton. I följande tabell visas relationerna mellan profiler, Kör som-konton och åtkomstnivåer.
| Profiler | Kör som kontotyp | Tillåtna åtkomstnivåer |
|---|---|---|
| UNIX/Linux-åtgärdskonto | Övervakningskonto | - Oprivilegierad -Privilegierad - Oprivilegierad, upphöjd till privilegierad |
| UNIX/Linux-privilegierat konto | Övervakningskonto | -Privilegierad - Oprivilegierad, upphöjd till privilegierad |
| UNIX/Linux-underhållskonto | Agentunderhållskonto | -Privilegierad - Oprivilegierad, upphöjd till privilegierad |
Anteckning
Det finns tre profiler, men bara två typer av "Run As Account".
När du anger en Kör som-kontotyp för övervakning måste du ange ett användarnamn och lösenord för användning av WS-Management-protokollet. När du anger en kontotyp för agentunderhåll måste du ange hur autentiseringsuppgifterna tillhandahålls till den måldator som använder SSH-protokollet:
Ange ett användarnamn och ett lösenord.
Ange ett användarnamn och en nyckel. Du kan inkludera en valfri lösenfras.
När du har skapat Kör som-kontona måste du redigera UNIX- och Linux-profilerna för att associera dem med de Kör som-konton som du skapade. Detaljerade anvisningar finns i Konfigurera Kör som-konton och -profiler för UNIX- och Linux-åtkomst
Viktiga säkerhetsöverväganden
Operations Manager Linux/UNIX-agenten använder standardmekanismen PAM (Pluggable Authentication Module) på Linux- eller UNIX-datorn för att autentisera användarnamnet och lösenordet som anges i åtgärdsprofilen och behörighetsprofilen. Alla användarnamn med ett lösenord som PAM autentiserar kan utföra övervakningsfunktioner, inklusive att köra kommandorader och skript som samlar in övervakningsdata. Sådana övervakningsfunktioner utförs alltid i kontexten för användarnamnet (såvida inte sudo-höjning uttryckligen är aktiverat för det användarnamnet), så Operations Manager-agenten ger inte mer kapacitet än om användarnamnet skulle logga in på Linux/UNIX-systemet.
Pam-autentiseringen som används av Operations Manager-agenten kräver dock inte att användarnamnet har ett interaktivt gränssnitt associerat med det. Om dina metoder för hantering av Linux-/UNIX-konton inkluderar att ta bort det interaktiva gränssnittet som ett sätt att pseudoaktivera ett konto, förhindrar inte sådan borttagning att kontot används för att ansluta till Operations Manager-agenten och utföra övervakningsfunktioner. I dessa fall bör du använda ytterligare PAM-konfiguration för att säkerställa att dessa pseudoaktiverade konton inte autentiserar till Operations Manager-agenten.
Autentiseringsuppgifter för uppgradering och avinstallation av agenter
Uppgraderingsguiderna UNIX/Linux-agenten och Guide för avinstallation av UNIX/Linux-agent tillhandahåller autentiseringsuppgifter till sina måldatorer. Guiderna uppmanar dig först att välja de måldatorer som ska uppgraderas eller avinstalleras, följt av alternativ för hur du anger autentiseringsuppgifterna till måldatorn:
Använd befintliga associerade Kör som-konton
Välj det här alternativet om du vill använda autentiseringsuppgifterna som är associerade med UNIX/Linux-åtgärdskontoprofilen och unix-/Linux-underhållskontoprofilen.
Guiden varnar dig om en eller flera av de valda datorerna inte har ett associerat Kör som-konto i de profiler som krävs, i vilket fall du måste gå tillbaka och rensa de datorer som inte har ett associerat Kör som-konto eller ange autentiseringsuppgifter.
Ange autentiseringsuppgifter
Välj det här alternativet om du vill ange autentiseringsuppgifter för Secure Shell (SSH) med hjälp av ett användarnamn och lösenord eller ett användarnamn och en nyckel. Du kan också ange en lösenfras med en nyckel. Om autentiseringsuppgifterna inte är för ett privilegierat konto kan du få dem upphöjda till ett privilegierat konto på måldatorn med hjälp av UNIX su- eller sudo elevation-programmen. Elevationen "su" kräver ett lösenord. Om du använder sudo elevation uppmanas du att ange ett användarnamn och lösenord för agentverifiering med hjälp av ett konto som inte är privilegierat.