规划用于访问 Unix 和 Linux 计算机的安全凭据
本文介绍在 UNIX 或 Linux 计算机上安装、维护、升级和卸载代理所需的凭据。
在 Operations Manager 中,管理服务器使用两种协议与 UNIX 或 Linux 计算机通信:
安全外壳 (SSH) 和安全外壳文件传输协议 (SFTP)
- 用于安装、升级和删除代理。
Web Services for Management (WS-Management)
- 用于所有监视操作,并包括已安装代理的发现。
所使用的协议取决于在管理服务器上请求的操作或信息。 所有操作(如代理维护)、监视器、规则、任务和恢复均被配置为根据其要求将预定义的配置文件用于特权帐户或非特权帐户。
在 Operations Manager 中,不再需要系统管理员向管理服务器提供 UNIX 或 Linux 计算机的根密码。 现在,通过进行提升,无特权帐户可以在 UNIX 或 Linux 计算机上采用特权帐户的标识。 提升过程由 UNIX su(超级用户)和 sudo 程序来执行,这两个程序使用管理服务器提供的凭据。 对于使用 SSH 的特权代理维护操作(如发现、部署、升级、卸载和代理恢复),提供了对 su 和 sudo 提升的支持,以及对 SSH 密钥身份验证(有或无密码)的支持。 对于特权 WS 管理操作(如查看安全的日志文件),添加了对 sudo 提升(无密码)的支持。
用于安装代理的凭据
Operations Manager 使用安全外壳 (SSH) 协议来安装代理和 Web 服务进行管理(WS-Management),以发现以前安装的代理。 安装需要 UNIX 或 Linux 计算机上的授权帐户。 可采用以下两种方法将“计算机和设备管理向导” 获取的凭据提供给目标计算机:
指定用户名和密码。
SSH 协议使用密码安装代理,如果已经使用签名证书安装了代理,则会安装 WS-Management 协议。
指定用户名和 SSH 密钥。 密钥可以包括可选密码。
如果不使用特权帐户的凭据,则可以提供其他凭据,以便帐户通过 UNIX 或 Linux 计算机上的特权提升成为特权帐户。
在验证代理之前,不会完成安装。 代理验证通过 WS-Management 协议来执行,此协议使用与用于安装代理的特权帐户分开的管理服务器上维护的凭据。 如果已完成以下任一操作,则需要提供用户名和密码进行代理验证:
使用密钥提供了特权帐户。
使用 sudo 和密钥提供了要提升的无特权帐户。
运行了向导,并且将“发现类型” 设置为了“只发现安装了 UNIX/Linux 代理的计算机” 。
或者,你可以在 UNIX 或 Linux 计算机上手动安装代理,包括其证书,然后发现该计算机。 此方法是最安全的代理安装方法。 有关详细信息,请参阅 使用命令行在 UNIX 和 Linux 计算机上安装代理和证书。
用于监视操作和执行代理维护的凭据
Operations Manager 包含三个预定义配置文件,用于监视 UNIX 和 Linux 计算机和执行代理维护:
UNIX/Linux 操作帐户
此配置文件是基本运行状况和性能监视所需的无特权帐户配置文件。
UNIX/Linux 特权帐户
此配置文件是用于监视受保护资源(例如日志文件)的特权帐户配置文件。
UNIX/Linux 维护帐户
此配置文件用于特权维护操作,例如更新和删除代理。
在 UNIX 和 Linux 管理包中,所有规则、监视器、任务、恢复和其他管理包元素已配置为使用这些配置文件。 因此,除非特殊情况规定,否则不需要使用运行方式配置文件向导来定义其他配置文件。 配置文件在范围内不是累积的。 例如,UNIX/Linux 维护帐户配置文件不能代替其他配置文件,只是因为它使用特权帐户进行配置。
在 Operations Manager 中,配置文件在与至少一个运行方式帐户关联之前无法运行。 用于访问 UNIX 或 Linux 计算机的凭据是在运行方式帐户中配置的。 由于没有用于 UNIX 和 Linux 监视的预定义运行方式帐户,因此你必须创建这些帐户。
要创建运行方式帐户,则必须运行“UNIX/Linux 运行方式帐户向导” ,在“管理” 工作区中选择“UNIX/Linux 帐户” 时可以使用此向导。 此向导根据所选择的运行方式帐户类型创建运行方式帐户。 有以下两种运行方式帐户类型:
监视帐户
使用此帐户在使用 WS-Management 通信的操作中进行现行的运行状况和性能监视。
代理维护帐户
使用此帐户在使用 SSH 通信的操作中进行诸如更新和卸载之类的代理维护。
依据你提供的凭据,可以针对不同级别的访问这些配置运行方式帐户类型。 凭据可以是无特权帐户或特权帐户,或者是将提升为特权帐户的无特权帐户。 下表显示了配置文件、运行方式帐户和访问级别之间的关系。
| 档案 | 运行方式帐户类型 | 允许的访问级别 |
|---|---|---|
| UNIX/Linux 操作帐户 | 监视帐户 | - 无特权 - 特权 - 无特权,提升到特权 |
| UNIX/Linux 特权帐户 | 监视帐户 | - 特权 - 无特权,提升到特权 |
| UNIX/Linux 维护帐户 | 代理维护帐户 | - 特权 - 无特权,提升到特权 |
注意
有三个配置文件,但只有两种运行方式帐户类型。
当指定监视运行方式帐户类型时,必须指定 WS-Management 协议要使用的用户名和密码。 当指定代理维护运行方式帐户类型时,必须指定使用 SSH 协议向目标计算机提供凭据的方式:
指定用户名和密码。
指定用户名和密钥。 你可以包括可选密码。
创建了运行方式帐户之后,必须编辑 UNIX 和 Linux 配置文件以将其与你创建的运行方式帐户关联。 有关详细说明,请参阅 如何为 UNIX 和 Linux 访问配置运行方式帐户和配置文件
重要的安全注意事项
Operations Manager Linux/UNIX 代理使用 Linux 或 UNIX 计算机上的标准 PAM(可插入身份验证模块)机制对操作配置文件和特权配置文件中指定的用户名和密码进行身份验证。 具有 PAM 身份验证的密码的任何用户名都可以执行监视功能,包括运行用于收集监视数据的命令行和脚本。 此类监视函数始终在该用户名的上下文中执行(除非显式为该用户名启用了 sudo 提升),因此 Operations Manager 代理提供的功能不如用户名是否登录到 Linux/UNIX 系统。
但是,Operations Manager 代理使用的 PAM 身份验证不需要用户名具有与之关联的交互式 shell。 如果 Linux/UNIX 帐户管理做法包括删除交互式 shell 作为伪禁用帐户的方法,此类删除不会阻止该帐户用于连接到 Operations Manager 代理并执行监视功能。 在这些情况下,应使用其他 PAM 配置来确保这些伪禁用的帐户不会向 Operations Manager 代理进行身份验证。
用于升级和卸载代理的凭据
“UNIX/Linux 代理升级向导” 和“UNIX/Linux 代理卸载向导” 将向其目标计算机提供凭据。 向导首先提示你选择要升级或卸载的目标计算机,然后提示你选择关于向目标计算机提供凭据的选项:
使用现有的关联运行方式帐户
选择此选项以使用与 UNIX/Linux 操作帐户配置文件和 UNIX/Linux 维护帐户配置文件关联的凭据。
如果一个或多个所选计算机在所需配置文件中没有关联的运行方式帐户,则向导会发出警报,在这种情况下,必须返回并清除那些没有关联运行方式帐户或指定凭据的计算机。
指定凭据
选择此选项以使用用户名和密码或用户名和密钥指定安全外壳 (SSH) 凭据。 你可以根据需要提供密码和密钥。 如果凭据不是特权帐户,则可以使用 UNIX su 或 sudo 提升程序将其提升到目标计算机上的特权帐户。 “su”提升需要密码。 如果使用 sudo 提升,系统会提示使用未特权帐户进行代理验证的用户名和密码。