共用方式為

規劃存取 Unix 和 Linux 電腦的安全性認證

  • 發行項

本文說明在 UNIX 或 Linux 計算機上安裝、維護、升級和卸載代理程式所需的認證。

在 Operations Manager 中,管理伺服器會使用兩種通訊協定與 UNIX 或 Linux 計算機通訊:

  • 安全殼層 (SSH) 和安全殼層檔案傳輸通訊協定 (SFTP)

    • 用於安裝、升級和移除代理程式。

  • Web Services for Management (WS-Management)

    • 用於所有監視操作,並包含偵測已安裝的代理。

使用的通訊協定會視管理伺服器上要求的動作或資訊而定。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求,設定為使用預先定義的設定檔。

在 Operations Manager 中,系統管理員不再需要將 UNIX 或 Linux 計算機的根密碼提供給管理伺服器。 現在藉由提高權限,無特殊權限的帳戶可以取得 UNIX 或 Linux 電腦上特殊權限帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊權限代理程式維護作業 (例如探索、部署、升級、解除安裝和代理程式復原),系統提供 su 的支援、sudo 提高權限以及 SSH 金鑰驗證 (有或沒有複雜密碼) 的支援。 針對特殊權限 WS-Management 作業 (例如檢視安全記錄檔),系統新增 sudo 提高權限 (沒有密碼) 的支援。

安裝代理程序的認證

Operations Manager 使用安全外殼(SSH)協定來安裝代理程式,並使用管理網路服務(WS-Management)來偵測先前安裝的代理程式。 安裝作業需透過 UNIX 或 Linux 電腦的特殊權限帳戶來執行。 您可透過兩種方法將 [電腦和裝置管理精靈] 取得的認證提供給目標電腦:

  • 指定使用者名稱和密碼。

    SSH 通訊協定會使用密碼來安裝代理程式或 WS-Management 通訊協定 (如果已使用簽署憑證安裝代理程式)。

  • 指定使用者名稱和 SSH 金鑰。 金鑰可包含選用的密碼。

如果您未使用特殊許可權帳戶的認證,您可以提供其他認證,讓您的帳戶透過 UNIX 或 Linux 計算機上的特權提升來成為特殊許可權帳戶。

在驗證代理程式之前,不會完成安裝。 代理程式驗證是由 WS-Management 通訊協定負責執行,而該通訊協定使用的是管理伺服器上維護的認證,與用來安裝代理程式的特殊權限帳戶不同。 如果您已完成下列其中一項,您必須提供代理程式驗證的使用者名稱和密碼:

  • 使用金鑰提供特殊權限帳戶。

  • 提供使用 sudo 和金鑰提升權限的未授權帳戶。

  • 執行精靈,並將 [探索類型] 設定為 [僅探索已安裝 UNIX/Linux 代理程式的電腦]

另外,您也可以手動在 UNIX 或 Linux 電腦上安裝代理程式,包括其憑證,然後再探索該電腦。 這種方法是安裝代理程式最安全的方法。 如需詳細資訊,請參閱 使用命令行在 UNIX 和 Linux 計算機上安裝代理程式和憑證。

監視作業和執行代理程式維護的認證

Operations Manager 包含三個預先定義的配置檔,可用來監視 UNIX 和 Linux 計算機,以及執行代理程式維護:

  • UNIX/Linux 操作帳戶

    這個設定檔是基本健全狀況和效能監視所需的無特殊權限帳戶設定檔。

  • UNIX/Linux 特殊權限帳戶

    這個設定檔是用於監視受保護資源 (例如記錄檔) 的特殊權限帳戶設定檔。

  • UNIX/Linux 維護帳戶

    這個設定檔適用於特殊權限維護作業,例如更新與移除代理程式。

在 UNIX 和 Linux 管理組件中,所有的規則、監視、工作、復原和其他管理組件元素都會設定成使用這些設定檔。 因此,除非特殊情況規定,否則不需要使用執行身分配置檔精靈來定義其他配置檔。 配置檔在範圍中不是累計的。 例如,UNIX/Linux 維護帳戶配置檔無法取代其他配置檔,只是因為它使用特殊許可權帳戶進行設定。

在 Operations Manager 中,配置檔必須與至少一個執行身分帳戶相關聯,才能運作。 用來存取 UNIX 或 Linux 電腦的認證是在執行身分帳戶中設定。 由於系統並未預先定義用於 UNIX 和 Linux 監視的執行身分帳戶,因此您必須建立這種帳戶。

若要建立執行身分帳戶,您必須執行 [UNIX/Linux 執行身分帳戶精靈] ;您可透過在 [系統管理] 工作區選取 [UNIX/Linux 帳戶] 來使用此精靈。 這個精靈會依據所選擇的一個執行身分帳戶類型建立執行身分帳戶。 有兩種類型的執行帳戶:

  • 監視帳戶

    請將此帳戶用於使用 WS-Management 進行通訊的操作中的持續健康狀態和效能監控。

  • 代理維護帳戶

    請將這個帳戶用於使用 SSH 進行通訊之操作的代理程式維護,例如更新與解除安裝。

這些「以...身份執行」帳戶類型可以根據您提供的認證來設定不同的存取層級。 認證可以是無特殊權限帳戶、特殊權限帳戶,或是即將提升為特殊權限帳戶的無特殊權限帳戶。 下圖顯示設定檔、執行身分帳戶與存取層級之間的關聯性。

個人檔案 執行為帳戶類型 允許的存取層級
UNIX/Linux 操作帳戶 監視帳戶 無特權
-特權
- 無特權,提升為有特權
UNIX/Linux 特殊權限帳戶 監視帳戶 -特權
- 未具有權限,提升為具備權限
UNIX/Linux 維護帳戶 代理維護帳戶 -特權
- 無權限,提升至擁有權限

注意

有三個配置檔,但只有兩個執行身分帳戶類型。

指定監視執行身分帳戶類型時,您必須指定使用者名稱和密碼,供 WS-Management 通訊協定使用。 當您指定代理程式維護執行身分帳戶類型時,必須指定如何透過 SSH 協定將認證提供給目標電腦。

  • 指定使用者名稱和密碼。

  • 指定使用者名稱和金鑰。 您可以包含選用的密語。

建立執行身分帳戶後,您必須編輯 UNIX 和 Linux 設定檔,使其與您建立的執行身分帳戶產生關聯。 如需詳細指示,請參閱 如何設定 UNIX 和 Linux 存取的執行身分帳戶和設定檔

重要的安全性考慮

Operations Manager Linux/UNIX 代理程式會使用 Linux 或 UNIX 電腦上的標準 PAM(插入式驗證模組)機制來驗證動作設定檔和許可權設定檔中指定的使用者名稱和密碼。 具有 PAM 驗證密碼的任何使用者名稱都可以執行監視功能,包括執行命令行和收集監視數據的腳本。 這類監控功能會始終在該使用者的身份上下文中執行(除非明確啟用了該用戶名稱的 sudo 權限提升),因此 Operations Manager 代理程式不會增加任何額外的功能,僅相當於該使用者登入 Linux/UNIX 系統的情況。

不過,Operations Manager 代理程式使用的 PAM 驗證不需要使用者名稱具備相關聯的互動式命令行。 如果您的 Linux/UNIX 帳戶管理做法包括移除互動式 shell 作為偽停用帳戶的方式,這樣的移除並不會防止該帳戶用來連線到 Operations Manager agent 並執行監視功能。 在這些情況下,您應該使用額外的 PAM 組態來確保這些虛擬停用的帳戶不會向 Operations Manager 代理程式進行驗證。

升級和卸載代理程序的認證

[UNIX/Linux 代理程式升級精靈] 和 [UNIX/Linux 代理程式解除安裝精靈] 都會提供認證給其目標電腦。 精靈會先提示您選取要升級或解除安裝的目標電腦,接著再選取如何提供認證給目標電腦的選項。

  • 使用現有的已關聯執行身分帳戶

    選取此選項可使用與 UNIX/Linux 動作帳戶設定檔和 UNIX/Linux 維護帳戶設定檔相關聯的認證。

    如果一或多部選取的計算機在必要配置檔中沒有相關聯的執行身分帳戶,則精靈會警示您,在此情況下,您必須返回並清除那些沒有相關聯執行身分帳戶或指定認證的計算機。

  • 指定認證

    選取此選項可使用使用者名稱和密碼或是使用者名稱和金鑰來指定安全殼層 (SSH) 認證。 您可以選擇性地提供一個密碼與金鑰一起使用。 如果這些憑證不是用於特殊權限帳戶的,您可以使用 UNIX su 或 sudo 提升權限的程式,將其提升到目標電腦上的特殊權限帳戶。 'su' 提升權限需要密碼。 如果您使用 sudo 提升權限,系統會提示您輸入使用者名稱和密碼,使用具有非特權的帳戶進行代理驗證。