共用方式為

規劃存取 Unix 和 Linux 電腦的安全性認證

  • 發行項

本文說明在 UNIX 或 Linux 計算機上安裝、維護、升級和卸載代理程式所需的認證。

在 Operations Manager 中,管理伺服器會使用兩種通訊協定與 UNIX 或 Linux 計算機通訊:

  • 安全殼層 (SSH) 和安全殼層檔案傳輸通訊協定 (SFTP)

    • 用於安裝、升級和移除代理程式。

  • Web Services for Management (WS-Management)

    • 用於所有監視操作,並包含探索已安裝的代理程式。

使用的通訊協定會視管理伺服器上要求的動作或資訊而定。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求,設定為使用預先定義的設定檔。

在 Operations Manager 中,系統管理員不再需要將 UNIX 或 Linux 計算機的根密碼提供給管理伺服器。 現在藉由提高權限,無特殊權限的帳戶可以取得 UNIX 或 Linux 電腦上特殊權限帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊權限代理程式維護作業 (例如探索、部署、升級、解除安裝和代理程式復原),系統提供 su 的支援、sudo 提高權限以及 SSH 金鑰驗證 (有或沒有複雜密碼) 的支援。 針對特殊權限 WS-Management 作業 (例如檢視安全記錄檔),系統新增 sudo 提高權限 (沒有密碼) 的支援。

安裝代理程序的認證

Operations Manager 使用安全殼層 (SSH) 通訊協議來安裝代理程式和 Web Services for Management (WS-Management) 來探索先前安裝的代理程式。 安裝作業需透過 UNIX 或 Linux 電腦的特殊權限帳戶來執行。 您可透過兩種方法將 [電腦和裝置管理精靈] 取得的認證提供給目標電腦:

  • 指定使用者名稱和密碼。

    SSH 通訊協定會使用密碼來安裝代理程式或 WS-Management 通訊協定 (如果已使用簽署憑證安裝代理程式)。

  • 指定使用者名稱和 SSH 金鑰。 金鑰可包含選用的複雜密碼。

如果您未使用特殊許可權帳戶的認證,您可以提供其他認證,讓您的帳戶透過 UNIX 或 Linux 計算機上的特權提升來成為特殊許可權帳戶。

在驗證代理程式之前,不會完成安裝。 代理程式驗證是由 WS-Management 通訊協定負責執行,而該通訊協定使用的是管理伺服器上維護的認證,與用來安裝代理程式的特殊權限帳戶不同。 如果您已完成下列其中一項,您必須提供代理程式驗證的使用者名稱和密碼:

  • 使用金鑰提供特殊權限帳戶。

  • 提供要使用 sudo 搭配金鑰來提升權限的無特殊權限帳戶。

  • 執行精靈,並將 [探索類型] 設定為 [僅探索已安裝 UNIX/Linux 代理程式的電腦]

另外,您也可以手動在 UNIX 或 Linux 電腦上安裝代理程式,包括其憑證,然後再探索該電腦。 這種方法是安裝代理程式最安全的方法。 如需詳細資訊,請參閱 使用命令行在 UNIX 和 Linux 計算機上安裝代理程式和憑證。

監視作業和執行代理程式維護的認證

Operations Manager 包含三個預先定義的配置檔,可用來監視 UNIX 和 Linux 計算機,以及執行代理程式維護:

  • UNIX/Linux 動作帳戶

    這個設定檔是基本健全狀況和效能監視所需的無特殊權限帳戶設定檔。

  • UNIX/Linux 特殊權限帳戶

    這個設定檔是用於監視受保護資源 (例如記錄檔) 的特殊權限帳戶設定檔。

  • UNIX/Linux 維護帳戶

    這個設定檔適用於特殊權限維護作業,例如更新與移除代理程式。

在 UNIX 和 Linux 管理組件中,所有的規則、監視、工作、復原和其他管理組件元素都會設定成使用這些設定檔。 因此,除非特殊情況規定,否則不需要使用執行身分配置檔精靈來定義其他配置檔。 配置檔在範圍中不是累計的。 例如,UNIX/Linux 維護帳戶配置檔無法取代其他配置檔,只是因為它使用特殊許可權帳戶進行設定。

在 Operations Manager 中,配置檔至少與一個執行身分帳戶相關聯,才能運作。 用來存取 UNIX 或 Linux 電腦的認證是在執行身分帳戶中設定。 由於系統並未預先定義用於 UNIX 和 Linux 監視的執行身分帳戶,因此您必須建立這種帳戶。

若要建立執行身分帳戶,您必須執行 [UNIX/Linux 執行身分帳戶精靈] ;您可透過在 [系統管理] 工作區選取 [UNIX/Linux 帳戶] 來使用此精靈。 這個精靈會根據選擇的執行身分帳戶類型建立執行身分帳戶。 執行身分帳戶類型有兩種:

  • 監視帳戶

    請將這個帳戶用於使用 WS-Management 進行通訊之操作的持續健全狀況與效能監視。

  • 代理程式維護帳戶

    請將這個帳戶用於使用 WS-Management 進行通訊之操作的代理程式維護 (例如更新與解除安裝)。

這些執行身分帳戶類型可以根據您提供的認證設定不同的存取層級。 認證可以是無特殊權限帳戶、特殊權限帳戶,或是即將提升為特殊權限帳戶的無特殊權限帳戶。 下圖顯示設定檔、執行身分帳戶與存取層級之間的關聯性。

設定檔 執行身分帳戶類型 允許的存取層級
UNIX/Linux 動作帳戶 監視帳戶 - 未特殊許可權
-特權
- 未特殊許可權,提升為特殊許可權
UNIX/Linux 特殊權限帳戶 監視帳戶 -特權
- 未特殊許可權,提升為特殊許可權
UNIX/Linux 維護帳戶 代理程式維護帳戶 -特權
- 未特殊許可權,提升為特殊許可權

注意

有三個配置檔,但只有兩個執行身分帳戶類型。

指定監視執行身分帳戶類型時,您必須指定使用者名稱和密碼,供 WS-Management 通訊協定使用。 指定代理程維護執行身分帳戶時,您必須指定使用 SSH 通訊協定提供認證給目標電腦的方式:

  • 指定使用者名稱和密碼。

  • 指定使用者名稱和金鑰。 您可包含選用的複雜密碼。

建立執行身分帳戶後,您必須編輯 UNIX 和 Linux 設定檔,使其與您建立的執行身分帳戶產生關聯。 如需詳細指示,請參閱 如何設定 UNIX 和 Linux 存取的執行身分帳戶和設定檔

重要的安全性考慮

Operations Manager Linux/UNIX 代理程式會使用 Linux 或 UNIX 電腦上的標準 PAM(插入式驗證模組)機制來驗證動作設定檔和許可權設定檔中指定的使用者名稱和密碼。 具有 PAM 驗證密碼的任何使用者名稱都可以執行監視功能,包括執行命令行和收集監視數據的腳本。 這類監視函式一律會在該使用者名稱的內容中執行(除非明確啟用該用戶名稱的 sudo 提高許可權),因此 Operations Manager 代理程式不會提供比使用者名稱登入 Linux/UNIX 系統更多的功能。

不過,Operations Manager 代理程式所使用的 PAM 驗證不需要使用者名稱具有與其相關聯的互動式殼層。 如果您的 Linux/UNIX 帳戶管理做法包括移除互動式殼層作為虛擬停用帳戶的方式,這類移除並不會防止帳戶用來連線到 Operations Manager 代理程式並執行監視功能。 在這些情況下,您應該使用額外的 PAM 組態來確保這些虛擬停用的帳戶不會向 Operations Manager 代理程式進行驗證。

升級和卸載代理程序的認證

[UNIX/Linux 代理程式升級精靈] 和 [UNIX/Linux 代理程式解除安裝精靈] 都會提供認證給其目標電腦。 精靈會先提示您選取要升級或解除安裝的目標電腦,接著再選取如何提供認證給目標電腦的選項。

  • 使用現有的相關聯執行身分帳戶

    選取此選項可使用與 UNIX/Linux 動作帳戶設定檔和 UNIX/Linux 維護帳戶設定檔相關聯的認證。

    如果一或多部選取的計算機在必要配置檔中沒有相關聯的執行身分帳戶,則精靈會警示您,在此情況下,您必須返回並清除那些沒有相關聯執行身分帳戶或指定認證的計算機。

  • 指定認證

    選取此選項可使用使用者名稱和密碼或是使用者名稱和金鑰來指定安全殼層 (SSH) 認證。 您可以選擇隨金鑰一起提供複雜密碼。 如果認證不是特殊許可權帳戶,您可以使用 UNIX su 或 sudo 提高許可權程式,將其提升為目標電腦上的特殊許可權帳戶。 'su' 提高許可權需要密碼。 如果您使用 sudo 提高許可權,系統會提示您輸入使用者名稱和密碼,以使用未特殊許可權的帳戶進行代理程序驗證。