Plánování zabezpečovacích přihlašovacích údajů pro přístup k počítačům se systémem UNIX a Linux
Důležité
Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.
Tento článek popisuje přihlašovací údaje potřebné k instalaci, údržbě, upgradu a odinstalaci agentů v počítači se systémem UNIX nebo Linux.
V Operations Manageru využívá server pro správu ke komunikaci s počítači UNIX nebo Linux dva protokoly:
SSH (Secure Shell) a SFTP (Secure Shell File Transfer Protocol).
- Používá se k instalaci, upgradu a odebrání agentů.
Protokol WS-Management (Web Services for Management)
- Používá se k monitorování operací a zahrnuje zjišťování dříve nainstalovaných agentů.
Použitý protokol závisí na akci nebo informacích, které jsou požadovány na serveru pro správu. Všechny akce, například údržba agenta, monitorování, pravidla, úlohy a obnovení, jsou konfigurovány tak, aby používaly přednastavené profily v souladu s jejich požadavkem na neprivilegovaný nebo privilegovaný účet.
V nástroji Operations Manager už správce systému nemusí serveru pro správu zadávat kořenové heslo počítače se systémem UNIX nebo Linux. Nyní může neprivilegovaný účet pomocí zvýšení oprávnění převzít identitu privilegovaného účtu počítače se systémem UNIX nebo Linux. Proces zvýšení oprávnění je prováděn pomocí programů su (superuživatel) a sudo systému UNIX, které používají přihlašovací údaje předané serverem pro správu. Při operacích údržby privilegovaného agenta využívajících protokol SSH (například zjišťování, nasazení, upgrady, odinstalace a obnovení agenta) je možné použít ověřování se zvýšením oprávnění su nebo sudo a ověření pomocí klíče SSH (s heslem nebo bez něj). Nově je také možné u privilegovaných operací WS-Management (například zobrazení zabezpečených souborů protokolů) využít zvýšení oprávnění sudo (bez hesla).
Přihlašovací údaje pro instalaci agentů
Operations Manager používá protokol SSH (Secure Shell) k instalaci agenta a webové služby pro správu (WS-Management) ke zjišťování dříve nainstalovaných agentů. Instalace vyžaduje účet s dostatečnými oprávněními (privilegovaný účet) v počítači se systémem UNIX nebo Linux. Existují dva způsoby, jak poskytnout přihlašovací údaje cílovému počítači získané Průvodcem správou počítačů a zařízení:
Zadání uživatelského jména a hesla.
Protokol SSH používá heslo k instalaci agenta nebo protokolu WS-Management, pokud již byl agent nainstalován pomocí podepsaného certifikátu.
Zadání uživatelského jména a klíče SSH. Klíč může obsahovat volitelné přístupové heslo.
Pokud nepoužíváte přihlašovací údaje pro privilegovaný účet, můžete zadat další přihlašovací údaje, aby se váš účet díky zvýšení oprávnění na počítači se systémem UNIX nebo Linux mohl být privilegovaným účtem.
Instalace se nedokončí, dokud se neověří agent. Ověření agenta se provádí pomocí protokolu WS-Management, který používá přihlašovací údaje udržované na serveru pro správu, odděleně od privilegovaného účtu, který se používá pro instalaci agenta. Pokud jste provedli jednu z těchto věcí, musíte zadat uživatelské jméno a heslo pro ověření agenta:
Poskytli jste privilegovaný účet pomocí klíče.
Poskytli jste neprivilegovaný účet, jehož oprávnění musí být zvýšena pomocí příkazu sudo s klíčem.
Spustili jste průvodce s typem zjišťování nastaveným na možnost Zjišťovat pouze počítače se systémy UNIX/Linux a nainstalovanými agenty.
Případně můžete nainstalovat agenta, včetně jeho certifikátu, ručně v počítači se systémem UNIX nebo Linux a pak zjistit tento počítač. Tato metoda představuje nejbezpečnější způsob, jak nainstalovat agenty. Další informace najdete v tématu Instalace agenta a certifikátu do počítačů se systémem UNIX a Linux pomocí příkazového řádku.
Přihlašovací údaje pro monitorování provozu a provádění údržby agentů
Operations Manager obsahuje tři předdefinované profily, které lze používat k monitorování počítačů se systémem UNIX a Linux a provádění údržby agenta:
Účet akce platformy UNIX/Linux
Toto je profil neprivilegovaného účtu požadovaný pro základní monitorování stavu a výkonu.
Privilegovaný účet platformy UNIX/Linux
Toto je profil privilegovaného účtu používaného k monitorování chráněných prostředků, jako jsou například soubory protokolu.
Účet údržby UNIX/Linux
Tento profil slouží k operacím údržby vyžadujícím zvýšenou úroveň oprávnění (privilegovaný účet), jako je aktualizace a odebrání agentů.
V sadách Management Pack systému UNIX a Linux jsou všechna pravidla, monitorování, úlohy, obnovení a další prvky sady Management Pack nakonfigurovány na používání těchto profilů. Proto není nutné definovat další profily pomocí Průvodce profily Spustit jako, pokud to neurčí zvláštní okolnosti. Profily nejsou v oboru kumulativní. Například profil účtu údržby systému UNIX/Linux nelze použít místo ostatních profilů, protože je nakonfigurovaný pomocí privilegovaného účtu.
V Operations Manageru nemůže profil fungovat, dokud není přidružený alespoň k jednomu účtu Spustit jako. Pověření pro přístup k počítačům UNIX nebo Linux jsou nakonfigurována v účtech Spustit jako. Protože účty Spustit jako pro monitorování systému UNIX a Linux nejsou předdefinovány, musíte je vytvořit.
Pokud chcete vytvořit účet Spustit jako, je nutné spustit Průvodce vytvoření účtu Spustit jako systému UNIX/Linux, který je k dispozici, když v pracovním prostoru Správa vyberete možnost Účty systému UNIX/Linux. Průvodce vytvoří účet Spustit jako na základě volby typu účtu Spustit jako. Existují dva typy účtů Spustit jako:
Účet sledování
Tento účet použijte pro průběžné monitorování stavu a výkonu v rámci operací, které komunikují pomocí protokolu WS-Management.
Účet údržby agenta
Tento účet použijte pro údržbu agenta, například při aktualizaci a odinstalaci při operacích, které komunikují pomocí protokolu SSH.
Tyto typy účtů Spustit jako lze nakonfigurovat pro různé úrovně přístupu podle přihlašovacích údajů, které zadáte. Přihlašovací údaje mohou být neprivilegované nebo privilegované účty, případně neprivilegované účty, jejichž oprávnění budou zvýšena na privilegované účty. Následující tabulka znázorňuje vztahy mezi profily, účty Spustit jako a úrovněmi přístupu.
| Profily | Typ účtu Spustit jako: | Povolené úrovně přístupu |
|---|---|---|
| Účet akce platformy UNIX/Linux | Účet sledování | - Neprivilegovaný -Privilegované – Neprivilegované, zvýšené na privilegované |
| Privilegovaný účet platformy UNIX/Linux | Účet sledování | -Privilegované – Neprivilegované, zvýšené na privilegované |
| Účet údržby UNIX/Linux | Účet údržby agenta | -Privilegované – Neprivilegované, zvýšené na privilegované |
Poznámka
Existují tři profily, ale pouze dva typy účtů Spustit jako.
Když zadáte účet typu Spustit jako pro monitorování, je nutné zadat uživatelské jméno a heslo, které se budou moci používat pro protokol WS-Management. Když zadáte účet typu Spustit jako pro údržbu agenta, je nutné zadat, jak se budou přihlašovací údaje předávat do cílového počítače pomocí protokolu SSH:
Zadání uživatelského jména a hesla.
Zadání uživatelského jména a kódu. Můžete zahrnout volitelné přístupové heslo.
Poté, co jste vytvořili účty Spustit jako, je třeba upravit profily systému UNIX a Linux tak, aby byly k účtům Spustit jako, které jste vytvořili, přidruženy. Podrobné pokyny najdete v tématu Konfigurace účtů Spustit jako a profilů pro přístup k systémům UNIX a Linux.
Důležité informace související se zabezpečením
Agent systému Linux/UNIX Operations Manageru používá k ověření uživatelského jména a hesla zadaných v profilu akce a profilu oprávnění na počítači Linux nebo UNIX standardní mechanismus PAM (Pluggable Authentication Module). Jakékoli uživatelské jméno s heslem, které PAM ověří, může provádět funkce monitorování, včetně spouštění příkazových řádků a skriptů shromažďujících data monitorování. Takové funkce monitorování se vždy provádějí v kontextu daného uživatelského jména (pokud není pro toto uživatelské jméno explicitně povoleno zvýšení oprávnění sudo), takže agent Nástroje Operations Manager neposkytuje žádné další možnosti, jako kdyby se uživatelské jméno přihlásilo k systému Linux/UNIX.
Ověřování PAM používané agentem Operations Manageru ale nevyžaduje, aby uživatelské jméno bylo přidružené interaktivní prostředí. Pokud postupy správy účtů systému Linux/UNIX zahrnují odebrání interaktivního prostředí jako způsob pseudoinaktivity účtu, toto odebrání nezabrání použití účtu pro připojení k agentovi Operations Manageru a provádění monitorovacích funkcí. V těchto případech byste měli použít další konfiguraci PAM, abyste zajistili, že se tyto pseudo-zakázané účty neověřují v agentovi Operations Manageru.
Přihlašovací údaje pro upgrade a odinstalaci agentů
Průvodce upgradem agenta systému UNIX/Linux a Průvodce odinstalací agenta systému UNIX/Linux poskytují přihlašovací údaje cílovým počítačům. Průvodci vás nejprve vyzvou k výběru cílových počítačů, u kterých má být proveden upgrade nebo odinstalace. Pak následují možnosti výběru pro poskytnutí přihlašovacích údajů cílovému počítači:
Použít stávající přidružené účty Spustit jako
Tuto možnost vyberte v případě, že chcete použít přihlašovací údaje spojené s profilem účtu akce systému UNIX/Linux a profilem účtu údržby systému UNIX/Linux.
Průvodce vás upozorní, pokud jeden nebo více vybraných počítačů nemá přidružený účet Spustit jako v požadovaných profilech. V takovém případě se musíte vrátit a vymazat počítače, které nemají přidružený účet Spustit jako, nebo zadat přihlašovací údaje.
Zadání přihlašovacích údajů
Tuto možnost vyberte v případě, že chcete zadat přihlašovací údaje pro protokol SSH (Secure Shell) pomocí uživatelského jména a hesla nebo uživatelského jména a kódu. Volitelně můžete s kódem zadat přístupové heslo. Pokud přihlašovací údaje nejsou pro privilegovaný účet, můžete je nastavit na privilegovaný účet v cílovém počítači pomocí programů se zvýšením oprávnění UNIX su nebo sudo. Program su vyžaduje heslo. Pokud používáte zvýšení oprávnění sudo, zobrazí se výzva k zadání uživatelského jména a hesla pro ověření agenta pomocí neprivilegovaného účtu.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro