Plánování přihlašovacích údajů zabezpečení pro přístup k počítačům se systémy Unix a Linux
Tento článek popisuje přihlašovací údaje potřebné k instalaci, údržbě, upgradu a odinstalaci agentů na počítači se systémem UNIX nebo Linux.
V nástroji Operations Manager server pro správu používá ke komunikaci s počítačem se systémem UNIX nebo Linux dva protokoly:
Secure Shell (SSH) a Protokol SFTP (Secure Shell File Transfer Protocol)
- Používá se k instalaci, upgradu a odebírání agentů.
Webové služby pro správu (WS-Management)
- Používá se pro všechny operace monitorování a zahrnuje zjišťování agentů, které byly již nainstalovány.
Použitý protokol závisí na akci nebo informacích požadovaných na serveru pro správu. Všechny akce, jako je údržba agentů, monitorování, pravidla, úlohy a obnovení, jsou nakonfigurované tak, aby používaly předdefinované profily podle jejich požadavků na neprivilegovaný nebo privilegovaný účet.
V Nástroji Operations Manager už správce systému nemusí zadávat kořenové heslo počítače se systémem UNIX nebo Linux na server pro správu. Teď může neprivilegovaný účet předpokládat identitu privilegovaného účtu v počítači se systémem UNIX nebo Linux. Proces zvýšení oprávnění provádí programy unix su (superuser) a sudo, které používají přihlašovací údaje, které server pro správu poskytuje. Pro operace údržby privilegovaného agenta, které používají protokol SSH (například zjišťování, nasazení, upgrady, odinstalaci a obnovení agenta), je k dispozici podpora zvýšení oprávnění su, sudo a podpora ověřování klíčů SSH (s heslem nebo bez). Pro privilegované operace WS-Management (například zobrazení souborů protokolu zabezpečení) se přidá podpora zvýšení oprávnění sudo (bez hesla).
Přihlašovací údaje pro instalaci agentů
Operations Manager používá protokol SSH (Secure Shell) k instalaci agenta a webových služeb pro správu (WS-Management) ke zjišťování dříve nainstalovaných agentů. Instalace vyžaduje privilegovaný účet na počítači se systémem UNIX nebo Linux. Existují dva způsoby, jak poskytnout přihlašovací údaje cílovému počítači, jak je získal Průvodce počítačem a Správa zařízení:
Zadejte uživatelské jméno a heslo.
Protokol SSH používá heslo k instalaci agenta nebo protokolu WS-Management, pokud už byl agent nainstalován pomocí podepsaného certifikátu.
Zadejte uživatelské jméno a klíč SSH. Klíč může obsahovat volitelné heslo.
Pokud nepoužíváte přihlašovací údaje pro privilegovaný účet, můžete zadat další přihlašovací údaje, aby se váš účet stala privilegovaným účtem prostřednictvím zvýšení oprávnění na počítači se systémem UNIX nebo Linux.
Instalace se nedokončí, dokud se agent neověří. Ověření agenta provádí protokol WS-Management, který používá přihlašovací údaje spravované na serveru pro správu, odděleně od privilegovaného účtu, který se používá k instalaci agenta. Pokud jste provedli jednu z těchto věcí, musíte zadat uživatelské jméno a heslo pro ověření agenta:
Poskytli jste privilegovaný účet pomocí klíče.
Poskytli jste neprivilegovaný účet, který se má zvýšit pomocí příkazu sudo s klíčem.
Spustili jste průvodce s typem zjišťování nastaveným na zjišťování pouze počítačů s nainstalovaným agentem systému UNIX/Linux.
Případně můžete agenta nainstalovat, včetně jeho certifikátu, ručně na počítač se systémem UNIX nebo Linux a pak tento počítač zjistit. Tato metoda je nejbezpečnější způsob instalace agentů. Další informace naleznete v tématu Instalace agenta a certifikátu v počítačích se systémy UNIX a Linux pomocí příkazového řádku.
Přihlašovací údaje pro monitorování operací a provádění údržby agenta
Operations Manager obsahuje tři předdefinované profily pro monitorování počítačů se systémy UNIX a Linux a provádění údržby agentů:
Účet akce systému UNIX/Linux
Tento profil je neprivilegovaný profil účtu, který se vyžaduje pro základní monitorování stavu a výkonu.
Privilegovaný účet systému UNIX/Linux
Tento profil je profil privilegovaného účtu používaný k monitorování chráněných prostředků, jako jsou soubory protokolů.
Účet údržby systému UNIX/Linux
Tento profil se používá pro operace privilegované údržby, jako je aktualizace a odebrání agentů.
V sadách Management Pack systému UNIX a Linux jsou všechna pravidla, monitorování, úlohy, obnovení a další prvky sady Management Pack nakonfigurovaná tak, aby používala tyto profily. Není tedy nutné definovat další profily pomocí Průvodce profily Spustit jako, pokud ho nediktují zvláštní okolnosti. Profily nejsou v oboru kumulativní. Profil účtu údržby systému UNIX/Linux se například nedá použít místo ostatních profilů, protože je nakonfigurovaný pomocí privilegovaného účtu.
V Operations Manageru nemůže profil fungovat, dokud není přidružený alespoň k jednomu účtu Spustit jako. Přihlašovací údaje pro přístup k počítačům se systémem UNIX nebo Linux jsou nakonfigurované v účtech Spustit jako. Vzhledem k tomu, že neexistují žádné předdefinované účty Spustit jako pro monitorování systémů UNIX a Linux, musíte je vytvořit.
Pokud chcete vytvořit účet Spustit jako, musíte spustit Průvodce účtem Spustit jako systému UNIX/Linux, který je k dispozici při výběru účtů systému UNIX/Linux v pracovním prostoru Správa . Průvodce vytvoří účet Spustit jako na základě výběru typu účtu Spustit jako. Existují dva typy účtů Spustit jako:
Účet monitorování
Tento účet použijte k průběžnému monitorování stavu a výkonu v operacích, které komunikují pomocí služby WS-Management.
Účet údržby agenta
Tento účet použijte k údržbě agentů, jako je aktualizace a odinstalace v operacích, které komunikují pomocí SSH.
Tyto typy účtů Spustit jako je možné nakonfigurovat pro různé úrovně přístupu podle zadaných přihlašovacích údajů. Přihlašovací údaje můžou být neprivilegované nebo privilegované účty nebo neprivilegované účty, které budou zvýšeny na privilegované účty. Následující tabulka ukazuje relace mezi profily, účty Spustit jako a úrovněmi přístupu.
| Profily | Typ účtu Spustit jako | Povolené úrovně přístupu |
|---|---|---|
| Účet akce systému UNIX/Linux | Účet monitorování | -Neprivilegovaný -Privilegovaný - Neprivilegované, zvýšené na privilegované |
| Privilegovaný účet systému UNIX/Linux | Účet monitorování | -Privilegovaný - Neprivilegované, zvýšené na privilegované |
| Účet údržby systému UNIX/Linux | Účet údržby agenta | -Privilegovaný - Neprivilegované, zvýšené na privilegované |
Poznámka:
Existují tři profily, ale pouze dva typy účtů Spustit jako.
Když zadáte typ účtu Spustit jako monitorování, musíte zadat uživatelské jméno a heslo pro použití protokolem WS-Management. Když zadáte typ účtu Spustit jako agenta, je nutné zadat, jak se přihlašovací údaje zadají do cílového počítače pomocí protokolu SSH:
Zadejte uživatelské jméno a heslo.
Zadejte uživatelské jméno a klíč. Můžete zahrnout volitelné heslo.
Po vytvoření účtů Spustit jako musíte upravit profily systémů UNIX a Linux, abyste je přidružili k účtům Spustit jako, které jste vytvořili. Podrobné pokyny najdete v tématu Konfigurace účtů a profilů Spustit jako pro přístup k systémům UNIX a Linux.
Důležité aspekty zabezpečení
Agent Operations Manageru pro Linux/UNIX používá standardní mechanismus PAM (Pluggable Authentication Module) v počítači se systémem Linux nebo UNIX k ověření uživatelského jména a hesla zadaného v profilu akce a profilu oprávnění. Jakékoli uživatelské jméno s heslem, které PAM ověřuje, může provádět funkce monitorování, včetně spouštění příkazů a skriptů, které shromažďují data monitorování. Tyto monitorovací funkce se vždy provádějí v kontextu tohoto uživatelského jména (pokud není pro toto uživatelské jméno explicitně povoleno zvýšení oprávnění sudo), takže agent nástroje Operations Manager neposkytuje žádné další možnosti, než kdyby se uživatelské jméno přihlásilo k systému Linux/UNIX.
Ověřování PAM používané agentem Operations Manageru však nevyžaduje, aby uživatelské jméno mělo přidružené interaktivní prostředí. Pokud mezi postupy správy účtů systému Linux/UNIX patří odebrání interaktivního prostředí jako způsobu, jak účet zakázat pseudoaktivně, toto odebrání nezabrání tomu, aby se účet používal k připojení k agentovi Operations Manageru a provádění monitorovacích funkcí. V těchto případech byste měli použít další konfiguraci PAM, abyste zajistili, že se tyto pseudoaktivované účty neověřují pro agenta Operations Manageru.
Přihlašovací údaje pro upgrade a odinstalaci agentů
Průvodce upgradem agenta systému UNIX/Linux a Průvodce odinstalací agenta systému UNIX/Linux poskytují cílovým počítačům přihlašovací údaje. Průvodci vás nejdřív vyzve k výběru cílových počítačů, které se mají upgradovat nebo odinstalovat, a potom možnosti, jak poskytnout přihlašovací údaje cílovému počítači:
Použití existujících přidružených účtů Spustit jako
Tuto možnost vyberte, pokud chcete použít přihlašovací údaje přidružené k profilu účtu akce systému UNIX/Linux a profilu účtu údržby systému UNIX/Linux.
Průvodce vás upozorní, pokud jeden nebo více vybraných počítačů nemá přidružený účet Spustit jako v požadovaných profilech, v takovém případě se musíte vrátit a vymazat počítače, které nemají přidružený účet Spustit jako nebo zadávat přihlašovací údaje.
Zadání přihlašovacích údajů
Tuto možnost vyberte, pokud chcete zadat přihlašovací údaje SSH (Secure Shell) pomocí uživatelského jména a hesla nebo uživatelského jména a klíče. Volitelně můžete zadat přístupové heslo s klíčem. Pokud přihlašovací údaje nejsou pro privilegovaný účet, můžete je na cílovém počítači zvýšit na privilegovaný účet pomocí programů se zvýšením oprávnění systému UNIX nebo sudo. Zvýšení oprávnění 'su' vyžaduje heslo. Pokud používáte zvýšení oprávnění sudo, zobrazí se výzva k zadání uživatelského jména a hesla k ověření agenta pomocí neprivilegovaného účtu.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro