Planen der Sicherheit von Anmeldeinformationen für den Zugriff auf Unix- und Linux-Computer
Dieser Artikel beschreibt die erforderlichen Anmeldeinformationen für die Installation, Wartung, Aktualisierung und Deinstallation von Agents auf einem UNIX- oder Linux-Computer.
In Operations Manager verwendet der Verwaltungsserver zwei Protokolle für die Kommunikation mit dem UNIX- oder Linux-Computer:
Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)
- Wird zum Installieren, Aktualisieren und Entfernen von Agents verwendet.
Web Services for Management (WS-Management)
- Wird für alle Überwachungsvorgänge verwendet und enthält die Ermittlung von Agents, die bereits installiert wurden.
Das verwendete Protokoll hängt von der Aktion oder den Informationen ab, die auf dem Verwaltungsserver angefordert werden. Alle Aktionen, z. B. Agentwartung, Monitore, Regeln, Aufgaben und Wiederherstellungen, werden so konfiguriert, dass vordefinierte Profile entsprechend ihrer Anforderung für ein nicht privilegiertes oder privilegiertes Konto verwendet werden.
In Operations Manager ist der Systemadmin nicht mehr erforderlich, um das Stammkennwort des UNIX- oder Linux-Computers auf dem Verwaltungsserver bereitzustellen. Jetzt kann ein nicht privilegiertes Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer annehmen. Der Erhöhungsprozess wird von den UNIX-Programmen „su“ (Superuser) und „sudo“ durchgeführt, die die Anmeldeinformationen verwenden, die der Verwaltungsserver bereitstellt. Für privilegierte Wartungsvorgänge von Agents, die SSH verwenden (z. B. Erkennung, Bereitstellung, Upgrades, Deinstallation und Wiederherstellung von Agents), wird Unterstützung für su, Sudo-Rechteerweiterung und SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) bereitgestellt. Für privilegierte WS-Management-Vorgänge (z. B. das Anzeigen sicherer Protokolldateien) wird Unterstützung für die sudo-Rechteerweiterung (ohne Kennwort) hinzugefügt.
Anmeldeinformationen für die Installation von Agents
Operations Manager verwendet das Secure Shell (SSH)-Protokoll, um einen Agent zu installieren, und Web Services for Management (WS-Management), um zuvor installierte Agents zu erkennen. Für die Installation ist ein privilegiertes Konto auf dem UNIX- oder Linux-Computer erforderlich. Es gibt zwei Möglichkeiten, dem Zielcomputer Anmeldeinformationen bereitzustellen, die Sie über den Computer- und Geräteverwaltungs-Assistenten erhalten:
Geben Sie einen Benutzernamen und ein Kennwort an.
Das SSH-Protokoll verwendet das Kennwort, um einen Agent oder das WS-Management-Protokoll zu installieren, wenn der Agent bereits mithilfe eines signierten Zertifikats installiert wurde.
Geben Sie einen Benutzernamen und einen SSH-Schlüssel an. Der Schlüssel kann eine optionale Passphrase enthalten.
Wenn Sie die Anmeldeinformationen nicht für ein privilegiertes Konto verwenden, können Sie zusätzliche Anmeldeinformationen bereitstellen, damit Ihr Konto durch die Erhöhung der Berechtigungen auf dem UNIX- oder Linux-Computer zu einem privilegierten Konto wird.
Die Installation ist erst abgeschlossen, wenn der Agent verifiziert wurde. Die Agentüberprüfung wird vom WS-Management-Protokoll durchgeführt, das auf dem Verwaltungsserver verwaltete Anmeldeinformationen verwendet, getrennt von dem privilegierten Konto, das zum Installieren des Agents verwendet wird. Sie müssen einen Benutzernamen und ein Kennwort für die Agentüberprüfung angeben, wenn Sie eine der folgenden Aktionen abgeschlossen haben:
Ein privilegiertes Konto wurde durch die Verwendung eines Schlüssels bereitgestellt.
Es wurde ein nicht privilegiertes Konto bereitgestellt, das mithilfe von sudo mit einem Schlüssel erhöht werden soll.
Führen Sie den Assistenten mit der Einstellung Ermittlungstyp auf Nur Computer mit installiertem UNIX/Linux-Agent ermitteln aus.
Alternativ können Sie den Agent, einschließlich seines Zertifikats, manuell auf dem UNIX- oder Linux-Computer installieren und dann diesen Computer ermitteln. Diese Methode ist die sicherste Methode zum Installieren von Agents. Weitere Informationen finden Sie unter Installation des Agents und des Zertifikats auf UNIX- und Linux-Computern über die Befehlszeile.
Anmeldeinformationen zur Überwachung von Vorgängen und zum Durchführen der Agentwartung
Operations Manager enthält drei vordefinierte Profile zur Überwachung von UNIX- und Linux-Computern und zum Durchführen der Agentwartung:
UNIX/Linux-Aktionskonto
Dieses Profil ist ein nicht privilegiertes Kontoprofil, das für die grundlegende Integritäts- und Leistungsüberwachung erforderlich ist.
Privilegiertes UNIX/Linux-Konto
Dieses Profil ist ein privilegiertes Kontoprofil, das zum Überwachen geschützter Ressourcen wie Protokolldateien verwendet wird.
UNIX/Linux-Wartungskonto
Dieses Profil wird für privilegierte Wartungsvorgänge verwendet, z. B. zum Aktualisieren und Entfernen von Agents.
In den UNIX- und Linux-Management Packs werden alle Regeln, Monitore, Aufgaben, Wiederherstellungen und andere Management Pack-Elemente für die Verwendung dieser Profile konfiguriert. Es ist also nicht erforderlich, zusätzliche Profile mit dem Assistenten „Als Profile ausführen“ („Run As Profiles“) zu definieren, es sei denn, besondere Umstände machen dies erforderlich. Die Profile sind in ihrem Umfang nicht kumulativ. Das UNIX/Linux-Wartungskontoprofil kann beispielsweise nicht anstelle der anderen Profile verwendet werden, nur weil es mit einem privilegierten Konto konfiguriert ist.
In Operations Manager kann ein Profil erst dann funktionieren, wenn es mit mindestens einem ausführenden Konto verknüpft ist. Die Anmeldeinformationen für den Zugriff auf die UNIX- oder Linux-Computer werden in den ausführenden Konten konfiguriert. Da es keine vordefinierten ausführenden Konten für UNIX- und Linux-Überwachung gibt, müssen Sie sie erstellen.
Um ein ausführendes Konto zu erstellen, müssen Sie den UNIX/Linux-Assistenten für Ausführungskonten ausführen, der verfügbar ist, wenn Sie UNIX/Linux-Konten im Arbeitsbereich Verwaltung auswählen. Der Assistent erstellt ein ausführendes Konto, basierend auf der Auswahl eines Typs für das ausführende Konto. Es gibt zwei Typen von ausführenden Konten:
Überwachungskonto
Verwenden Sie dieses Konto für die laufende Integritäts- und Leistungsüberwachung in Vorgängen, die mithilfe von WS-Management kommunizieren.
Agent-Wartungskonto
Verwenden Sie dieses Konto für die Agentwartung, z. B. das Aktualisieren und Deinstallieren in Vorgängen, die mithilfe von SSH kommunizieren.
Diese Typen von ausführenden Konten können für unterschiedliche Zugriffsebenen entsprechend den von Ihnen bereitgestellten Anmeldeinformationen konfiguriert werden. Bei den Anmeldeinformationen kann es sich um unprivilegierte oder privilegierte Konten handeln oder um unprivilegierte Konten, die zu privilegierten Konten aufgestockt werden. Die folgende Tabelle zeigt die Beziehungen zwischen Profilen, ausführenden Konten und Zugriffsebenen.
| Profiles | Typ eines ausführenden Kontos | Zulässige Zugriffsebenen |
|---|---|---|
| UNIX/Linux-Aktionskonto | Überwachungskonto | – Nicht privilegiert – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| Privilegiertes UNIX/Linux-Konto | Überwachungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| UNIX/Linux-Wartungskonto | Agent-Wartungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
Hinweis
Es gibt drei Profile, aber nur zwei Typen von ausführenden Konten.
Wenn Sie den Typ eines ausführendes Kontos als „Überwachen“ angeben, müssen Sie einen Benutzernamen und ein Kennwort für die Verwendung durch das WS-Verwaltungsprotokoll angeben. Wenn Sie den Typ eines ausführenden Kontos als „ „Agentwartung“ festlegen, müssen Sie angeben, wie die Anmeldeinformationen über das SSH-Protokoll an den Zielcomputer übermittelt werden:
Geben Sie einen Benutzernamen und ein Kennwort an.
Geben Sie einen Benutzernamen und einen Schlüssel an. Sie können eine optionale Passphrase einschließen.
Nachdem Sie die ausführenden Konten erstellt haben, müssen Sie die UNIX- und Linux-Profile bearbeiten, um sie mit den von Ihnen erstellten ausführenden Konten zu verknüpfen. Weitere Informationen finden Sie unter Konfigurieren von ausführenden Konten und Profilen für UNIX- und Linux-Zugang.
Wichtige Sicherheitsüberlegungen
Der Operations Manager-Linux/UNIX-Agent verwendet den Standardmechanismus PAM (Pluggable Authentication Module) auf dem Linux- oder UNIX-Computer, um den Benutzernamen und das Kennwort zu authentifizieren, die im Aktionsprofil und im Privilegienprofil angegeben sind. Jeder Benutzername mit einem Kennwort, das PAM authentifiziert, kann Überwachungsfunktionen ausführen, einschließlich der Ausführung von Befehlszeilen und Skripts, die Überwachungsdaten sammeln. Solche Überwachungsfunktionen werden immer im Kontext dieses Benutzernamens ausgeführt (es sei denn, die sudo-Rechteerweiterung ist explizit für diesen Benutzernamen aktiviert), sodass der Operations Manager-Agent nicht mehr Funktionen bereitstellt, als wenn sich der Benutzername beim Linux/UNIX-System anmelden würde.
Die vom Operations Manager-Agenten verwendete PAM-Authentifizierung erfordert jedoch nicht, dass der Benutzername mit einer interaktiven Shell verknüpft ist. Wenn Ihre Linux/UNIX-Kontoverwaltungspraktiken das Entfernen der interaktiven Shell beinhalten, um ein Konto quasi zu deaktivieren, verhindert eine solche Entfernung nicht, dass das Konto verwendet wird, um eine Verbindung zum Operations Manager-Agenten herzustellen und Überwachungsfunktionen auszuführen. In diesen Fällen sollten Sie eine zusätzliche PAM-Konfiguration verwenden, um sicherzustellen, dass diese scheinbar deaktivierten Konten nicht beim Operations Manager-Agent authentifiziert werden.
Anmeldedaten für die Aktualisierung und Deinstallation von Agents
Der UNIX/Linux-Agenten-Upgrade-Assistent und der UNIX/Linux-Agenten-Deinstallationsassistent stellen Anmeldeinformationen für die Zielcomputer bereit. Die Assistenten fordern Sie zuerst auf, die Zielcomputer auszuwählen, die aktualisiert oder deinstalliert werden sollen, gefolgt von Optionen zum Bereitstellen der Anmeldeinformationen für den Zielcomputer:
Verwenden Sie vorhandene verknüpfte ausführende Konten
Wählen Sie diese Option aus, um die Anmeldeinformationen zu verwenden, die dem UNIX/Linux-Aktionskontoprofil und dem UNIX/Linux-Wartungskontoprofil zugeordnet sind.
Der Assistent benachrichtigt Sie, wenn einer oder mehrere der ausgewählten Computer kein zugeordnetes ausführendes Konto in den erforderlichen Profilen haben. In diesem Fall müssen Sie zurückgehen und die Computer löschen, die kein zugeordnetes ausführendes Konto haben, oder Anmeldeinformationen angeben.
Eingeben der Anmeldeinformationen
Wählen Sie diese Option aus, um die Anmeldeinformationen für Secure Shell (SSH) mithilfe eines Benutzernamens und eines Kennworts oder eines Benutzernamens und eines Schlüssels anzugeben. Optional können Sie eine Passphrase mit einem Schlüssel bereitstellen. Wenn die Anmeldeinformationen nicht für ein privilegiertes Konto vorgesehen sind, können Sie sie mit den UNIX su- oder Sudo-Rechteerweiterung auf ein privilegiertes Konto auf dem Zielcomputer erhöhen lassen. Für die „su“-Rechteerweiterung ist ein Kennwort erforderlich. Wenn Sie die Sudo-Rechteerweiterung verwenden, werden Sie aufgefordert, einen Benutzernamen und ein Kennwort für die Agentüberprüfung mithilfe eines nicht privilegierten Kontos einzugeben.