Planen von Sicherheitsanmeldeinformationen für den Zugriff auf Unix- und Linux-Computer
In diesem Artikel werden die Anmeldeinformationen beschrieben, die zum Installieren, Verwalten, Aktualisieren und Deinstallieren von Agents auf einem UNIX- oder Linux-Computer erforderlich sind.
In Operations Manager verwendet der Verwaltungsserver zwei Protokolle für die Kommunikation mit dem UNIX- oder Linux-Computer:
Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)
- Wird zum Installieren, Aktualisieren und Entfernen von Agents verwendet.
Web Services for Management (WS-Management)
- Wird für alle Überwachungsvorgänge verwendet und enthält die Ermittlung von Agents, die bereits installiert wurden.
Das verwendete Protokoll hängt von der Aktion oder den Informationen ab, die auf dem Verwaltungsserver angefordert werden. Alle Aktionen, z. B. Agentwartung, Monitore, Regeln, Aufgaben und Wiederherstellungen, werden so konfiguriert, dass vordefinierte Profile entsprechend ihrer Anforderung für ein nicht privilegiertes oder privilegiertes Konto verwendet werden.
In Operations Manager ist der Systemadministrator nicht mehr erforderlich, um das Stammkennwort des UNIX- oder Linux-Computers auf dem Verwaltungsserver bereitzustellen. Jetzt kann ein nicht privilegiertes Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer annehmen. Der Erhöhungsprozess wird von unix su (superuser) und sudo-Programmen durchgeführt, die die vom Verwaltungsserver bereitgestellten Anmeldeinformationen verwenden. Für Privilegierte Agent-Wartungsvorgänge, die SSH (z. B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agentwiederherstellung) verwenden, wird Unterstützung für su, sudo elevation und Support für die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) bereitgestellt. Für privilegierte WS-Management-Vorgänge (z. B. das Anzeigen sicherer Protokolldateien) wird unterstützung für die Sudo-Rechteerweiterung (ohne Kennwort) hinzugefügt.
Anmeldeinformationen für die Installation von Agents
Operations Manager verwendet das Ssh-Protokoll (Secure Shell), um einen Agent und Webdienste für die Verwaltung (WS-Management) zu installieren, um zuvor installierte Agents zu ermitteln. Für die Installation ist ein privilegiertes Konto auf dem UNIX- oder Linux-Computer erforderlich. Es gibt zwei Möglichkeiten, Anmeldeinformationen für den Zielcomputer bereitzustellen, wie sie vom Computer und Geräteverwaltung-Assistenten abgerufen werden:
Geben Sie einen Benutzernamen und ein Kennwort an.
Das SSH-Protokoll verwendet das Kennwort, um einen Agent oder das WS-Management-Protokoll zu installieren, wenn der Agent bereits mithilfe eines signierten Zertifikats installiert wurde.
Geben Sie einen Benutzernamen und einen SSH-Schlüssel an. Der Schlüssel kann eine optionale Passphrase enthalten.
Wenn Sie die Anmeldeinformationen für ein privilegiertes Konto nicht verwenden, können Sie zusätzliche Anmeldeinformationen angeben, damit Ihr Konto durch Rechteerweiterungen auf dem UNIX- oder Linux-Computer zu einem privilegierten Konto wird.
Die Installation wird erst abgeschlossen, wenn der Agent überprüft wird. Die Agentüberprüfung wird vom WS-Management-Protokoll durchgeführt, das auf dem Verwaltungsserver verwaltete Anmeldeinformationen verwendet, getrennt von dem privilegierten Konto, das zum Installieren des Agents verwendet wird. Sie müssen einen Benutzernamen und ein Kennwort für die Agentüberprüfung angeben, wenn Sie eine der folgenden Aktionen abgeschlossen haben:
Stellt ein privilegiertes Konto mithilfe eines Schlüssels bereit.
Es wurde ein nicht privilegiertes Konto bereitgestellt, das mithilfe von sudo mit einem Schlüssel erhöht werden soll.
Führen Sie den Assistenten mit dem Ermittlungstyp auf "Entdecken" nur für Computer aus, auf dem der UNIX/Linux-Agent installiert ist.
Alternativ können Sie den Agent, einschließlich seines Zertifikats, manuell auf dem UNIX- oder Linux-Computer installieren und dann diesen Computer ermitteln. Diese Methode ist die sicherste Methode zum Installieren von Agents. Weitere Informationen finden Sie unter Installieren des Agents und Zertifikats auf UNIX- und Linux-Computern mithilfe der Befehlszeile.
Anmeldeinformationen zur Überwachung von Vorgängen und zum Durchführen der Agentwartung
Operations Manager enthält drei vordefinierte Profile zur Überwachung von UNIX- und Linux-Computern und zum Durchführen der Agentwartung:
UNIX/Linux-Aktionskonto
Dieses Profil ist ein nicht privilegiertes Kontoprofil, das für die grundlegende Integritäts- und Leistungsüberwachung erforderlich ist.
UNIX/Linux privileged account
Dieses Profil ist ein privilegiertes Kontoprofil, das zum Überwachen geschützter Ressourcen wie Protokolldateien verwendet wird.
UNIX/Linux-Wartungskonto
Dieses Profil wird für privilegierte Wartungsvorgänge verwendet, z. B. zum Aktualisieren und Entfernen von Agents.
In den UNIX- und Linux-Management Packs werden alle Regeln, Monitore, Aufgaben, Wiederherstellungen und andere Management Pack-Elemente für die Verwendung dieser Profile konfiguriert. Es ist also nicht erforderlich, zusätzliche Profile mithilfe des Assistenten "Als Profile ausführen" zu definieren, es sei denn, spezielle Umstände diktieren sie. Die Profile sind nicht kumulativ im Bereich. Beispielsweise kann das UNIX/Linux-Wartungskontoprofil nicht anstelle der anderen Profile verwendet werden, weil es mit einem privilegierten Konto konfiguriert ist.
In Operations Manager kann ein Profil erst funktionieren, wenn es mindestens einem Konto "Ausführen als" zugeordnet ist. Die Anmeldeinformationen für den Zugriff auf die UNIX- oder Linux-Computer werden in den Run As-Konten konfiguriert. Da es keine vordefinierten Run As-Konten für UNIX- und Linux-Überwachung gibt, müssen Sie sie erstellen.
Um ein Run As-Konto zu erstellen, müssen Sie den UNIX/Linux Run As Account Wizard ausführen, der verfügbar ist, wenn Sie UNIX/Linux-Konten im Verwaltungsarbeitsbereich auswählen. Der Assistent erstellt ein Run As-Konto basierend auf der Auswahl eines Run As-Kontotyps. Es gibt zwei Typen von "Ausführen als Konto":
Überwachungskonto
Verwenden Sie dieses Konto für die laufende Integritäts- und Leistungsüberwachung in Vorgängen, die mithilfe von WS-Management kommunizieren.
Agent-Wartungskonto
Verwenden Sie dieses Konto für die Agentwartung, z. B. das Aktualisieren und Deinstallieren in Vorgängen, die mithilfe von SSH kommunizieren.
Diese Run As-Kontotypen können für unterschiedliche Zugriffsebenen entsprechend den von Ihnen bereitgestellten Anmeldeinformationen konfiguriert werden. Anmeldeinformationen können nicht privilegierte oder privilegierte Konten oder nicht privilegierte Konten sein, die auf privilegierte Konten erhöht werden. Die folgende Tabelle zeigt die Beziehungen zwischen Profilen, Run As-Konten und Zugriffsebenen.
| Profiles | Als Kontotyp ausführen | Zulässige Zugriffsebenen |
|---|---|---|
| UNIX/Linux-Aktionskonto | Überwachungskonto | – Nicht privilegiert – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| UNIX/Linux privileged account | Überwachungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| UNIX/Linux-Wartungskonto | Agent-Wartungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
Hinweis
Es gibt drei Profile, aber nur zwei "Als Konto ausführen"-Typen.
Wenn Sie einen Überwachungsausführungstyp als Kontotyp angeben, müssen Sie einen Benutzernamen und ein Kennwort für die Verwendung durch das WS-Management-Protokoll angeben. Wenn Sie einen Agent Maintenance Run As Account Type angeben, müssen Sie angeben, wie die Anmeldeinformationen mithilfe des SSH-Protokolls an den Zielcomputer übermittelt werden:
Geben Sie einen Benutzernamen und ein Kennwort an.
Geben Sie einen Benutzernamen und einen Schlüssel an. Sie können eine optionale Passphrase einschließen.
Nachdem Sie die Run As-Konten erstellt haben, müssen Sie die UNIX- und Linux-Profile bearbeiten, um sie den erstellten Run As-Konten zuzuordnen. Ausführliche Anweisungen finden Sie unter Konfigurieren von Run As Accounts und Profilen für UNIX und Linux Access
Wichtige Sicherheitsüberlegungen
Der Operations Manager Linux/UNIX-Agent verwendet den standardmäßigen PAM-Mechanismus (Pluggable Authentication Module) auf dem Linux- oder UNIX-Computer, um den Benutzernamen und das Kennwort zu authentifizieren, der im Aktionsprofil und dem Berechtigungsprofil angegeben ist. Jeder Benutzername mit einem Kennwort, das PAM authentifiziert, kann Überwachungsfunktionen ausführen, einschließlich der Ausführung von Befehlszeilen und Skripts, die Überwachungsdaten sammeln. Solche Überwachungsfunktionen werden immer im Kontext dieses Benutzernamens ausgeführt (es sei denn, die sudo-Rechteerweiterung ist explizit für diesen Benutzernamen aktiviert), sodass der Operations Manager-Agent nicht mehr Funktionen bereitstellt, als wenn sich der Benutzername beim Linux/UNIX-System anmelden würde.
Die pam-Authentifizierung, die vom Operations Manager-Agent verwendet wird, erfordert jedoch nicht, dass dem Benutzernamen eine interaktive Shell zugeordnet ist. Wenn Ihre Linux/UNIX-Kontoverwaltungsmethoden das Entfernen der interaktiven Shell als Möglichkeit zum Pseudo deaktivieren eines Kontos umfassen, verhindert diese Entfernung nicht, dass das Konto verwendet wird, um eine Verbindung mit dem Operations Manager-Agent herzustellen und Überwachungsfunktionen auszuführen. In diesen Fällen sollten Sie zusätzliche PAM-Konfiguration verwenden, um sicherzustellen, dass sich diese pseudoaktiven Konten nicht beim Operations Manager-Agent authentifizieren.
Anmeldeinformationen für Upgrades und Deinstallations-Agents
Der UNIX/Linux Agent Upgrade Wizard und der UNIX/Linux Agent Uninstall Wizard stellen Anmeldeinformationen für ihre Zielcomputer bereit. Die Assistenten fordern Sie zuerst auf, die Zielcomputer auszuwählen, die aktualisiert oder deinstalliert werden sollen, gefolgt von Optionen zum Bereitstellen der Anmeldeinformationen für den Zielcomputer:
Vorhandene zugeordnete "Als Konten ausführen" verwenden
Wählen Sie diese Option aus, um die Anmeldeinformationen zu verwenden, die dem UNIX/Linux-Aktionskontoprofil und dem UNIX/Linux-Wartungskontoprofil zugeordnet sind.
Der Assistent benachrichtigt Sie, wenn mindestens einer der ausgewählten Computer kein zugeordnetes Run As-Konto in den erforderlichen Profilen aufweist. In diesem Fall müssen Sie die Computer löschen, auf denen kein "Ausführen als"-Konto zugeordnet ist, oder Anmeldeinformationen angeben.
Angeben von Anmeldeinformationen
Wählen Sie diese Option aus, um Die Anmeldeinformationen für secure Shell (SSH) mithilfe eines Benutzernamens und Kennworts oder eines Benutzernamens und eines Schlüssels anzugeben. Optional können Sie eine Passphrase mit einem Schlüssel bereitstellen. Wenn die Anmeldeinformationen nicht für ein privilegiertes Konto vorgesehen sind, können Sie sie mit den UNIX su- oder sudo-Erhöhungsprogrammen auf ein privilegiertes Konto auf dem Zielcomputer erhöhen lassen. Für die "su"-Rechteerweiterung ist ein Kennwort erforderlich. Wenn Sie die sudo-Rechteerweiterung verwenden, werden Sie aufgefordert, einen Benutzernamen und ein Kennwort für die Agentüberprüfung mithilfe eines nicht privilegierten Kontos einzugeben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für