Planen der Sicherheitsanmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
In diesem Artikel werden die Anmeldeinformationen beschrieben, die zum Installieren, Verwalten, Aktualisieren und Deinstallieren von Agents auf einem UNIX- oder Linux-Computer erforderlich sind.
In Operations Manager verwendet der Verwaltungsserver zwei Protokolle, um mit einem UNIX- oder Linux-Computer zu kommunizieren:
Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)
- SSH wird verwendet, um Agents zu installieren, Upgrades für Agents auszuführen und Agents zu entfernen.
Web Services for Management (WS-Management)
- WS-Management wird für alle Überwachungsvorgänge und zum Ermitteln von bereits installierten Agents verwendet.
Das verwendete Protokoll ist von den Aktionen bzw. Informationen abhängig, die auf dem Verwaltungsserver angefordert werden. Alle Aktionen wie z. B. Agentwartung, Monitore, Regeln, Tasks und Wiederherstellungen sind entsprechend ihrer jeweiligen Anforderung nach einem privilegierten oder nicht privilegierten Konto für die Verwendung vordefinierter Profile konfiguriert.
In Operations Manager muss der Systemadministrator nun nicht mehr das Stammkennwort für den UNIX- oder Linux-Computer auf dem Verwaltungsserver angeben. Durch eine Erhöhung der Rechte kann nun von einem nicht privilegierten Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer angenommen werden. Die Erhöhung der Rechte wird unter Verwendung der Anmeldeinformationen, die vom Verwaltungsserver bereitgestellt werden, mithilfe der UNIX-Programme „su“ („Superuser“) und „sudo“ ausgeführt. Für Agentwartungsvorgänge mit erhöhten Rechten, von denen SSH verwendet wird (z. B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agentwiederherstellung), werden „su“, die Erhöhung der Rechte mithilfe von „sudo“ und die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) unterstützt. Für WS-Management-Vorgänge mit erhöhten Rechten (z. B. Anzeigen von sicheren Protokolldateien) wird nun zusätzlich die Erhöhung der Rechte mithilfe von „sudo“ (ohne Kennwort) unterstützt.
Anmeldeinformationen zum Installieren von Agents
Operations Manager verwendet das SSH-Protokoll (Secure Shell) für die Installation eines Agents und Web Services for Management (WS-Management) für die Ermittlung zuvor installierter Agents. Für die Installation ist ein privilegiertes Konto auf dem UNIX- oder Linux-Computer erforderlich. Die mit dem Assistenten für die Verwaltung von Computern und Geräten abgerufenen Anmeldeinformationen können auf zwei Arten bereitgestellt werden:
Sie geben einen Benutzernamen und ein Kennwort an.
Das Kennwort wird vom SSH-Protokoll für die Installation eines Agents verwendet. Wenn der Agent jedoch bereits mit einem signierten Zertifikat installiert wurde, wird das WS-Management-Protokoll verwendet.
Sie geben einen Benutzernamen und einen SSH-Schlüssel an. Der Schlüssel kann eine optionale Passphrase enthalten.
Wenn Sie die Anmeldeinformationen für ein privilegiertes Konto nicht verwenden, können Sie zusätzliche Anmeldeinformationen angeben, damit Ihr Konto durch Rechteerweiterungen auf dem UNIX- oder Linux-Computer zu einem privilegierten Konto wird.
Die Installation wird erst abgeschlossen, wenn der Agent überprüft wurde. Die Agentüberprüfung erfolgt mit dem WS-Management-Protokoll, für das auf dem Verwaltungsserver verwaltete Anmeldeinformationen verwendet werden. Dies sind andere Anmeldeinformationen als die des privilegierten Kontos, das für die Agentinstallation verwendet wurde. Sie müssen einen Benutzernamen und ein Kennwort für die Agentüberprüfung angeben, wenn Sie eine der folgenden Aktionen ausgeführt haben:
Sie haben ein privilegiertes Konto mit einem Schlüssel angegeben.
Sie haben ein nicht privilegiertes Konto angegeben, dessen Rechte mithilfe von „sudo“ mit einem Schlüssel erhöht werden sollen.
Sie haben bei der Ausführung des Assistenten für die Option Ermittlungstyp ausgewählt, dass nur Computer mit installiertem UNIX-/Linux-Agent ermittelt werden sollen.
Alternativ können Sie den Agent zusammen mit seinem Zertifikat manuell auf dem UNIX- oder Linux-Computer installieren und dann den Computer ermitteln. Diese Methode ist die sicherste Möglichkeit zum Installieren von Agents. Weitere Informationen finden Sie unter Installieren von Agents und Zertifikaten auf UNIX- und Linux-Computern über die Befehlszeile.
Anmeldeinformationen für die Überwachung des Betriebs und die Wartung von Agents
Operations Manager enthält drei vordefinierte Profile zur Überwachung von UNIX- und Linux-Computern sowie zur Ausführung der Agent-Wartung:
UNIX/Linux-Aktionskonto
Dieses Profil ist ein nicht privilegiertes Kontoprofil, das für die grundlegende Überwachung von Integrität und Leistung benötigt wird.
Privilegiertes UNIX/Linux-Konto
Dieses Profil ist ein privilegiertes Kontoprofil, das für die Überwachung geschützter Ressourcen, wie z. B. Protokolldateien, verwendet wird.
UNIX/Linux-Wartungskonto
Dieses Profil wird für privilegierte Wartungsvorgänge, wie z. B. Agentupdates und das Entfernen von Agents, verwendet.
In den Management Packs für UNIX und Linux werden alle Regeln, Monitore, Tasks, Wiederherstellungen und sonstigen Management Pack-Elemente für die Verwendung dieser Profile konfiguriert. Daher ist es nicht erforderlich, zusätzliche Profile mithilfe des Assistenten für ausführende Profile zu definieren, es sei denn, es sind spezielle Umstände erforderlich. Die Profile sind im Bereich nicht kumulativ. Beispielsweise kann das UNIX/Linux-Wartungskontoprofil nicht anstelle der anderen Profile verwendet werden, nur weil es mit einem privilegierten Konto konfiguriert ist.
In Operations Manager kann ein Profil erst funktionieren, wenn es mindestens einem ausführend-Konto zugeordnet ist. Die Anmeldeinformationen für den Zugriff auf UNIX- oder Linux-Computer werden in den ausführenden Konten konfiguriert. Da für die UNIX- und Linux-Überwachung keine vordefinierten ausführenden Konten vorhanden sind, müssen diese von Ihnen erstellt werden.
Sie müssen zum Erstellen eines ausführenden Kontos den Assistenten zum Erstellen ausführender UNIX/Linux-Konten verwenden. Dieser Assistent ist verfügbar, wenn Sie im Arbeitsbereich Verwaltung die Option UNIX/Linux-Konten auswählen. Mit dem Assistenten wird ein ausführendes Konto erstellt. Der Typ dieses Kontos hängt von der Typauswahl im Assistenten ab. Es gibt zwei Typen von ausführenden Konten:
Überwachungskonto
Verwenden Sie dieses Konto für die kontinuierliche Integritäts- und Leistungsüberwachung in Vorgängen, bei denen WS-Management für die Kommunikation verwendet wird.
Agentwartungskonto
Verwenden Sie dieses Konto für die Agentwartung, beispielsweise Update und Deinstallation, in Vorgängen, bei denen SSH für die Kommunikation verwendet wird.
Diese Typen von ausführenden Konten können entsprechend den von Ihnen zur Verfügung gestellten Anmeldeinformationen für verschiedene Zugriffsebenen konfiguriert werden. Anmeldeinformationen können nicht privilegierten Konten, privilegierten Konten oder nicht privilegierte Konten, deren Rechte auf die von privilegierten Konten erhöht werden, zugeordnet sein. In der folgenden Tabelle werden die Beziehungen zwischen Profilen, ausführenden Konten und Zugriffsebenen dargestellt.
| Profiles | Typ des ausführenden Kontos | Zulässige Zugriffsebenen |
|---|---|---|
| UNIX/Linux-Aktionskonto | Überwachungskonto | – Nicht privilegiert – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| Privilegiertes UNIX/Linux-Konto | Überwachungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
| UNIX/Linux-Wartungskonto | Agentwartungskonto | – Privilegiert – Nicht privilegiert, zu privilegiert höher gestuft |
Hinweis
Es gibt drei Profile, aber nur zwei Ausführen-Als-Kontotypen.
Wenn Sie als Typ des ausführenden Kontos ein Überwachungskonto angeben, müssen Sie für das WS-Management-Protokoll einen Benutzernamen und ein Kennwort angeben. Wenn Sie als Typ des ausführenden Kontos ein Wartungskonto angeben, müssen Sie angeben, wie die Anmeldeinformationen dem Zielcomputer mit dem SSH-Protokoll bereitgestellt werden:
Sie geben einen Benutzernamen und ein Kennwort an.
Sie geben einen Benutzernamen und einen Schlüssel an. Sie können eine optionale Passphrase einschließen.
Nachdem Sie ausführende Konten erstellt haben, müssen Sie die UNIX- und Linux-Profile bearbeiten, damit sie den erstellten ausführenden Konten zugeordnet werden können. Detaillierte Anweisungen finden Sie unter Konfigurieren von ausführenden Konten und Profilen für UNIX- und Linux-Zugriff.
Wichtige Sicherheitsüberlegungen
Der Operations Manager-Linux/UNIX-Agent verwendet den Standardmechanismus PAM (Pluggable Authentication Module) auf dem Linux- oder UNIX-Computer zur Authentifizierung des Benutzernamens und des Kennworts, die im Aktionsprofil und im Berechtigungsprofil angegeben wurden. Unter allen Benutzernamen mit einem Kennwort, das PAM authentifiziert, können Überwachungsfunktionen ausgeführt werden, darunter Befehlszeilen und Skripts für die Erfassung von Überwachungsdaten. Solche Überwachungsfunktionen werden immer im Kontext dieses Benutzernamens ausgeführt (es sei denn, die sudo-Rechteerweiterung ist explizit für diesen Benutzernamen aktiviert), sodass der Operations Manager-Agent nicht mehr Funktionen bietet, als wenn sich der Benutzername beim Linux/UNIX-System anmeldet.
Die pam-Authentifizierung, die vom Operations Manager-Agent verwendet wird, erfordert jedoch nicht, dass dem Benutzernamen eine interaktive Shell zugeordnet ist. Wenn Ihre Linux-/UNIX-Kontoverwaltungsmethoden das Entfernen der interaktiven Shell als Möglichkeit zum Pseudodeaktivieren eines Kontos umfassen, hindert diese Entfernung nicht daran, dass das Konto verwendet wird, um eine Verbindung mit dem Operations Manager-Agent herzustellen und Überwachungsfunktionen auszuführen. In diesen Fällen sollten Sie eine zusätzliche PAM-Konfiguration verwenden, um sicherzustellen, dass sich diese pseudoaktiven Konten nicht beim Operations Manager-Agent authentifizieren.
Anmeldeinformationen für das Upgrade und die Deinstallation von Agents
Zielcomputern werden vom Upgrade-Assistenten für UNIX/Linux-Agents und vom Deinstallations-Assistenten für UNIX/Linux-Agents Anmeldeinformationen bereitgestellt. Im Assistenten müssen Sie zunächst die Zielcomputer für das Upgrade oder die Deinstallation und anschließend die Bereitstellungsoption für die Anmeldeinformationen auswählen:
Vorhandene zugeordnete ausführende Konten verwenden
Wählen Sie diese Option aus, um die Anmeldeinformationen zu verwenden, die den UNIX/Linux-Profilen „Aktionskonto“ und „Agentwartungskonto“ zugeordnet sind.
Der Assistent warnt Sie, wenn mindestens einer der ausgewählten Computer nicht über ein ausführenes Konto in den erforderlichen Profilen verfügt. In diesem Fall müssen Sie die Computer deaktivieren, die nicht über ein ausführenes Konto verfügen, oder Anmeldeinformationen angeben.
Eingeben der Anmeldeinformationen
Wählen Sie diese Option aus, um die SSH-Anmeldeinformationen (Secure Shell) mit einem Benutzernamen und einem Kennwort oder mit einem Benutzernamen und einem Schlüssel anzugeben. Sie können optional eine Passphrase mit einem Schlüssel bereitstellen. Wenn die Anmeldeinformationen nicht für ein privilegiertes Konto gelten, können Sie sie mithilfe der UNIX-Programme su oder sudo auf ein privilegiertes Konto auf dem Zielcomputer erhöhen lassen. Für die Erhöhung der Rechte mit dem Befehl „su“ ist ein Kennwort erforderlich. Wenn Sie die sudo-Erhöhung verwenden, werden Sie aufgefordert, einen Benutzernamen und ein Kennwort für die Agentüberprüfung mithilfe eines nicht privilegierten Kontos einzugeben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für