Publication: mars 2016
S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
L'accès aux ordinateurs UNIX et Linux dans System Center 2012 – Operations Manager utilise trois profils d'identification. Un profil est associé à un compte non privilégié et les deux autres comptes sont associés à un compte privilégié ou à un compte non privilégié élevé avec sudo ou su.
Dans le cas le plus simple, un compte privilégié a des capacités équivalentes à un compte racine UNIX et Linux, alors qu'un compte non privilégié a des capacités équivalentes à un compte d'utilisateur normal. Toutefois, avec certaines versions d'ordinateur UNIX et Linux, et lorsque vous utilisez sudo pour l'élévation des privilèges, vous pouvez affecter des capacités plus spécifiques à des comptes. Pour appuyer ces affectations spécifiques, le tableau suivant répertorie les capacités spécifiques requises par les comptes qui sont affectés à chacun des trois profils d'identification. Ces descriptions sont quelque peu génériques car les informations, comme les chemins d'accès du système de fichiers exacts, peuvent varier selon les versions d'ordinateur UNIX et Linux.
Notes
Le tableau suivant décrit les capacités requises pour que les comptes communiquent avec l'agent Operations Manager sur un ordinateur UNIX ou Linux géré, mais l'agent lui-même doit toujours être exécuté sous le compte racine sur l'ordinateur UNIX ou Linux.
Profil de l'action |
Connecter l'ordinateur UNIX ou Linux au réseau, authentifié par les modules d'authentification enfichables (PAM). Doit avoir la capacité d'exécuter un shell d'arrière-plan (non connecté à un TTY). Les connexions interactives ne sont pas nécessaires.
Lire le fichier journal qui était spécifié comme non privilégié lors de la création d’une analyse de fichier journal personnalisée, plus la capacité d’exécuter /opt/microsoft/scx/bin/scxlogfilereader.
Exécuter entièrement n'importe quelle commande shell de commande qui était spécifiée comme non privilégiée lors de la création d'une analyse, d'une règle ou d'une tâche de ligne de commande.
Remarque Les commandes shell UNIX et Linux sont enregistrées dans le répertoire /tmp, exécutées, puis supprimées du répertoire /tmp. Le répertoire /tmp nécessite des privilèges d’exécution pour l’utilisation des commandes shell UNIX et Linux.
Exécuter /usr/bin/vmstat pour la tâche Run VMStat.
|
Profil privilégié |
Connecter l'ordinateur UNIX ou Linux au réseau, authentifié par le PAM. Doit avoir la capacité d'exécuter un shell d'arrière-plan (non connecté à un TTY). Les connexions interactives ne sont pas nécessaires. Dans le cas d'un compte qui est élevé à l'aide de sudo, cette exigence s'applique au compte avant son élévation.
Exécuter entièrement n'importe quelle ligne de commande shell qui était spécifiée comme privilégiée lors de la création d'une analyse, d'une règle ou d'une détection de ligne de commande.
Remarque Les commandes shell UNIX et Linux sont enregistrées dans le répertoire /tmp, exécutées, puis supprimées du répertoire /tmp. Le répertoire /tmp nécessite des privilèges d’exécution pour l’utilisation des commandes shell UNIX et Linux.
Disposer des capacités d'analyse du fichier journal suivantes :
Lire le fichier journal à analyser.
Par défaut, les fichiers journaux, comme Syslog, sont généralement définis pour être lus uniquement par la racine et les comptes affectés à ce profil doivent être en mesure de lire ces fichiers. Au lieu de donner aux comptes des droits racines complets, les autorisations du fichier journal peuvent être modifiées pour accorder l'accès en lecture à un groupe sécurisé et les comptes doivent devenir membre de ce groupe. Notez que si le fichier journal est pivoté régulièrement, vous devez vous assurer que la procédure de rotation conserve les autorisations du groupe.
Lire un fichier journal qui était spécifié comme privilégié lors de la création d'une analyse du fichier journal personnalisée.
Exécuter /opt/microsoft/scx/bin/scxlogfilereader.
Exécuter des tâches, des récupérations et des diagnostics. Ces exigences ne doivent être satisfaites que si l'opérateur Operations Manager décide explicitement de les exécuter.
De nombreuses récupérations incluent l'arrêt et le redémarrage d'un processus démon. Ces récupérations requièrent la capacité d'exécuter les interfaces de contrôle des services (telles que /etc/init.d pour Linux et svcadm pour Solaris) pour l'arrêter et le démarrer. En général, de telles interfaces de contrôle des services requièrent la capacité d'exécuter la commande kill avec le processus démon et d'exécuter d'autres commandes UNIX et Linux de base.
Les exigences des autres tâches, récupérations et diagnostics dépendent des détails de cette action particulière.
|
Profil de maintenance d'agent, et pour les comptes utilisés pour installer des agents pour l'analyse initiale. |
Connecter l'ordinateur UNIX ou Linux au réseau à l'aide de SSH (Secure Shell), authentifié par le PAM. Doit avoir la capacité d'exécuter un shell d'arrière-plan (non connecté à un TTY). Les connexions interactives ne sont pas nécessaires. Dans le cas d'un compte qui est élevé à l'aide de sudo, cette exigence s'applique au compte avant son élévation.
Exécuter le programme d'installation du package de système, tel que rpm sur Linux, pour installer l'agent Operations Manager.
Lire et écrire les répertoires suivants, et les créer ainsi que leurs sous-répertoires s'ils n'existent pas :
/opt
/opt/microsoft
/opt/microsoft/scx
/etc/opt/microsoft/scx
/var/opt/microsoft/scx
Exécuter la commande kill tout en exécutant les processus de l'agent Operations Manager.
Démarrer l'agent Operations Manager.
Ajouter et supprimer un démon système, y compris l'agent Operations Manager, en utilisant des outils de plate-forme.
Exécuter des commandes UNIX et Linux de base, telles que cat, ls, pwd, cp, mv, rm, gzip, (ou des commandes équivalentes).
|