Közzétett: 2016. március
Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
A UNIX és a Linux rendszerű számítógépek elérésére a System Center 2012 – Operations Manager három futtató profilt használ. Az egyik profil egy normál jogosultsági szintű fiókkal van összerendelve, míg a másik kettőhöz vagy magas jogosultsági szintű fiók, vagy olyan fiók tartozik, amely a sudo vagy a su paranccsal jogosultságemelést hajt végre.
A legegyszerűbb esetben a magas jogosultsági szintű fiók jogosultságai egyenértékűek a UNIX és Linux rendszerek root fiókjának jogosultságaival, míg a normál jogosultsági szintű fiók képességei a normál felhasználókéval egyeznek meg. Egyes UNIX- és Linux-verzióknál azonban, ha a jogosultságemelés a sudo segítségével történik, akkor pontosabban meghatározott jogosultságokat is lehet rendelni a fiókokhoz. Az ilyen hozzárendelések támogatása érdekében összefoglaltuk az alábbi táblázatban, hogy a három futtató profilhoz társított fiókoknak milyen jogosultságokkal kell rendelkezniük. A leírások részben általános jellegűek, hiszen a pontos értékek, például a fájlrendszerbeli elérési utak eltérők lehetnek a különböző UNIX- és Linux-verziók esetében.
Az alábbi táblázat összefoglalja, hogy az egyes fiókoknak milyen jogosultságokkal kell rendelkezniük ahhoz, hogy kommunikálhassanak a felügyelt UNIX vagy Linux rendszerű számítógépen futó Operations Manager ügynökkel. Magának az ügynöknek mindig a UNIX vagy Linux rendszerű számítógép root fiókjának nevében kell futnia. |
Műveleti profil |
Bejelentkezés a UNIX vagy Linux rendszerű számítógépre a hálózaton keresztül, Pluggable Authentication Module (PAM) alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség.
Egyéni naplófájlra alapuló figyelő létrehozása esetén jogosultság bármely normál jogosultsági szintű naplófájl olvasására, valamint jogosultság a /opt/microsoft/scx/bin/scxlogfilereader futtatására.
Parancssori figyelő, szabály vagy feladat létrehozása esetén jogosultság bármely normál jogosultsági szintűként megjelölt parancshéjbeli parancs teljes futtatására.
Megjegyzés A UNIX és Linux felületparancsokat a rendszer a /tmp könyvtárba menti, végrehajtja, majd eltávolítja a /tmp könyvtárból. A /tmp könyvtár végrehajtási jogosultságokat igényel a UNIX és Linux felületparancsok használatához.
A /usr/bin/vmstat parancs futtatása a Run VMStat feladat számára.
|
Magas jogosultsági szintű profil |
Bejelentkezés a UNIX vagy Linux rendszerű számítógépre a hálózaton keresztül, PAM-alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség. A sudo paranccsal jogosultságemelést végző fiók esetében ez a követelmény a fióknak a jogosultságemelés előtti jogosultságaira vonatkozik.
Parancssori figyelő, szabály vagy felderítés létrehozása esetén jogosultság bármely magas jogosultsági szintűként megjelölt parancshéjbeli parancs teljes futtatására.
Megjegyzés A UNIX és Linux felületparancsokat a rendszer a /tmp könyvtárba menti, végrehajtja, majd eltávolítja a /tmp könyvtárból. A /tmp könyvtár végrehajtási jogosultságokat igényel a UNIX és Linux felületparancsok használatához.
A következő naplófájl-figyelési képességek:
A figyelni kívánt naplófájl olvasása.
Alapesetben a naplófájlok (például a Syslog) tartalmát csak a root olvashatja. Az ehhez a profilhoz rendelt fiókoknak tudniuk kell olvasni ezeket a fájlokat. Ahelyett, hogy a fiókoknak teljes root jogosultságot adna, érdemes inkább a naplófájlokra vonatkozó engedélyeket módosítani: olvasási jogot adni egy biztonságos csoportnak, majd a csoport tagjává tenni a fiókot. Fontos, hogy ha a naplófájlt a rendszer időnként felülírja, akkor a naplófájl újrahasznosítását végző mechanizmusnak meg kell őriznie a csoport jogosultságait.
Egyéni naplófájlra alapuló figyelő létrehozása esetén jogosultság bármely magas jogosultsági szintű naplófájl olvasására.
Jogosultság a /opt/microsoft/scx/bin/scxlogfilereader futtatására.
Feladatok, helyreállítási és diagnosztikai műveletek futtatása. Ezeket a követelményeket csak akkor kell teljesíteni, ha az Operations Manager-kezelő futtatni szeretne ilyen műveleteket.
Számos helyreállítási műveletnek része valamilyen démonfolyamat leállítása és újraindítása. Az ilyen helyreállítási műveletek végrehajtásához, illetve a leállítások és az újraindítások elvégzéséhez szükség van a szolgáltatásvezérlési felület (pl. Linux esetében /etc/init.d, Solaris esetében svcadm) elérésére. A szolgáltatásvezérlési felület használatához általában szükség van a kill parancs, valamint további alapszintű UNIX- és Linux-parancsok futtatásának jogára – ezekkel a parancsokkal történik a démonfolyamatok vezérlése.
Az egyéb feladatok, helyreállítási és diagnosztikai műveletek végrehajtásához szükséges jogosultságok az adott feladattól vagy művelettől függenek.
|
Ügynök-karbantartási profil és az ügynök telepítésére használt fiókok. |
Bejelentkezés a UNIX vagy Linux rendszerű számítógépre Secure Shell (SSH) hálózati protokollon keresztül, PAM-alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség. A sudo paranccsal jogosultságemelést végző fiók esetében ez a követelmény a fióknak a jogosultságemelés előtti jogosultságaira vonatkozik.
A rendszer csomagtelepítő programjának futtatása (Linux esetében pl. rpm), az Operations Manager-ügynök telepítése céljából.
A következő könyvtárak olvasása és írása, valamint a könyvtárak és alkönyvtáraik létrehozása, ha még nem léteznek:
/opt
/opt/microsoft
/opt/microsoft/scx
/etc/opt/microsoft/scx
/var/opt/microsoft/scx
A kill parancs futtatása a futó Operations Manager-ügynökfolyamatokra vonatkozóan.
Az Operations Manager-ügynök elindítása.
Rendszerdémon hozzáadása és eltávolítása, ideértve az Operations Manager-ügynököt is, az adott platformon rendelkezésre álló eszközökkel.
Alapszintű UNIX- és Linux-parancsok futtatása, pl. cat, ls, pwd, cp, mv, rm, gzip (illetve az ezekkel egyenértékű parancsok).
|