Merencanakan Kredensial Keamanan untuk Mengakses Komputer Unix dan Linux
Penting
Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.
Artikel ini menjelaskan kredensial yang diperlukan untuk menginstal, memelihara, meningkatkan, dan menghapus instalasi agen di komputer UNIX atau Linux.
Di Operations Manager, server manajemen menggunakan dua protokol untuk berkomunikasi dengan komputer UNIX atau Linux:
Secure Shell (SSH) dan Secure Shell File Transfer Protocol (SFTP)
- Digunakan untuk menginstal, meningkatkan, dan menghapus agen.
Layanan Web untuk Manajemen (WS-Management)
- Digunakan untuk semua operasi pemantauan dan menyertakan penemuan agen yang sudah diinstal.
Protokol yang digunakan tergantung pada tindakan atau informasi yang diminta di server manajemen. Semua tindakan, seperti pemeliharaan agen, pemantauan, aturan, tugas, dan pemulihan, dikonfigurasi untuk menggunakan profil yang telah ditentukan sebelumnya sesuai dengan persyaratannya untuk akun yang tidak istimewa atau istimewa.
Di Operations Manager, administrator sistem tidak lagi diperlukan untuk memberikan kata sandi akar komputer UNIX atau Linux ke server manajemen. Sekarang dengan elevasi, akun yang tidak istimewa dapat mengasumsikan identitas akun istimewa di komputer UNIX atau Linux. Proses elevasi dilakukan oleh program su (superuser) dan sudo UNIX yang menggunakan kredensial yang disediakan server manajemen. Untuk operasi pemeliharaan agen istimewa yang menggunakan SSH (seperti penemuan, penyebaran, peningkatan, penghapusan instalasi, dan pemulihan agen), dukungan untuk su, elevasi sudo, dan dukungan untuk autentikasi kunci SSH (dengan atau tanpa frasa sandi) disediakan. Untuk operasi WS-Management istimewa (seperti melihat file log aman), dukungan untuk elevasi sudo (tanpa kata sandi) ditambahkan.
Kredensial untuk menginstal agen
Operations Manager menggunakan protokol Secure Shell (SSH) untuk menginstal agen dan Web Services for Management (WS-Management) untuk menemukan agen yang diinstal sebelumnya. Penginstalan memerlukan akun istimewa di komputer UNIX atau Linux. Ada dua cara untuk memberikan kredensial ke komputer yang ditargetkan, seperti yang diperoleh oleh Wizard Komputer dan Manajemen Perangkat:
Tentukan nama pengguna dan kata sandi.
Protokol SSH menggunakan kata sandi untuk menginstal agen atau protokol WS-Management jika agen sudah diinstal dengan menggunakan sertifikat yang ditandatangani.
Tentukan nama pengguna dan kunci SSH. Kunci dapat menyertakan frasa sandi opsional.
Jika Anda tidak menggunakan kredensial untuk akun istimewa, Anda dapat memberikan kredensial tambahan sehingga akun Anda menjadi akun istimewa melalui peningkatan hak istimewa pada komputer UNIX atau Linux.
Penginstalan tidak selesai sampai agen diverifikasi. Verifikasi agen dilakukan oleh protokol WS-Management yang menggunakan kredensial yang dikelola di server manajemen, terpisah dari akun istimewa yang digunakan untuk menginstal agen. Anda diharuskan memberikan nama pengguna dan kata sandi untuk verifikasi agen jika Anda telah melakukan salah satu hal berikut:
Menyediakan akun istimewa dengan menggunakan kunci.
Menyediakan akun yang tidak istimewa untuk ditinggikan dengan menggunakan sudo dengan kunci.
Jalankan wizard dengan Jenis Penemuan yang diatur ke Temukan hanya komputer dengan agen UNIX/Linux yang terinstal.
Atau, Anda dapat menginstal agen, termasuk sertifikatnya, secara manual di komputer UNIX atau Linux dan kemudian menemukan komputer tersebut. Metode ini adalah cara paling aman untuk menginstal agen. Untuk informasi selengkapnya, lihat Menginstal Agen dan Sertifikat di Komputer UNIX dan Linux Menggunakan Baris Perintah.
Kredensial untuk memantau operasi dan melakukan pemeliharaan agen
Operations Manager berisi tiga profil yang telah ditentukan sebelumnya untuk digunakan dalam memantau komputer UNIX dan Linux dan melakukan pemeliharaan agen:
Akun tindakan UNIX/Linux
Profil ini adalah profil akun yang tidak istimewa yang diperlukan untuk pemantauan kesehatan dan performa dasar.
Akun istimewa UNIX/Linux
Profil ini adalah profil akun istimewa yang digunakan untuk memantau sumber daya yang dilindungi seperti file log.
Akun pemeliharaan UNIX/Linux
Profil ini digunakan untuk operasi pemeliharaan istimewa, seperti memperbarui dan menghapus agen.
Dalam paket manajemen UNIX dan Linux, semua aturan, monitor, tugas, pemulihan, dan elemen paket manajemen lainnya dikonfigurasi untuk menggunakan profil ini. Jadi, tidak ada persyaratan untuk menentukan profil tambahan dengan menggunakan Wizard Jalankan Sebagai Profil kecuali keadaan khusus menentukannya. Profil tidak kumulatif dalam cakupan. Misalnya, profil akun pemeliharaan UNIX/Linux tidak dapat digunakan sebagai pengganti profil lain hanya karena dikonfigurasi menggunakan akun istimewa.
Di Manajer Operasi, profil tidak dapat berfungsi hingga dikaitkan dengan setidaknya satu akun Jalankan Sebagai. Kredensial untuk mengakses komputer UNIX atau Linux dikonfigurasi di akun Jalankan Sebagai. Karena tidak ada akun Jalankan Sebagai yang telah ditentukan sebelumnya untuk pemantauan UNIX dan Linux, Anda harus membuatnya.
Untuk membuat akun Jalankan Sebagai, Anda harus menjalankan Wizard Akun Jalankan Sebagai UNIX/Linux yang tersedia saat Anda memilih Akun UNIX/Linux di ruang kerja Administrasi . Wizard membuat akun Jalankan Sebagai berdasarkan pilihan jenis akun Jalankan Sebagai. Ada dua jenis akun Jalankan Sebagai:
Akun pemantauan
Gunakan akun ini untuk pemantauan kesehatan dan performa yang sedang berlangsung dalam operasi yang berkomunikasi dengan menggunakan WS-Management.
Akun pemeliharaan agen
Gunakan akun ini untuk pemeliharaan agen seperti memperbarui dan menghapus instalasi dalam operasi yang berkomunikasi dengan menggunakan SSH.
Jenis akun Jalankan Sebagai ini dapat dikonfigurasi untuk tingkat akses yang berbeda sesuai dengan kredensial yang Anda berikan. Kredensial dapat menjadi akun tanpa hak istimewa atau hak istimewa atau akun yang tidak istimewa yang akan ditingkatkan ke akun istimewa. Tabel berikut ini memperlihatkan hubungan antara profil, akun Jalankan Sebagai, dan tingkat akses.
| Profil | Jenis akun Jalankan Sebagai | Tingkat Akses yang Diizinkan |
|---|---|---|
| Akun tindakan UNIX/Linux | Akun pemantauan | - Tidak diistimewakan -Istimewa - Tidak istimewa, ditinggikan menjadi istimewa |
| Akun istimewa UNIX/Linux | Akun pemantauan | -Istimewa - Tidak istimewa, ditinggikan menjadi istimewa |
| Akun pemeliharaan UNIX/Linux | Akun pemeliharaan agen | -Istimewa - Tidak istimewa, ditinggikan menjadi istimewa |
Catatan
Ada tiga profil, tetapi hanya dua jenis Akun Jalankan Sebagai.
Saat Menentukan Jenis Akun Monitoring Run As, Anda harus menentukan nama pengguna dan kata sandi untuk digunakan oleh protokol WS-Management. Saat Anda menentukan Jenis Akun Jalankan Sebagai Pemeliharaan Agen, Anda harus menentukan bagaimana kredensial diberikan ke komputer yang ditargetkan dengan menggunakan protokol SSH:
Tentukan nama pengguna dan kata sandi.
Tentukan nama pengguna dan kunci. Anda dapat menyertakan frasa sandi opsional.
Setelah membuat akun Jalankan Sebagai, Anda harus mengedit profil UNIX dan Linux untuk mengaitkannya dengan akun Jalankan Sebagai yang Anda buat. Untuk instruksi terperinci, lihat Cara Mengonfigurasi Akun dan Profil Jalankan Sebagai untuk Akses UNIX dan Linux
Pertimbangan keamanan penting
Agen Operations Manager Linux/UNIX menggunakan mekanisme PAM standar (Modul Autentikasi Yang Dapat Dicolokkan) pada komputer Linux atau UNIX untuk mengautentikasi nama pengguna dan kata sandi yang ditentukan dalam Profil Tindakan dan Profil Hak Istimewa. Nama pengguna apa pun dengan kata sandi yang diautentikasi PAM dapat melakukan fungsi pemantauan, termasuk menjalankan baris perintah dan skrip yang mengumpulkan data pemantauan. Fungsi pemantauan tersebut selalu dilakukan dalam konteks nama pengguna tersebut (kecuali elevasi sudo diaktifkan secara eksplisit untuk nama pengguna tersebut), sehingga agen Operations Manager tidak menyediakan kemampuan lebih daripada jika nama pengguna masuk ke sistem Linux/UNIX.
Namun, autentikasi PAM yang digunakan oleh agen Manajer Operasi tidak mengharuskan nama pengguna memiliki shell interaktif yang terkait dengannya. Jika praktik manajemen akun Linux/UNIX Anda termasuk menghapus shell interaktif sebagai cara untuk menonaktifkan akun semu, penghapusan tersebut tidak mencegah akun digunakan untuk terhubung ke agen Manajer Operasi dan melakukan fungsi pemantauan. Dalam kasus ini, Anda harus menggunakan konfigurasi PAM tambahan untuk memastikan bahwa akun yang dinonaktifkan pseudo ini tidak mengautentikasi ke agen Manajer Operasi.
Kredensial untuk memutakhirkan dan menghapus instalasi agen
Wizard Peningkatan Agen UNIX/Linux dan Wizard Penghapusan Instalan Agen UNIX/Linux memberikan kredensial ke komputer yang ditargetkan. Panduan pertama-tama meminta Anda untuk memilih komputer yang ditargetkan untuk dimutakhirkan atau dibongkar, diikuti dengan opsi tentang cara memberikan kredensial ke komputer yang ditargetkan:
Gunakan Akun Jalankan Sebagai terkait yang sudah ada
Pilih opsi ini untuk menggunakan kredensial yang terkait dengan profil akun tindakan UNIX/Linux dan profil akun pemeliharaan UNIX/Linux.
Panduan ini memperingatkan Anda jika satu atau beberapa komputer yang dipilih tidak memiliki akun Jalankan Sebagai terkait di profil yang diperlukan, dalam hal ini Anda harus kembali dan menghapus komputer yang tidak memiliki akun Jalankan Sebagai terkait atau menentukan kredensial.
Tentukan kredensial
Pilih opsi ini untuk menentukan kredensial Secure Shell (SSH) dengan menggunakan nama pengguna dan kata sandi atau nama pengguna dan kunci. Anda dapat secara opsional memberikan frase sandi dengan kunci. Jika kredensial bukan untuk akun istimewa, Anda dapat meningkatkannya ke akun istimewa di komputer target dengan menggunakan program elevasi SU atau sudo UNIX. Elevasi 'su' memerlukan kata sandi. Jika Anda menggunakan elevasi sudo, Anda akan dimintai nama pengguna dan kata sandi untuk verifikasi agen dengan menggunakan akun yang tidak memiliki hak istimewa.