Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'accesso ai computer UNIX e Linux in System Center - Operations Manager utilizza tre profili Run as. Un profilo è associato a un account senza privilegi, mentre gli altri due account sono associati a un account con privilegi o a un account senza privilegi che è stato elevato utilizzando sudo o su.
Nel caso più semplice, un account con privilegi ha funzionalità analoghe a un account radice UNIX e Linux, mentre un account senza privilegi ha funzionalità equivalenti a un account utente standard. Tuttavia, con alcune versioni computer di UNIX e Linux, e quando si utilizza sudo per l'elevazione privilegi, è possibile assegnare funzionalità più specifiche agli account.
Nella tabella seguente sono elencate le funzionalità specifiche richieste dagli account assegnati a ognuno dei tre profili Runas. Queste descrizioni sono generiche perché, ad esempio i percorsi esatti del file system, possono variare tra diverse versioni di computer UNIX e Linux.
Nota
Nella tabella seguente vengono descritte le funzionalità necessarie per consentire agli account di comunicare con l'agente operations manager in un computer UNIX o Linux gestito, ma l'agente stesso deve essere sempre eseguito con l'account radice nel computer UNIX o Linux.
| Profilo UNIX e Linux | Funzionalità richieste |
|---|---|
| Profilo d'azione | Per registrare il computer UNIX o Linux nella rete, autenticato da Pluggable Authentication Modules (PAM). Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari. Per leggere qualsiasi file di log specificato come non privilegiato quando è stato creato un monitoraggio file di log personalizzato, oltre alla possibilità di eseguire /opt/microsoft/scx/bin/scxlogfilereader. Per eseguire in modo completo qualsiasi comando della shell che è stato specificato come non privilegiato, al momento della creazione di un monitor della riga di comando, una regola o un'attività. Per eseguire /usr/bin/vmstat per l'attività Esegui VMStat . |
| Profilo con privilegi | Registrare il computer UNIX o Linux nella rete, autenticato da PAM. Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari. Nel caso di un account con privilegi elevati tramite sudo, questo requisito si applica all'account prima che venga elevato.Eseguire completamente qualsiasi riga di comando della shell specificata come con privilegi, quando è stato creato un monitoraggio, una regola o un'individuazione della riga di comando. Sono disponibili le funzionalità di monitoraggio dei file di log seguenti: - Leggere il file di log da monitorare. Per impostazione predefinita, i file di log, ad esempio Syslog, sono impostati in modo che siano leggibili solo dalla radice e gli account assegnati a questo profilo possono leggere questi file. Invece di concedere agli account privilegi completi di root, è possibile modificare le autorizzazioni del file di log per concedere l'accesso in lettura a un gruppo sicuro e rendere gli account membri di tale gruppo. Se il file di log viene ruotato periodicamente, è necessario assicurarsi che la procedura di rotazione mantenga le autorizzazioni del gruppo. - Per leggere qualsiasi file di log specificato come privilegiato quando è stato creato un monitoraggio del file di log personalizzato. - Per eseguire /opt/microsoft/sc/bin/scxlogfilereader. - Eseguire attività, operazioni di ripristino e diagnostica. Questi requisiti devono essere soddisfatti solo se l'operatore operations manager decide esplicitamente di eseguirli. - Molti ripristini includono l'arresto e il riavvio di un processo daemon. Questi ripristini richiedono la possibilità di eseguire le interfacce di controllo del servizio, ad esempio /et/init.d per Linux, e svcadm per Solaris per arrestarlo e riavviarlo. Queste interfacce di controllo del servizio richiedono in genere la capacità di eseguire il comando kill nel processo daemon ed eseguire altri comandi di base UNIX e Linux. - I requisiti per altre attività, ripristini e diagnostica dipendono dai dettagli di tale azione specifica. |
| Profilo di manutenzione dell'agente e account utilizzati per installare gli agenti per il monitoraggio iniziale | Registrare il computer UNIX o Linux in rete usando Secure Shell (SSH), autenticato da PAM. Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari. Nel caso di un account con privilegi elevati tramite sudo, questo requisito si applica all'account prima che venga elevato.Eseguire il programma di installazione del pacchetto di sistema, ad esempio rpm in Linux, per installare l'agente di Operations Manager. Leggere e scrivere nelle directory seguenti, e crearle insieme a eventuali sottodirectory al loro interno, se non esistono: - /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omiEseguire il comando kill sui processi dell'agente di Operations Manager in esecuzione. Avviare l'agente di Operations Manager. Aggiungere e rimuovere un daemon di sistema, incluso l'agente di Operations Manager, usando gli strumenti della piattaforma a tale scopo. Eseguire comandi UNIX e Linux di base, ad esempio cat, ls, pwd, cp, mv, rm, gzip (o equivalente). |
Considerazioni importanti sulla sicurezza
L'agente Linux/UNIX di Operations Manager usa il meccanismo PAM standard (Pluggable Authentication Module) nel computer Linux o UNIX per autenticare il nome utente e la password specificati nel profilo di azione e nel profilo dei privilegi. Qualsiasi nome utente con una password autenticata da PAM può eseguire funzioni di monitoraggio, incluse le righe di comando e gli script che raccolgono i dati di monitoraggio. Tali funzioni di monitoraggio vengono sempre eseguite nel contesto di tale nome utente, a meno che l'elevazione sudo non sia abilitata in modo esplicito per tale nome utente. Pertanto, l'agente di Operations Manager non offre più funzionalità rispetto a se il nome utente dovesse accedere al sistema Linux/UNIX.
Tuttavia, l'autenticazione PAM usata dall'agente di Operations Manager non richiede che al nome utente sia associata una shell interattiva. Se le procedure di gestione degli account Linux/UNIX includono la rimozione della shell interattiva come metodo per pseudo-disabilitare un account, tale rimozione non impedisce l'uso dell'account per connettersi all'agente di Operations Manager ed eseguire funzioni di monitoraggio. In questi casi, usare una configurazione PAM aggiuntiva per assicurarsi che questi account pseudo-disabilitati non eseguano l'autenticazione all'agente di Operations Manager.
Passaggi successivi
- Per informazioni su come autenticare e monitorare i computer UNIX e Linux, vedere Credenziali necessarie per accedere ai computer UNIX e Linux.
- Per informazioni su come elevare un account senza privilegi per un monitoraggio efficace dei computer UNIX e Linux, vedere Come configurare l'elevazione sudo e le chiavi SSH.
- Se è necessario riconfigurare Operations Manager per l'uso di una crittografia diversa, vedere Configurare le crittografie SSL.