次の方法で共有


UNIX および Linux アカウントに必要な機能

 

発行: 2016年3月

適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager で UNIX および Linux コンピューターにアクセスするには、3 つの実行プロファイルが使用されます。 1 つのプロファイルは特権のないアカウントに関連付けられ、その他の 2 つのアカウントは特権付きアカウントに関連付けられるか、あるいは sudo または su を使用して昇格した特権のないアカウントに関連付けられています。

最もシンプルなケースでは、特権付きアカウントには UNIX および Linux ルート アカウントと同等の権限があり、特権のないアカウントには通常のユーザー アカウントと同等の権限があります。 ただし、UNIX および Linux の特定のコンピューター バージョンで、sudo を使用して特権アカウントに昇格することで、より多くの特定の権限をアカウントに割り当て可能な場合があります。 このような特定の割り当てをサポートするために、次の表では 3 つの実行プロファイルそれぞれに割り当てられたアカウントに必要となる特定の機能の一覧を示します。 正確なファイル システム パスなどの情報は、UNIX および Linux コンピューターのバージョンごとに異なるため、ここでは比較的一般的な内容に触れます。

[!メモ]

次の表は、管理された UNIX または Linux コンピューター上の Operations Manager エージェントと通信するためにアカウントに必要な権限を説明しますが、エージェント自体は UNIX または Linux コンピューターのルート アカウントのもとで常に実行されている必要があります。

UNIX と Linux のプロファイル

必要な権限

アクション プロファイル

  • UNIX または Linux コンピューターを Pluggable Authentication Modules (PAM) により認証されたネットワークに記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。

  • カスタム ログ ファイル モニターが作成された時に、特権なしと指定されたログ ファイルを読み取るには、さらに /opt/microsoft/scx/bin/scxlogfilereader を実行する権限が必要です。

  • コマンド ライン モニター、ルール、またはタスクが作成されたときに特権なしと指定されたコマンド シェル コマンドを完全に実行する権限。

    : UNIX および Linux のシェル コマンドは、/tmp ディレクトリに保存され、実行された後は /tmp ディレクトリから削除されます。/tmp ディレクトリでは、UNIX および Linux シェル コマンドを実行する権限が必要です。

  • Run VMStat タスクの /usr/bin/vmstat を実行する権限。

権限のあるプロファイル

  • UNIX または Linux コンピューターを PAM により認証されたネットワークに記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。sudo を使って昇格したアカウントの場合は、この要件は昇格前のアカウントに適用します。

  • コマンド ライン モニター、ルール、または検出が作成されたときに特権ありと指定されたシェル コマンド ラインを完全に実行する権限。

    : UNIX および Linux のシェル コマンドは、/tmp ディレクトリに保存され、実行された後は /tmp ディレクトリから削除されます。/tmp ディレクトリでは、UNIX および Linux シェル コマンドを実行する権限が必要です。

  • 次のログ ファイル監視権限が必要です。

    • 監視されるログ ファイルを読み取る権限。

      既定で、Syslog のようなログファイルの読み取りは通常はルートのみが可能に設定されているため、このプロファイルに割り当てられたアカウントはファイルの読み取りが可能である必要があります。 アカウントに完全なルート特権を与える代わりに、ログ ファイル権限を、読み取りアクセス権をセキュアなグループおよびそのグループのメンバーを形成するアカウントに与えるように変更できます。 ログ ファイルが定期的に交代する場合は、交代手順にグループの権限が維持されるように確認するように留意してください。

    • カスタム ログ ファイル モニターが作成されたときに、特権ありと指定されたログ ファイルを読み取る権限。

    • /opt/microsoft/scx/bin/scxlogfilereader を実行する権限。

  • タスク、復元、および診断を実行する権限。Operations Manager オペレーターが実行しようと明示的に判断したときにのみ、これらの要件を満たす必要があります。

    • 多くの復元には、デーモン プロセスの停止および再開が含まれます。 これらの復元は、デーモン プロセスを停止および再開するために、サービス コントロール インターフェース (Linux では /etc/init.d、Solaris では svcadm) を実行する権限を必要とします。 このようなサービス コントロール インターフェースは、一般的にデーモン プロセスに対して kill コマンドを実行し、その他の基本的な UNIX および Linux コマンドを実行する権限を必要とします。

    • その他のタスク、復元、診断の要件は、特定の操作の詳細により異なります。

エージェント メンテナンス プロファイル、および最初の監視をインストールするエージェントに使用したアカウント

  • UNIX または Linux コンピューターを PAM により認証されたネットワークに SSH (Secure Shell) を使用して記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。sudo を使って昇格したアカウントの場合は、この要件は昇格前のアカウントに適用します。

  • Linux 上の rpm などのシステム パッケージ インストール プログラムを、Operations Manager をインストールするために実行する権限。

  • 次のディレクトリの読み取りと書き込み、および、存在しない場合はディレクトリおよび下位のサブディレクトリを作成する権限。

    • /opt

    • /opt/microsoft

    • /opt/microsoft/scx

    • /etc/opt/microsoft/scx

    • /var/opt/microsoft/scx

  • 実行中の kill エージェント プロセスに対して Operations Manager コマンドを実行する権限。

  • Operations Manager エージェントを開始する権限。

  • Operations Manager エージェントを含むシステム デーモンを、そのためのプラット フォーム ツールを使用して追加および削除する権限。

  • catlspwdcpmvrmgzip (または同等) などの、基本的な UNIX および Linux コマンドを実行する権限。