Beveiligingsreferenties plannen voor toegang tot UNIX- en Linux-computers
Belangrijk
Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.
In dit artikel worden de referenties beschreven die nodig zijn voor het installeren, onderhouden, upgraden en verwijderen van agents op een UNIX- of Linux-computer.
In Operations Manager gebruikt de beheerserver twee protocollen om met de UNIX- of Linux-computer te communiceren:
Secure Shell (SSH) en Secure Shell File Transfer Protocol (SFTP)
- Gebruikt voor het installeren, upgraden en verwijderen van agents.
Webservicebeheer (WS-Management)
- Gebruikt voor alle bewakingsbewerkingen, inclusief de detectie van reeds geïnstalleerde agents.
Welk protocol wordt gebruikt, hangt af van de actie of gegevens waarom op de beheerserver wordt gevraagd. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, worden geconfigureerd om voorgedefinieerde profielen te gebruiken overeenkomstig hun behoefte aan een niet-beschermd of beschermd account.
In Operations Manager hoeft de systeembeheerder niet langer het hoofdwachtwoord van de UNIX- of Linux-computer op te geven aan de beheerserver. Nu kan door uitbreiding van bevoegdheden een niet-beschermd account de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het proces van uitbreiding van bevoegdheden wordt uitgevoerd door de UNIX-programma's su (superuser) en sudo, die gebruikmaken van de referenties die worden geleverd door de beheerserver. Voor beschermde agentonderhoudsbewerkingen die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, installatie ongedaan maken en agentherstel), wordt ondersteuning van su, sudo-uitbreiding en ondersteuning voor SSH-sleutelverificatie geboden. Voor beschermde WS-Management-bewerkingen (zoals het bekijken van beveiligde logbestanden), wordt ondersteuning toegevoegd voor sudo-uitbreiding (zonder wachtwoord).
Referenties voor de installatie van agents
Operations Manager gebruikt het SSH-protocol (Secure Shell) om een agent te installeren en WS-Management (Web Services for Management) om agents die in een eerder stadium zijn geïnstalleerd, te detecteren. Voor de installatie is een bevoegd account op de UNIX- of Linux-computer vereist. Er zijn twee manieren om referenties aan de doelcomputer door te geven, die zijn verkregen met de wizard Computer- en apparaatbeheer:
Geef een gebruikersnaam en wachtwoord op.
Het SSH-protocol gebruikt het wachtwoord om een agent of het protocol WS-Management te installeren als de agent al is geïnstalleerd door gebruik te maken van een getekend certificaat.
Geef een gebruikersnaam en een SSH-sleutel op. De sleutel kan een optionele wachtwoordzin bevatten.
Als u de referenties voor een bevoegd account niet gebruikt, kunt u aanvullende referenties opgeven, zodat uw account een bevoegd account wordt via uitbreiding van toegangsrechten op de UNIX- of Linux-computer.
De installatie wordt pas voltooid als de agent is geverifieerd. Agentverificatie wordt uitgevoerd door het protocol WS-Management dat referenties gebruikt die op de beheerserver worden onderhouden, los van het bevoegde account dat wordt gebruikt om de agent te installeren. U moet een gebruikersnaam en wachtwoord opgeven voor agentverificatie als u een van de volgende handelingen hebt uitgevoerd:
U hebt een bevoegd account opgegeven met behulp van een sleutel.
U hebt een onbevoegd account opgegeven dat moet worden uitgebreid met een sudo-uitbreiding met een sleutel.
U hebt de wizard uitgevoerd met Alleen computers waarop de UNIX-/Linux-agent is geïnstalleerd als Detectietype.
U kunt de agent, inclusief het bijbehorende certificaat, ook handmatig op de UNIX- of Linux-computer installeren en vervolgens de betreffende computer detecteren. Dit is de veiligste manier om agents te installeren. Zie Agent en certificaat op UNIX- en Linux-computers installeren met de opdrachtregel voor meer informatie.
Referenties voor het bewaken van bewerkingen en het uitvoeren van agentonderhoud
Operations Manager bevat drie voorgedefinieerde profielen die moeten worden gebruikt voor het bewaken van UNIX- en Linux-computers en het uitvoeren van agentonderhoud:
Actieaccount voor UNIX/Linux
Dit profiel is een niet-bevoegd accountprofiel dat voor basisstatus en -prestaties vereist is.
Bevoegd account voor UNIX/Linux
Dit profiel is een bevoegd accountprofiel dat wordt gebruikt om beveiligde bronnen zoals logboekbestanden te bewaken
Onderhoudsaccount voor UNIX/Linux
Dit profiel wordt gebruikt voor bevoegde onderhoudsbewerkingen, zoals het bijwerken en verwijderen van agents.
In de management packs voor UNIX en Linux worden alle regels, monitors, taken, herstelbewerkingen en andere elementen van management packs zo geconfigureerd dat deze profielen worden gebruikt. Er is dus geen vereiste om extra profielen te definiëren met behulp van de wizard Uitvoeren als-profielen, tenzij dit door speciale omstandigheden wordt bepaald. De profielen zijn niet cumulatief qua bereik. Het unix-/Linux-onderhoudsaccountprofiel kan bijvoorbeeld niet worden gebruikt in plaats van de andere profielen omdat het is geconfigureerd met behulp van een bevoegd account.
In Operations Manager kan een profiel pas werken als het is gekoppeld aan ten minste één Uitvoeren als-account. De referenties voor de toegang tot UNIX- of Linux-computers worden geconfigureerd in de Run As-accounts. Omdat er geen voorgedefinieerde Run As-accounts voor UNIX- en Linux-bewaking zijn, moet u ze zelf maken.
Als u een Uitvoeren als-account wilt maken, moet u de wizard Uitvoeren als-account voor UNIX/Linux uitvoeren die beschikbaar is wanneer u UNIX-/Linux-accounts in de werkruimte Beheer selecteert. De wizard maakt een Run As-account op basis van de selectie van een Run As-accounttype. Er zijn twee Run As-accounttypen:
Bewakingsaccount
Dit account gebruikt u voor voortdurende status- en prestatiebewaking in bewerkingen waarbij met behulp van WS-Management wordt gecommuniceerd.
Agentonderhoudsaccount
Dit account gebruikt u voor agentonderhoud zoals het updaten en het ongedaan maken van de installatie van de agent in bewerkingen waarbij met SSH wordt gecommuniceerd.
U kunt Run As-accounttypen voor verschillende toegangsniveaus configureren op basis van de referenties die u opgeeft. Referenties kunnen niet-bevoegde of bevoegde accounts zijn, of niet-bevoegde accounts die naar bevoegde accounts worden uitgebreid. In de volgende tabellen ziet u de relaties tussen profielen, Run As-accounts en toegangsniveaus.
| Profielen | Run As-accounttype | Toegestane toegangsniveaus |
|---|---|---|
| Actieaccount voor UNIX/Linux | Bewakingsaccount | - Niet-gemachtigd -Bevoorrechte - Niet-gemachtigd, verhoogd naar bevoegd |
| Bevoegd account voor UNIX/Linux | Bewakingsaccount | -Bevoorrechte - Niet-gemachtigd, verhoogd naar bevoegd |
| Onderhoudsaccount voor UNIX/Linux | Agentonderhoudsaccount | -Bevoorrechte - Niet-gemachtigd, verhoogd naar bevoegd |
Notitie
Er zijn drie profielen, maar slechts twee Typen Uitvoeren als-accounts.
Wanneer u een Run As-accounttype Bewakingsaccount opgeeft, moet u een gebruikersnaam en wachtwoord opgeven die door het protocol WS-Management worden gebruikt. Wanneer u een Run As-accounttype Agentonderhoudsaccount opgeeft, moet u opgeven hoe de referenties aan de doelcomputer worden doorgegeven met gebruikmaking van het SSH-protocol:
Geef een gebruikersnaam en wachtwoord op.
Geef een gebruikersnaam en sleutel op. U kunt een optionele wachtwoordzin opnemen.
Nadat u de Run As-accounts hebt gemaakt, moet u de UNIX- en Linux-profielen bewerken om deze te koppelen aan de Run As-accounts die u hebt gemaakt. Zie Uitvoeren als-accounts en -profielen maken voor UNIX- en Linux-toegang voor gedetailleerde instructies.
Belangrijke beveiligingsoverwegingen
De Linux-/UNIX-agent van Operations Manager maakt gebruik van het standaard PAM-mechanisme (Pluggable Authentication Module) op de Linux- of UNIX-computer om de gebruikersnaam en het wachtwoord in het Action Profile en Privilege Profile te verifiëren. Elke gebruikersnaam met een wachtwoord dat door PAM wordt geverifieerd, kan bewakingsfuncties uitvoeren, zoals het uitvoeren van opdrachtregels en scripts voor het verzamelen van gegevens. Dergelijke bewakingsfuncties worden altijd uitgevoerd in de context van die gebruikersnaam (tenzij sudo-uitbreiding expliciet is ingeschakeld voor die gebruikersnaam), zodat de Operations Manager-agent niet meer mogelijkheden biedt dan wanneer de gebruikersnaam zich zou aanmelden bij het Linux-/UNIX-systeem.
Voor de PAM-verificatie die door de Operations Manager-agent wordt gebruikt, is echter niet vereist dat aan de gebruikersnaam een interactieve shell is gekoppeld. Als uw Linux-/UNIX-accountbeheerprocedures het verwijderen van de interactieve shell omvatten als een manier om een account pseudo-uitschakelen, voorkomt een dergelijke verwijdering niet dat het account wordt gebruikt om verbinding te maken met de Operations Manager-agent en bewakingsfuncties uit te voeren. In deze gevallen moet u extra PAM-configuratie gebruiken om ervoor te zorgen dat deze pseudo-uitgeschakelde accounts niet worden geverifieerd bij de Operations Manager-agent.
Referenties voor het upgraden van agents en het ongedaan maken van de installatie van agents
De Wizard Upgrade uitvoeren van UNIX/Linux-agent en de Wizard UNIX/Linux-agent verwijderen geven referenties aan de bijbehorende doelcomputers door. De wizards vragen u eerst om de doelcomputers te selecteren die u wilt upgraden of verwijderen en vervolgens voorzien ze in opties voor het doorgeven van referenties aan de doelcomputer:
Werken met bestaande gekoppelde Uitvoeren als-accounts
Selecteer deze optie als u de referenties wilt gebruiken die aan het profiel voor het actie-account voor UNIX/Linux en aan het profiel voor het agentonderhoudsaccount voor UNIX/Linux zijn gekoppeld.
De wizard waarschuwt u als een of meer van de geselecteerde computers geen gekoppeld Uitvoeren als-account hebben in de vereiste profielen. In dat geval moet u teruggaan en de computers wissen die geen gekoppeld Uitvoeren als-account hebben of referenties opgeven.
Referenties opgeven
Selecteer deze optie als u SSH-referenties (Secure Shell) wilt opgeven met een gebruikersnaam en een wachtwoord of een gebruikersnaam en een sleutel. U kunt desgewenst een wachtwoordzin met een sleutel opgeven. Als de referenties niet voor een bevoegd account zijn, kunt u ze laten verhogen naar een bevoegd account op de doelcomputer met behulp van de UNIX su- of sudo-uitbreidingsprogramma's. Voor de 'su'-uitbreiding is een wachtwoord vereist. Als u sudo-uitbreiding gebruikt, wordt u gevraagd om een gebruikersnaam en wachtwoord voor agentverificatie met behulp van een onbevoegd account.