Opublikowano: marzec 2016
Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Dostęp do komputerów z systemami UNIX i Linux w programie System Center 2012 – Operations Manager odbywa się w ramach trzech profilów Uruchom jako. Jeden profil jest skojarzony z nieuprzywilejowanym kontem, a pozostałe dwa z uprzywilejowanym lub nieuprzywilejowanym kontem z podwyższonym poziomem uprawnień przy użyciu funkcji sudo lub su.
Ogólnie rzecz biorąc, uprzywilejowane konto ma takie same możliwości jak konto główne systemu UNIX i Linux, natomiast możliwości konta nieuprzywilejowanego odpowiadają normalnemu kontu użytkownika. Jednak w pewnych wersjach komputerów z systemami UNIX i Linux, po użyciu funkcji sudo w celu podniesienia uprawnień do kont można przypisać więcej możliwości. W celu pomocy w określeniu tych przypisań poniższa tabela zawiera określone możliwości wymagane przez konta przypisane do każdego z trzech profilów Uruchom jako. Poniższe opisy mają dość ogólny charakter, ponieważ informacje, takie jak ścieżki systemu plików, mogą się różnić w różnych wersjach komputerów z systemami UNIX i Linux.
Uwaga
Poniższa tabela zawiera opis możliwości wymaganych przez konta do komunikacji z agentem programu Operations Manager lub zarządzanym komputerem z systemem UNIX albo Linux, ale sam agent musi zawsze działać w ramach konta głównego na komputerze UNIX lub Linux.
Profil działania |
Logowanie komputera z systemem UNIX lub Linux do sieci, uwierzytelniane przez moduły uwierzytelniania łączonego (PAM). Musi mieć możliwość uruchomienia powłoki w tle (brak połączenia z TTY). Logowania interakcyjne nie są wymagane. Odczytywanie plików dzienników określonych podczas tworzenia niestandardowego monitora pliku dziennika jako nieuprzywilejowane, a także możliwość uruchamiania polecenia /opt/microsoft/scx/bin/scxlogfilereader. Pełne uruchamianie każdego polecenia powłoki poleceń określonego jako nieuprzywilejowane podczas tworzenia monitora, zasady lub zadania wiersza polecenia.
Uwaga Polecenia powłoki systemów UNIX i Linux są zapisywane w katalogu /tmp, wykonywane, a następnie usuwane z katalogu /tmp. Katalog /tmp wymaga uprawnień do uruchamiania, aby można było korzystać z poleceń powłoki systemów UNIX i Linux. Aby uruchomić polecenie /usr/bin/vmstat dla zadania Run VMStat. |
Profil uprzywilejowany |
Logowanie komputera z systemem UNIX lub Linux do sieci, uwierzytelniane przez moduły PAM. Musi mieć możliwość uruchomienia powłoki w tle (brak połączenia z TTY). Logowania interakcyjne nie są wymagane. W przypadku konta z uprawnieniami podniesionymi przy użyciu funkcji sudo to wymaganie dotyczy konta przed podniesieniem jego uprawnień. Pełne uruchamianie każdego wiersza polecenia powłoki określonego jako nieuprzywilejowane podczas tworzenia monitora, zasady lub zadania odnajdywania wiersza polecenia.
Uwaga Polecenia powłoki systemów UNIX i Linux są zapisywane w katalogu /tmp, wykonywane, a następnie usuwane z katalogu /tmp. Katalog /tmp wymaga uprawnień do uruchamiania, aby można było korzystać z poleceń powłoki systemów UNIX i Linux. Zapewnienie następujących możliwości monitorowania pliku dziennika:
Odczytywanie monitorowanego pliku dziennika.
Domyślnie pliki dzienników, np. Syslog, zazwyczaj mają ustawiony dostęp tylko do odczytu przez konto główne, a konta przypisane do tego profilu muszą mieć możliwość odczytania tych plików. Nie trzeba nadawać kontom pełnych uprawnień konta głównego. Zamiast tego można zmienić uprawnienia pliku dziennika, aby nadać grupie zabezpieczeń uprawnienia dostępu do odczytu, a następnie dołączyć konta do tej grupy. Uwaga: w przypadku okresowych rotacji pliku dziennika należy upewnić się, że podczas tej procedury nie zostaną utracone uprawnienia grupy. Odczytywanie plików dzienników określonych podczas tworzenia niestandardowego monitora pliku dziennika jako uprzywilejowane. Uruchamianie polecenia /opt/microsoft/scx/bin/scxlogfilereader. Uruchamianie zadań, odzyskiwania i diagnostyki. Te wymagania muszą być spełnione tylko w przypadku, gdy operator programu Operations Manager jawnie postanowi je uruchomić.
Wiele zadań odzyskiwania obejmuje zatrzymanie i ponowne uruchomienie procesu demona. Te zadania odzyskiwania wymagają możliwości uruchomienia interfejsów kontroli usług (np. /etc/init.d dla systemu Linux i svcadm dla systemu Solaris) w celu ich zatrzymania i ponownego uruchomienia. Interfejsy kontroli usług zwykle wymagają możliwości uruchomienia polecenia kill względem procesu demona oraz innych podstawowych poleceń systemów UNIX i Linux. Wymagania dotyczące innych zadań, odzyskiwania i diagnostyki zależą od szczegółów danego działania. |
Profil konserwacji agenta, a także konta używane do instalowania agentów w celu początkowego monitorowania. |
Logowanie komputera z systemem UNIX lub Linux do sieci przy użyciu protokołu Secure Shell (SSH), uwierzytelniane przez moduły PAM. Musi mieć możliwość uruchomienia powłoki w tle (brak połączenia z TTY). Logowania interakcyjne nie są wymagane. W przypadku konta z uprawnieniami podniesionymi przy użyciu funkcji sudo to wymaganie dotyczy konta przed podniesieniem jego uprawnień. Uruchamianie programu instalacyjnego pakietu systemu (np. rpm w systemie Linux) w celu zainstalowania agenta programu Operations Manager. Odczytywanie i zapisywanie poniższych katalogów, a także tworzenie tych katalogów oraz podkatalogów, gdy nie istnieją:
/opt /opt/microsoft /opt/microsoft/scx /etc/opt/microsoft/scx /var/opt/microsoft/scx Uruchamianie polecenia kill względem uruchomionych procesów agenta programu Operations Manager. Uruchamianie agenta programu Operations Manager. Dodawanie i usuwanie demona systemu, z uwzględnieniem agenta programu Operations Manager przy użyciu narzędzi platformy. Uruchamianie podstawowych poleceń systemów UNIX i Linux, takich jak cat, ls, pwd, cp, mv, rm, gzip (lub odpowiedniki). |