Udostępnij za pośrednictwem

Uwierzytelnianie i szyfrowanie danych w programie Operations Manager

Program System Center Operations Manager składa się z takich funkcji jak serwer zarządzania, serwer bramy, serwer raportowania, operacyjna baza danych, magazyn danych raportowania, agent, konsola internetowa i konsola operacyjna. W tym artykule wyjaśniono, jak jest wykonywane uwierzytelnianie i identyfikuje kanały połączenia, w których dane są szyfrowane.

Uwierzytelnianie oparte na certyfikatach

Jeśli agenta programu Operations Manager i serwera zarządzania oddziela niezaufany las lub granica grupy roboczej, należy zaimplementować uwierzytelnianie oparte na certyfikatach. Poniższe sekcje zawierają informacje o tych sytuacjach i konkretnych procedurach uzyskiwania i instalowania certyfikatów z urzędów certyfikacji opartych na systemie Windows.

Konfigurowanie komunikacji między agentami i serwerami zarządzania w ramach tej samej granicy zaufania

Agent i serwer zarządzania używają uwierzytelniania systemu Windows, aby wzajemnie się uwierzytelniać, zanim serwer zarządzania akceptuje dane z agenta. Protokół Kerberos w wersji 5 jest domyślną metodą dostarczania uwierzytelniania. Aby uwierzytelnianie wzajemne oparte na protokole Kerberos działało, agenci i serwer zarządzania muszą być instalowani w domenie usługi Active Directory. Jeśli agent i serwer zarządzania znajdują się w oddzielnych domenach, musi istnieć pełne zaufanie między domenami. W tym scenariuszu po przeprowadzeniu wzajemnego uwierzytelniania kanał danych między agentem a serwerem zarządzania jest szyfrowany. Do przeprowadzenia uwierzytelniania i szyfrowania nie jest wymagana interwencja użytkownika.

Konfigurowanie komunikacji między agentami a serwerami zarządzania przez granice zaufania.

Agent (lub agenci) może zostać wdrożony w domenie B, która jest niezależna od serwera zarządzania w domenie A, a między domenami może nie istnieć żadne dwukierunkowe zaufanie. Ponieważ nie ma zaufania między dwiema domenami, agenci w jednej domenie nie mogą uwierzytelniać się za pomocą serwera zarządzania w innej domenie przy użyciu protokołu Kerberos. Wzajemne uwierzytelnianie między funkcjami programu Operations Manager w każdej domenie nadal występuje.

Rozwiązaniem tej sytuacji jest zainstalowanie serwera bramy w tej samej domenie, w której znajdują się agenci, a następnie zainstalowanie certyfikatów na serwerze bramy i serwerze zarządzania w celu osiągnięcia wzajemnego uwierzytelniania i szyfrowania danych. Użycie serwera bramy oznacza, że potrzebny jest tylko jeden certyfikat w domenie B i tylko jeden port przez zaporę, jak pokazano na poniższej ilustracji.

Ilustracja przedstawiająca monitorowanie niezaufanego agenta za pomocą bramy.

Ustawianie komunikacji na poziomie domeny – granice grupy roboczej

W środowisku może istnieć jeden lub dwa agenty wdrożone w grupie roboczej wewnątrz zapory. Agent w grupie roboczej nie może uwierzytelniać się za pomocą serwera zarządzania w domenie przy użyciu protokołu Kerberos. Rozwiązaniem tej sytuacji jest zainstalowanie certyfikatów zarówno na komputerze hostujących agenta, jak i na serwerze zarządzania, z którym nawiązuje połączenie agent, jak pokazano na poniższej ilustracji.

Uwaga

W tym scenariuszu agent musi być zainstalowany ręcznie.

Ilustracja przedstawiająca monitorowanie niezaufanego agenta w grupie roboczej.

Wykonaj następujące kroki zarówno na komputerze hostowym agenta, jak i na serwerze zarządzania przy użyciu tego samego urzędu certyfikacji (CA) dla każdego z nich:

  1. Zażądaj certyfikatów z urzędu certyfikacji.
  2. Zatwierdź żądania certyfikatów w urzędzie certyfikacji.
  3. Zainstaluj zatwierdzone certyfikaty w sklepach certyfikatów komputera.
  4. Skonfiguruj program Operations Manager za pomocą narzędzia MOMCertImport.

Uwaga

Certyfikaty z elementem KEYSPEC innym niż 1 nie są obsługiwane.

Są to te same kroki instalowania certyfikatów na serwerze bramy, z wyjątkiem tego, że narzędzie zatwierdzania bramy nie jest instalowane ani uruchamiane

Potwierdzanie instalacji certyfikatu

Jeśli certyfikat został poprawnie zainstalowany, następujące zdarzenie jest zapisywane w dzienniku zdarzeń programu Operations Manager.

Typ Źródło Identyfikator zdarzenia Ogólne
Informacja Łącznik programu OpsMgr 20053 Łącznik programu OpsMgr pomyślnie załadował określony certyfikat uwierzytelniania.

Podczas konfigurowania certyfikatu uruchamiasz narzędzie MOMCertImport. Po zakończeniu narzędzia MOMCertImport numer seryjny zaimportowanego certyfikatu jest zapisywany w rejestrze w następującym podkluczu.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Uwaga

Niewłaściwe edytowanie rejestru może poważnie uszkodzić system. Przed wprowadzeniem zmian w rejestrze należy wykonać kopię zapasową wszelkich wartościowych danych przechowywanych na komputerze.

Uwierzytelnianie i szyfrowanie danych między serwerem zarządzania, serwerem bramy i agentami

Komunikacja między tymi funkcjami programu Operations Manager rozpoczyna się od wzajemnego uwierzytelniania. Jeśli certyfikaty znajdują się na obu końcach kanału komunikacji, certyfikaty będą używane do wzajemnego uwierzytelniania; w przeciwnym razie jest używany protokół Kerberos w wersji 5. Jeśli jakiekolwiek dwie funkcje są rozdzielone przez niezaufaną domenę, należy przeprowadzić wzajemne uwierzytelnianie przy użyciu certyfikatów. Normalna komunikacja, taka jak zdarzenia, alerty i wdrożenie pakietu administracyjnego, odbywa się w tym kanale. Poprzednia ilustracja pokazuje przykład alertu generowanego na jednym z agentów, a następnie kierowanego do serwera zarządzania. Od agenta do serwera bramy pakiet zabezpieczeń Protokołu Kerberos jest używany do szyfrowania danych, ponieważ serwer bramy i agent znajdują się w tej samej domenie. Alert zostanie odszyfrowany przez serwer bramy i ponownie zaszyfrowany przy użyciu certyfikatów dla serwera zarządzania. Serwer bramy wysyła zaszyfrowany komunikat do serwera zarządzania, na którym serwer zarządzania odszyfrowuje alert. Niektóre połączenia między serwerem zarządzania a agentem mogą obejmować informacje o poświadczeniach; na przykład dane konfiguracji i zadania. Kanał danych między agentem a serwerem zarządzania dodaje kolejną warstwę szyfrowania oprócz normalnego szyfrowania kanału. Nie jest wymagana interwencja użytkownika.

Serwer zarządzania i konsola operacji, serwer konsoli sieciowej i serwer raportowania

Uwierzytelnianie i szyfrowanie danych między serwerem zarządzania a konsolą Operacje, serwerem konsoli sieci Web lub serwerem raportowania jest realizowane przy użyciu technologii Windows Communication Foundation (WCF). Początkowa próba uwierzytelnienia jest podejmowana przy użyciu poświadczeń użytkownika. Najpierw podjęto próbę protokołu Kerberos. Jeśli protokół Kerberos nie działa, zostanie podjęta inna próba użycia protokołu NTLM. Jeśli uwierzytelnianie nadal nie powiedzie się, użytkownik zostanie poproszony o podanie poświadczeń. Po uwierzytelnieniu strumień danych jest szyfrowany jako funkcja protokołu Kerberos lub SSL, jeśli jest używany protokół NTLM.

W przypadku serwera raportowania i serwera zarządzania po uwierzytelnieniu zostanie nawiązane połączenie danych między serwerem zarządzania i programem SQL Server Reporting Server. Jest to realizowane wyłącznie przy użyciu protokołu Kerberos; dlatego serwer zarządzania i serwer raportowania muszą znajdować się w zaufanych domenach. Aby uzyskać więcej informacji na temat programu WCF, zobacz artykuł MSDN What is Windows Communication Foundation (Co to jest program Windows Communication Foundation).

Serwer zarządzania i magazyn danych raportowania

Między serwerem zarządzania a magazynem danych raportowania istnieją dwa kanały komunikacyjne:

  • Host procesu monitorowania uruchomiony przez usługę zarządzania kondycją (usługę System Center Management) na serwerze zarządzania
  • Usługi System Center Data Access na serwerze zarządzania

Monitorowanie procesu hosta i magazynu danych raportowania

Domyślnie proces hosta monitorowania uruchamiany przez Usługę kondycji, który jest odpowiedzialny za zapisywanie zebranych zdarzeń i liczników wydajności w magazynie danych, uzyskuje zintegrowane uwierzytelnianie systemu Windows, działając jako Konto Pisarza Danych określone podczas konfigurowania raportowania. Poświadczenia konta są bezpiecznie przechowywane na koncie typu Run As Account o nazwie Data Warehouse Action Account. To konto Run As jest członkiem profilu Run As o nazwie "Konto magazynu danych" (który jest powiązany z faktycznymi regułami zbierania danych).

Jeśli magazyn danych raportowania i serwer zarządzania są oddzielone granicą zaufania (na przykład każda z nich znajduje się w różnych domenach bez zaufania), zintegrowane uwierzytelnianie systemu Windows nie będzie działać. Aby obejść tę sytuację, proces monitorujący hosta może połączyć się z magazynem danych raportowania za pomocą uwierzytelniania SQL Server. Aby to zrobić, utwórz nowe konto typu prostego Run As z poświadczeniami konta SQL i przypisz je do profilu Run As o nazwie Konto uwierzytelniania SQL Server dla magazynu danych, ustawiając serwer zarządzania jako komputer docelowy.

Ważne

Domyślnie profil "Uruchom jako" i konto uwierzytelniania SQL Server dla hurtowni danych zostało przypisane przy użyciu konta "Uruchom jako" o tej samej nazwie. Nigdy nie wprowadzaj żadnych zmian na koncie skojarzonym z profilem Run As, kontem uwierzytelniania SQL Server w hurtowni danych. Zamiast tego utwórz własne konto oraz konto "Uruchom jako" i przypisz to konto jako członka profilu "Uruchom jako", a także jako konto uwierzytelniania SQL Server w Data Warehouse podczas konfigurowania uwierzytelniania SQL Server.

Poniżej opisano relację różnych poświadczeń kont, kont Uruchom jako oraz profili Uruchom jako w uwierzytelnianiu zintegrowanym Windows oraz uwierzytelnianiu SQL Server.

Ustawienie domyślne: Zintegrowane uwierzytelnianie systemu Windows

  1. Profil Uruchom jako: Konto dla magazynu danych

    • Konto uruchom jako: działanie hurtowni danych
    • Poświadczenia konta: konto do zapisywania danych (specyfikowane podczas konfiguracji)

  2. Uruchom jako profil: Konto uwierzytelniania SQL Server dla magazynu danych

    • Konto Uruchom jako: Uwierzytelnianie programu SQL Server w usłudze Data Warehouse
    • Poświadczenia konta: specjalne konto utworzone przez program Operations Manager (nie zmieniaj)

Opcjonalnie: Uwierzytelnianie programu SQL Server

  1. Profil Uruchom jako: Konto uwierzytelniania programu SQL Server w usłudze Data Warehouse
    • Konto Uruchom jako: Konto Uruchom jako, które określiłeś podczas instalacji.
    • Poświadczenia konta: konto określone podczas konfiguracji.

Usługa System Center Data Access i magazyn danych raportowania

Domyślnie usługa System Center Data Access, która jest odpowiedzialna za odczytywanie danych z magazynu danych raportowania i udostępnianie go w obszarze parametrów raportu, uzyskuje zintegrowane uwierzytelnianie systemu Windows, uruchamiając jako usługę dostępu do danych i konto usługi konfiguracji zdefiniowane podczas konfigurowania programu Operations Manager.

Jeśli magazyn danych raportowania i serwer zarządzania są oddzielone granicą zaufania (na przykład każda z nich znajduje się w różnych domenach bez zaufania), zintegrowane uwierzytelnianie systemu Windows nie będzie działać. Aby obejść tę sytuację, usługa System Center Data Access może nawiązać połączenie z magazynem danych raportowania przy użyciu uwierzytelniania programu SQL Server. W tym celu utwórz nowe konto Uruchom jako (typu prostego konta) z poświadczeniami konta SQL i przypisz je do profilu Uruchom jako o nazwie Konto uwierzytelniania SQL Server programu Reporting SDK, gdzie serwer zarządzania jest komputerem docelowym.

Ważne

Domyślnie konto uwierzytelniania programu SQL Server dla zestawu SDK raportowania zostało przypisane do specjalnego konta przy użyciu konta Uruchom jako o tej samej nazwie. Nigdy nie wprowadzaj żadnych zmian na koncie skojarzonym z profilem Run As, kontem uwierzytelniania SQL Server dla zestawu SDK do raportowania. Zamiast tego utwórz własne konto oraz własne konto Uruchom jako. Następnie dodaj konto Uruchom jako jako członka profilu Uruchom jako, a także jako konto uwierzytelniania SQL Server w ramach konfiguracji zestawu SDK raportowania.

Poniżej opisano relację różnych poświadczeń kont, kont Uruchom jako oraz profili Uruchom jako w uwierzytelnianiu zintegrowanym Windows oraz uwierzytelnianiu SQL Server.

Ustawienie domyślne: Zintegrowane uwierzytelnianie systemu Windows

  1. Usługa dostępu do danych i konto usługi konfiguracji (zdefiniowane podczas konfigurowania programu Operations Manager)

    • Uruchom jako profil: konto uwierzytelniania SQL Server dla zestawu SDK do raportowania
    • Konto Uruchom jako: Konto uwierzytelniania SQL Server dla zestawu SDK do raportowania
    • Poświadczenia konta: specjalne konto utworzone przez program Operations Manager (nie zmieniaj)

  2. Opcjonalnie: Uwierzytelnianie programu SQL Server

    • Uruchom jako profil: Konto uwierzytelniania SQL Server dla magazynu danych
    • Konto Uruchom jako: Konto Uruchom jako, które określiłeś podczas instalacji.
    • Poświadczenia konta: konto określone podczas konfiguracji.

Konsola operacji i serwer raportowania

Konsola Operacje łączy się z serwerem raportowania na porcie 80 przy użyciu protokołu HTTP. Uwierzytelnianie jest wykonywane przy użyciu uwierzytelniania systemu Windows. Dane mogą być szyfrowane przy użyciu kanału SSL.

Serwer raportowania i magazyn danych raportowania

Uwierzytelnianie między serwerem raportowania a magazynem danych raportowania odbywa się przy użyciu uwierzytelniania systemu Windows. Konto określone jako konto czytelnika danych podczas konfigurowania raportowania staje się kontem wykonywania na serwerze raportowania. Jeśli hasło konta powinno ulec zmianie, musisz wprowadzić tę samą zmianę hasła przy użyciu programu Reporting Services Configuration Manager w programie SQL Server. Dane między serwerem raportowania i magazynem danych raportowania nie są szyfrowane.