Compartilhar via


Planear Credenciais de Segurança para Aceder a Computadores UNIX e Linux

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.

Este artigo descreve as credenciais necessárias para instalar, manter, atualizar e desinstalar agentes num computador UNIX ou Linux.

No Operations Manager, o servidor de gestão utiliza dois protocolos para comunicar com o computador UNIX ou Linux:

  • Secure Shell (SSH) e Protocolo SFTP (Secure Shell File Transfer)

    • Utilizado para instalar, atualizar e remover agentes.
  • Serviços Web para Gestão (WS-Management)

    • Utilizado para todas as operações de monitorização e inclui a deteção de agentes que já foram instalados.

O protocolo utilizado depende da ação ou informações solicitadas no servidor de gestão. Todas as ações, como manutenção do agente, monitores, regras, tarefas e recuperações, são configuradas para utilizar perfis predefinidos de acordo com a respetiva necessidade de uma conta sem privilégios ou com privilégios.

No Operations Manager, o administrador de sistema já não é obrigado a fornecer a palavra-passe raiz do computador UNIX ou Linux ao servidor de gestão. Agora por elevação, uma conta sem privilégios pode assumir a identidade de uma conta com privilégios no computador UNIX ou Linux. O processo de elevação é efetuado pelo UNIX su (superutilizador) e programas sudo que utilizam as credenciais que o servidor de gestão fornece. Para operações de manutenção do agente com privilégios que utilizam SSH (como por exemplo deteção, implementação, atualizações, desinstalação e recuperação de agente), é fornecido suporte para su, elevação de su e suporte para autenticação da chave SSH (sem ou com frase de acesso). Para operações de WS-Management com privilégios (como por exemplo visualização de ficheiros de registo seguro), é adicionado suporte para elevação de sudo (sem palavra-passe).

Credenciais para instalar agentes

O Operations Manager utiliza o protocolo Secure Shell (SSH) para instalar um agente e Serviços Web para Gestão (WS-Management) para detetar agentes instalados anteriormente. A instalação necessita de uma conta com privilégios no computador UNIX ou Linux. Existem duas formas de fornecer credenciais ao computador de destino, tal como obtidas pelo Assistente de Gestão de Computadores e Dispositivos:

  • Especifique um nome de utilizador e palavra-passe.

    O protocolo SSH utiliza a palavra-passe para instalar um agente ou o protocolo WS-Management, se o agente já tiver sido instalado utilizando um certificado assinado.

  • Especifique um nome de utilizador e uma chave SSH. A chave pode incluir uma frase de acesso opcional.

Se não estiver a utilizar as credenciais de uma conta com privilégios, pode fornecer credenciais adicionais para que a sua conta se torne uma conta privilegiada através da elevação de privilégios no computador UNIX ou Linux.

A instalação só é concluída quando o agente for verificado. A verificação do agente é efetuada pelo protocolo WS-Management que utiliza credenciais mantidas no servidor de gestão, separadas da conta com privilégios utilizada para instalar o agente. Tem de fornecer um nome de utilizador e uma palavra-passe para a verificação do agente se tiver feito um dos seguintes procedimentos:

  • Forneceu uma conta com privilégios utilizando uma chave.

  • Forneceu uma conta sem privilégios para ser elevada utilizando sudo com uma chave.

  • Executou o assistente com Tipo de Deteção definido para Detetar apenas os computadores com o agente de UNIX/Linux instalado.

Em alternativa, pode instalar manualmente o agente, incluindo o respetivo certificado, no computador UNIX ou Linux e, em seguida, detetar esse computador. Este método é a forma mais segura para instalar agentes. Para obter mais informações, veja Instalar o Agente e o Certificado em Computadores UNIX e Linux Utilizando a Linha de Comandos.

Credenciais para monitorizar operações e efetuar a manutenção de agente

O Operations Manager contém três perfis predefinidos para monitorizar computadores com UNIX e Linux e efetuar a manutenção de agente:

  • Conta de ação do UNIX/Linux

    Este é um perfil de conta sem privilégios necessário para o estado de funcionamento básico e para a monitorização do desempenho.

  • Conta com privilégios do UNIX/Linux

    Este é um perfil de conta com privilégios para monitorizar os recursos protegidos, como ficheiros de registo.

  • Conta de manutenção do UNIX/Linux

    Este perfil é utilizado para operações de manutenção com privilégios, como atualizar e remover agentes.

Nos pacotes de gestão do UNIX e Linux, todas as regras, monitores, tarefas, recuperações e outros elementos do pacote de gestão estão configurados para utilizar estes perfis. Portanto, não existe nenhum requisito para definir perfis adicionais com o Assistente de Perfis Run As, a menos que circunstâncias especiais o ditem. Os perfis não são cumulativos no âmbito. Por exemplo, o perfil de conta de manutenção UNIX/Linux não pode ser utilizado em vez dos outros perfis simplesmente porque está configurado com uma conta com privilégios.

No Operations Manager, um perfil não pode funcionar até estar associado a, pelo menos, uma conta Run As. As credenciais para aceder a computadores com UNIX ou Linux são configuradas nas contas Run As. Como não existem contas Run As predefinidas para monitorização do UNIX e Linux, tem de as criar.

Para criar uma conta Run As, tem de executar o Assistente de Conta Run As de UNIX/Linux que está disponível quando seleciona Contas UNIX/Linux na área de trabalho Administração. O assistente cria uma conta Run As baseada na escolha de um tipo de conta Run As. Existem dois tipos de conta Run As:

  • Conta de monitorização

    Utilize esta conta para a monitorização contínua de desempenho e estado de funcionamento nas operações que comunicam através da utilização de WS-Management.

  • Conta de manutenção de agente

    Utilize esta conta para a manutenção de agente, como por exemplo atualização e desinstalação, em operações que comunicam utilizando SSH.

É possível configurar estes tipos de contas Run As para diferentes níveis de acesso, em conformidade com as credenciais fornecidas. As credenciais podem ser com privilégios, contas com privilégios ou contas sem privilégios que serão igualmente elevadas para contas com privilégios. A tabela seguinte mostra as relações entre perfis, contas Run As e níveis de acesso.

Perfis Tipo de conta Run As Níveis de Acesso Permitidos
Conta de ação do UNIX/Linux Conta de monitorização - Sem privilégios
- Privilegiado
- Sem privilégios, elevado a privilegiado
Conta com privilégios do UNIX/Linux Conta de monitorização - Privilegiado
- Sem privilégios, elevado a privilegiado
Conta de manutenção do UNIX/Linux Conta de manutenção de agente - Privilegiado
- Sem privilégios, elevado a privilegiado

Nota

Existem três perfis, mas apenas dois tipos de Conta Run As.

Quando especifica um Tipo de Conta Run As de Monitorização, tem de especificar um nome de utilizador e palavra-passe para ser utilizado pelo protocolo WS-Management. Quando especifica um Tipo de Conta Run As de Monitorização de Agente, tem de especificar a forma como as credenciais são fornecidas ao computador de destino utilizando o protocolo SSH:

  • Especifique um nome de utilizador e uma palavra-passe.

  • Especifique um nome de utilizador e uma chave. Pode incluir uma frase de acesso opcional.

Depois de criar as contas Run As, tem de editar os perfis de UNIX e Linux para os associar às contas Run As criadas. Para obter instruções detalhadas, veja Como Configurar Contas e Perfis Run As para Acesso de UNIX e Linux

Considerações de segurança importantes

O agente Linux/Unix do Operations Manager utiliza o mecanismo PAM (Pluggable Authentication Module) padrão no computador Linux ou UNIX para autenticar o nome de utilizador e palavra-passe especificado no Perfil de Ação e Perfil Privilegiado. Qualquer nome de utilizador com uma palavra-passe que o PAM autentique pode efetuar funções de monitorização, incluindo executar scripts e linhas de comando que recolhem dados de monitorização. Estas funções de monitorização são sempre executadas no contexto desse nome de utilizador (a menos que a elevação sudo esteja explicitamente ativada para esse nome de utilizador), pelo que o agente do Operations Manager não fornece mais capacidade do que se o nome de utilizador iniciasse sessão no sistema Linux/UNIX.

No entanto, a autenticação PAM utilizada pelo agente do Operations Manager não requer que o nome de utilizador tenha uma shell interativa associada à mesma. Se as práticas de gestão da conta Linux/UNIX incluírem remover a shell interativa como forma de pseudo-desativar uma conta, essa remoção não impede que a conta seja utilizada para ligar ao agente do Operations Manager e executar funções de monitorização. Nestes casos, deve utilizar uma configuração de PAM adicional para garantir que estas contas pseudo-desativadas não se autenticam no agente do Operations Manager.

Credenciais para atualizar e desinstalar agentes

O Assistente de Atualização do Agente UNIX/Linux e o Assistente de Desinstalação do Agente UNIX/Linux fornecem credenciais aos respetivos computadores de destino. Em primeiro lugar, os assistentes pedem para selecionar os computadores de destino a atualizar ou desinstalar, em seguida, pedem as opções da forma de fornecimento das credenciais ao computador de destino:

  • Utilizar Contas Run As associadas existentes

    Selecione esta opção para utilizar as credenciais associadas ao perfil de conta de ação de UNIX/Linux e o perfil de conta de manutenção de UNIX/Linux.

    O assistente alerta-o se um ou mais dos computadores selecionados não tiverem uma conta Run As associada nos perfis necessários, caso em que tem de voltar atrás e limpar os computadores que não têm uma conta Run As associada ou especificar credenciais.

  • Especificar credenciais

    Selecione esta opção para especificar credenciais Secure Shell (SSH), utilizando um nome de utilizador e uma palavra-passe ou um nome de utilizador e uma chave. Opcionalmente, pode fornecer uma frase de acesso com uma chave. Se as credenciais não forem para uma conta com privilégios, pode elevá-las para uma conta com privilégios no computador de destino através dos programas de elevação su ou sudo UNIX. A elevação de 'su' necessita de uma palavra-passe. Se utilizar a elevação sudo, ser-lhe-á pedido um nome de utilizador e uma palavra-passe para verificação do agente através de uma conta sem privilégios.