Compartilhar via


Planejar credenciais de segurança para acessar computadores Unix e Linux

Este artigo descreve as credenciais necessárias para instalar, manter, atualizar e desinstalar agentes em um computador UNIX ou Linux.

No Operations Manager, o servidor de gerenciamento usa dois protocolos para se comunicar com o computador UNIX ou Linux:

  • SSH (Secure Shell) e SFTP (Protocolo de Transferência de Arquivos do Secure Shell)

    • Usado para instalar, atualizar e remover agentes.
  • Web Services for Management (WS-Management)

    • Usado para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.

O protocolo usado varia conforme a ação ou informação solicitada ao servidor de gerenciamento. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.

No Operations Manager, o administrador do sistema não precisa mais fornecer a senha raiz do computador UNIX ou Linux para o servidor de gerenciamento. Agora, por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento. Para operações privilegiadas de manutenção de agente que usem SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), oferece-se suporte a su, elevação sudo e suporte à autenticação de chave de SSH (com ou sem senha). Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), adiciona-se o suporte a elevação sudo (sem senha).

Credenciais para instalar agentes

O Operations Manager usa o protocolo SSH (Secure Shell) para instalar um agente e o WS-Management (Serviços Web para Gerenciamento) para descobrir agentes instalados anteriormente. A instalação requer uma conta com privilégios no computador UNIX ou Linux. Há duas maneiras de fornecer credenciais para o computador de destino, conforme obtidas pelo Assistente para Gerenciamento de Computadores e Dispositivos:

  • Especifique um nome de usuário e uma senha.

    O protocolo SSH utilizará a senha para instalar um agente ou o protocolo WS-Management, se o agente já tiver sido instalado com o uso de um certificado assinado.

  • Especifique um nome de usuário e uma chave SSH. A chave pode incluir uma senha opcional.

Se você não estiver usando as credenciais para uma conta privilegiada, poderá fornecer credenciais adicionais para que sua conta se torne uma conta privilegiada por meio da elevação de privilégio no computador UNIX ou Linux.

A instalação não é concluída até que o agente seja verificado. A verificação do agente é executada pelo protocolo WS-Management que usa credenciais mantidas no servidor de gerenciamento, separadas da conta com privilégios usada para instalar o agente. Você precisará fornecer um nome de usuário e uma senha para verificação do agente se tiver feito o seguinte:

  • Indicado uma conta com privilégios usando uma chave.

  • Indicado uma conta sem privilégios a ser elevada com o uso do sudo com uma chave.

  • Execute o assistente com o Tipo de Descoberta definido como Descobrir apenas computadores com o agente UNIX/Linux instalado.

Se desejar, você poderá instalar o agente, incluindo seu certificado, de modo manual no computador UNIX ou Linux e depois descobrir esse computador. Essa é a maneira mais segura de instalar agentes. Para obter mais informações, consulte Instalar o agente e o certificado em computadores UNIX e Linux usando a linha de comando.

Credenciais para monitorar operações e realizar manutenção do agente

O Operations Manager contém três perfis predefinidos a serem usados no monitoramento de computadores UNIX e Linux e na execução da manutenção do agente:

  • Conta de ação UNIX/Linux

    Esse é um perfil de conta sem privilégios, necessário para o monitoramento da integridade básica e do desempenho.

  • Conta com privilégios UNIX/Linux

    Esse é um perfil de conta com privilégios, usado para monitorar os recursos protegidos, como arquivos de log.

  • Conta de manutenção UNIX/Linux

    Esse perfil é usado para operações de manutenção privilegiadas, como atualizar e remover agentes.

Nos pacotes de gerenciamento UNIX e Linux, todas as regras, monitores, tarefas, recuperações e outros elementos são configurados para usar esses perfis. Portanto, não há necessidade de definir perfis adicionais usando o Assistente de Perfis Executar como, a menos que circunstâncias especiais o exijam. Os perfis não são cumulativos no escopo. Por exemplo, o perfil da conta de manutenção do UNIX/Linux não pode ser usado no lugar dos outros perfis simplesmente porque está configurado usando uma conta privilegiada.

No Operations Manager, um perfil não pode funcionar até que esteja associado a pelo menos uma conta Executar como. As credenciais para acessar os computadores UNIX ou Linux são configuradas nas contas Executar como. Como não há contas Executar como predefinidas para monitoramento do UNIX e do Linux, você deve criá-las.

Para criar uma conta Executar como, você deve executar o Assistente para Criação de Conta Executar como do UNIX/Linux disponível quando a opção Contas UNIX/Linux está selecionada no workspace Administração. O assistente cria uma conta Executar como com base na escolha de um tipo de conta Executar como. Há dois tipos de conta Executar como:

  • Conta de monitoramento

    Use essa conta para o monitoramento contínuo da integridade e do desempenho em operações que se comunicam utilizando o WS-Management.

  • Conta de manutenção do agente

    Use essa conta para manutenção do agente, como atualização e desinstalação em operações que se comunicam com o uso de SSH.

Esses tipos de conta Executar como podem ser configurados para diferentes níveis de acesso, de acordo com as credenciais fornecidas. As credenciais podem ser contas com ou sem privilégios ou contas sem privilégios que serão elevadas para contas com privilégios. A tabela a seguir mostra as relações entre os perfis, as contas Executar como e os níveis de acesso.

Perfis Tipo de conta Executar como Níveis de acesso permitidos
Conta de ação UNIX/Linux Conta de monitoramento – Sem privilégios
– Com privilégios
– Sem privilégios, elevada a com privilégios
Conta com privilégios UNIX/Linux Conta de monitoramento – Com privilégios
– Sem privilégios, elevada a com privilégios
Conta de manutenção UNIX/Linux Conta de manutenção do agente – Com privilégios
– Sem privilégios, elevada a com privilégios

Observação

Há três perfis, mas apenas dois tipos de Conta Executar como.

Ao especificar um Tipo de Conta Executar como de Monitoramento, você deve especificar um nome de usuário e uma senha a serem utilizados pelo protocolo WS-Management. Quando especifica um Tipo de Conta Executar como de Manutenção do Agente, você deve especificar o modo como as credenciais são fornecidas ao computador de destino usando o protocolo SSH:

  • Especifique um nome de usuário e uma senha.

  • Especifique um nome de usuário e uma chave. Você pode incluir uma senha opcional.

Após a criação de contas Executar como, você deve editar os perfis UNIX e Linux para associá-los às contas desse tipo criadas. Para obter instruções detalhadas, consulte Como configurar contas e perfis Executar como para acesso UNIX e Linux

Considerações importantes sobre segurança

O agente Linux/UNIX do Operations Manager usa o mecanismo PAM (Pluggable Authentication Module) padrão no computador Linux ou UNIX para autenticar o nome de usuário e a senha especificados no Perfil de Ação e no Perfil de Privilégio. Qualquer nome de usuário com uma senha autenticada pelo PAM pode executar funções de monitoramento, incluindo a execução de linhas de comando e scripts que coletam dados de monitoramento. Essas funções de monitoramento são sempre executadas no contexto desse nome de usuário (a menos que a elevação sudo esteja explicitamente habilitada para esse nome de usuário), portanto, o agente do Operations Manager não fornece mais recursos do que se o nome de usuário entrasse no sistema Linux/UNIX.

No entanto, a autenticação PAM usada pelo agente do Operations Manager não exige que o nome de usuário tenha um shell interativo associado a ele. Se suas práticas de gerenciamento de conta Linux/UNIX incluírem a remoção do shell interativo como uma forma de pseudodesabilitar uma conta, essa remoção não impedirá que a conta seja usada para se conectar ao agente do Operations Manager e executar funções de monitoramento. Nesses casos, você deve usar a configuração adicional do PAM para garantir que essas contas pseudo-desabilitadas não sejam autenticadas no agente do Operations Manager.

Credenciais para atualizar e desinstalar agentes

O Assistente para Atualização do Agente do UNIX/Linux e o Assistente para Desinstalação do Agente do UNIX/Linux fornecem credenciais para os computadores de destino. Primeiro, os assistentes solicitam que você selecione os computadores de destino para atualização ou desinstalação, em seguida, é necessário informar as opções relacionadas ao modo como as credenciais devem ser fornecidas ao computador de destino:

  • Usar contas Run As associadas existentes

    Selecione essa opção para usar as credenciais associadas ao perfil de conta de ação UNIX/Linux e ao perfil de conta de manutenção UNIX/Linux.

    O assistente alerta se um ou mais dos computadores selecionados não tiverem uma conta Executar como associada nos perfis necessários, caso em que você deve voltar e limpar os computadores que não têm uma conta Executar como associada ou especificar credenciais.

  • Especificar credenciais

    Selecione essa opção para especificar as credenciais de SSH utilizando um nome de usuário e uma senha ou um nome de usuário e uma chave. Opcionalmente, você pode fornecer uma senha com uma chave. Se as credenciais não forem para uma conta privilegiada, você poderá elevá-las a uma conta privilegiada no computador de destino usando os programas de elevação su ou sudo do UNIX. A elevação 'su' requer uma senha. Se você usar a elevação sudo, será solicitado um nome de usuário e uma senha para verificação do agente usando uma conta sem privilégios.