Управление сертификатами для компьютеров UNIX и Linux

С помощью System Center Operations Manager можно развертывать агенты на компьютерах с UNIX или Linux. Проверка подлинности Kerberos недоступна. Поэтому сервер управления и компьютеры с UNIX и Linux используют сертификаты. В этом сценарии сервер управления выполняет роль автономного центра сертификации. (Хотя можно использовать сторонние сертификаты, они не являются обязательными.)

До Operations Manager 2016 агент Linux использовался для создания сертификатов и их шифрования с помощью SHA1. С 2016 агент Linux создает сертификат SHA1, а затем, как часть процесса обнаружения, сертификат шифруется с помощью SHA256.

Существует два метода для развертывания агентов. Вы можете использовать мастер обнаружения или вы можете установить агент вручную. Наиболее безопасным вариантом из этих двух методов является ручная установка агента. При использовании мастера обнаружения для установки агентов на компьютеры с UNIX или Linux вы доверяете тому, что компьютер, на котором выполняется развертывание, является тем компьютером, о котором вы думаете. При использовании мастера обнаружения для развертывания агентов риск выше, чем при развертывании агентов на компьютеры в общедоступной или периметральной сети.

При использовании мастера обнаружения для развертывания агента мастер выполняет следующие функции:

• Развертывание: мастер обнаружения копирует пакет агента на компьютер с UNIX или Linux, а затем начинает установку.

• Подписание сертификата: Operations Manager получает сертификат от агента, подписывает сертификат, возвращает его агенту, а затем перезапускает агент.

• Обнаружение: мастер обнаружения обнаруживает компьютер и проверяет, действителен ли сертификат. Если мастер подтверждает, что компьютер можно обнаружить и сертификат действителен, он добавляет обнаруженный компьютер в базу данных Operations Manager.

При ручном развертывании агента вы выполняете первые два шага, которые обычно выполняются мастером развертывания: развертывание и подписывание сертификатов. Затем с помощью мастера обнаружения вы добавляете компьютер в базу данных Operations Manager.

Если в системе есть сертификаты, они используются повторно во время установки агента. Новые сертификаты не создаются. Сертификаты не удаляются автоматически при удалении агента. Необходимо вручную удалить сертификаты в папке /etc/opt/microsoft/scx/ssl . Чтобы повторно создать сертификаты во время установки, необходимо удалить эту папку перед установкой агента.

Инструкции по ручному развертыванию агента см. в разделе Install Agent and Certificate on UNIX and Linux Computers Using the Command Line, а затем используйте следующую процедуру для установки сертификатов.

Рекомендации для брандмауэров в UNIX и Linux

Если у вас есть брандмауэр на компьютере UNIX или Linux, необходимо открыть порт 1270 (входящий трафик). Этот номер порта не настраивается. Если вы развертываете агенты в среде с низкой безопасностью и используете мастер обнаружения для развертывания и подписывания сертификатов, необходимо открыть порт SSH. Номер порта SSH можно изменить. По умолчанию для SSH используется TCP-порт 22. Дополнительные сведения о конфигурации брандмауэра для Operations Manager см. в разделе "Настройка брандмауэра для Operations Manager".

Следующие шаги

• Дополнительные сведения о том, как установить агент и понять действия по подписи сертификата агента, см. в разделе "Установка агента и сертификат" на компьютерах UNIX и Linux с помощью командной строки.

• Инструкции по настройке агента UNIX и Linux для использования сертификата, выданного центром сертификации: преобразование самозаверяемых сертификатов SCX в сертификаты ЦС

• Сведения о том, как выполнять обслуживание агента на компьютерах UNIX и Linux, см. в статье Об обновлении и удалении агентов на компьютерах UNIX и Linux.

• Чтобы понять, какие параметры и шаги необходимо выполнить для правильного удаления агента с компьютеров UNIX и Linux, ознакомьтесь с инструкциями по удалению агентов вручную с компьютеров UNIX и Linux.