Planera autentiseringsuppgifter för åtkomst till UNIX- och Linux-datorer
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.
I den här artikeln beskrivs de autentiseringsuppgifter som krävs för att installera, underhålla, uppgradera och avinstallera agenter på en UNIX- eller Linux-dator.
I Operations Manager använder hanteringsservern två protokoll för att kommunicera med UNIX- eller Linux-datorn:
Secure Shell (SSH) och Secure Shell File Transfer Protocol (SFTP)
- Används för installation, uppgradering och borttagning av agenter.
WS-Management (Web Services for Management)
- Används för alla övervakningsåtgärder och inkluderar identifiering av agenter som redan har installerats.
Protokollet som används beror på vilken åtgärd eller information som begärs på hanteringsservern. Alla åtgärder, till exempel agentunderhåll, övervakare, regler, uppgifter och återställningar, konfigureras med fördefinierade profiler enligt kraven för ett konto med eller utan privilegier.
I Operations Manager behöver systemadministratören inte längre ange rotlösenordet för UNIX- eller Linux-datorn till hanteringsservern. Nu kan ett konto utan privilegier få utökade privilegier och anta identiteten av ett privilegierat konto på UNIX- eller Linux-datorn. Processen med utökade privilegier utförs av UNIX-programmen su (superuser) och sudo, som använder autentiseringsuppgifterna som hanteringsservern tillhandahåller. För privilegierade agentunderhållsåtgärder som använder SSH (till exempel identifiering, distribuering, uppgraderingar, avinstallation och agentåterställning) finns det stöd för su- och sudo-höjning samt för SSH-nyckelautentisering (med eller utan lösenfras). För privilegierade WS-Management-åtgärder (till exempel visning av säkra loggfiler) läggs stöd för sudo-höjning (utan lösenord) till.
Autentiseringsuppgifter för att installera agenter
I Operations Manager används SSH-protokollet (Secure Shell) för att installera en agent och WS-Management-protokollet (Web Services for Management) för att identifiera tidigare installerade agenter. För installationen krävs ett konto med privilegier för UNIX- eller Linux-datorn. Det finns två sätt att uppge autentiseringsuppgifterna för måldatorn, som erhålls av guiden Hantera datorer och enheter:
Ange ett användarnamn och lösenord.
SSH-protokollet använder lösenordet för att installera en agent eller WS-Management-protokollet om agenten redan har installerats med ett signerat certifikat.
Ange ett användarnamn och en SSH-nyckel. Nycken kan innehålla en valfri lösenfras.
Om du inte använder autentiseringsuppgifterna för ett privilegierat konto kan du ange ytterligare autentiseringsuppgifter så att ditt konto blir ett privilegierat konto genom utökade privilegier på UNIX- eller Linux-datorn.
Installationen slutförs inte förrän agenten har verifierats. Agentverifieringen utförs av WS-Management-protokollet som använder autentiseringsuppgifterna som finns på hanteringsservern, skilt från det konto med privilegier som används för att installera agenten. Du måste ange ett användarnamn och lösenord för agentverifiering om du har gjort något av följande:
Angett ett konto med privilegier genom att använda en nyckel.
Angett ett konto utan privilegier som ska utökas genom att använda sudo med en nyckel.
Kör guiden med Identifieringstyp inställt på Identifiera bara datorer med installerad UNIX-/Linux-agent.
Ett annat alternativt är att manuellt installera agenten tillsammans med certifikatet på UNIX- eller Linux-datorn och sedan identifiera den datorn. Det här är det säkraste sättet att installera agenter. Mer information finns i Installera agenten och certifikatet på UNIX- och Linux-datorer med hjälp av kommandoraden.
Autentiseringsuppgifter för att övervaka åtgärder och utföra agentunderhåll
Operations Manager innehåller tre fördefinierade profiler som kan användas för att övervaka UNIX- och Linux-datorer och utföra agentunderhåll:
UNIX-/Linux-åtgärdskonto
En kontoprofil utan privilegier för grundläggande hälsotillstånds- och prestandaövervakning.
UNIX-/Linux-konto med privilegier
En kontoprofil med privilegier som används för att övervaka skyddade resurser som loggfiler.
UNIX-/Linux-underhållskonto
En profil för underhållsåtgärder som kräver privilegier, till exempel uppdatering och borttagning av agenter.
I UNIX- och Linux-hanteringspaketen är alla regler, övervakare, återställningar och andra hanteringspaketobjekt konfigurerade för att använda de här profilerna. Det finns alltså inget krav på att definiera ytterligare profiler med hjälp av guiden Kör som-profiler om inte särskilda omständigheter avgör det. Profilerna är inte kumulativa i omfånget. Till exempel kan unix-/Linux-underhållskontoprofilen inte användas i stället för de andra profilerna bara för att den har konfigurerats med ett privilegierat konto.
I Operations Manager kan en profil inte fungera förrän den är associerad med minst ett Kör som-konto. Autentiseringsuppgifterna för åtkomst till UNIX- eller Linux-datorerna konfigureras i Kör som-kontona. Eftersom det inte finns några fördefinierade Kör som-konton för UNIX- och Linux-övervakning måste du skapa dem själv.
När du skapar ett Kör som-konto måste du köra guiden UNIX-/Linux Kör som-konto som är tillgänglig när du väljer UNIX-/Linux-konton på arbetsytan Administration. Guiden skapar ett Kör som-konto baserat på valet av Kör som-kontotyp. Det finns två typer av Kör som-konton:
Övervakningskonto
Använd det här kontot för pågående övervakning av hälsotillstånd och prestanda för åtgärder som kommunicerar med WS-Management.
Agentunderhållskonto
Använd det här kontot för agentunderhåll som uppdatering och avinstallation för åtgärder som kommunicerar med SSH.
Kör som-kontotyperna kan konfigureras för olika åtkomstnivåer beroende på vilka autentiseringsuppgifter du anger. Autentiseringsuppgifterna kan vara konton med eller utan privilegier, eller konton utan privilegier som kan utökas till konton med privilegier. Följande tabell visar hur profiler, Kör som-konton och åtkomstnivåer hänger samman.
| Profiler | Kör som-kontotyp | Åtkomstnivåer som kan tillåtas |
|---|---|---|
| UNIX-/Linux-åtgärdskonto | Övervakningskonto | - Oprivilegierad -Privilegierat - Oprivilegierad, upphöjd till privilegierad |
| UNIX-/Linux-konto med privilegier | Övervakningskonto | -Privilegierat - Oprivilegierad, upphöjd till privilegierad |
| UNIX-/Linux-underhållskonto | Agentunderhållskonto | -Privilegierat - Oprivilegierad, upphöjd till privilegierad |
Anteckning
Det finns tre profiler, men bara två Kör som-kontotyper.
När du anger ett övervakningskonto av Kör som-kontotyp måste du ange ett användarnamn och lösenord som ska användas med WS-Management-protokollet. När du anger ett agentunderhållskonto av Kör som-kontotyp måste du ange hur autentiseringsuppgifterna ska överföras till måldatorn med SSH-protokollet:
Ange ett användarnamn och lösenord.
Ange ett användarnamn och en nyckel. Du kan ta med en valfri lösenfras.
När du har skapat Kör som-konton måste du redigera UNIX- och Linux-profilerna och koppla ihop dem med de Kör som-konton du har skapat. Mer information finns i avsnittet Konfigurera kör som-konton och -profiler för åtkomst via UNIX och Linux
Viktiga säkerhetsöverväganden
Operations Manager Linux/UNIX-agenten använder den standardmässiga PAM-mekanismen (Pluggable Authentication Module) på Linux eller UNIX-datorn för att autentisera användarnamnet och lösenordet som angavs under åtgärdsprofilen och behörighetsprofilen. Ett användarnamn med ett lösenord som PAM autentiserar kan utföra övervakningsfunktioner, däribland köra kommandorader och skript som samlar in övervakningsdata. Sådana övervakningsfunktioner utförs alltid i kontexten för det användarnamnet (såvida inte sudo-höjning uttryckligen är aktiverat för det användarnamnet), så Operations Manager-agenten ger inte mer kapacitet än om användarnamnet skulle logga in på Linux/UNIX-systemet.
PAM-autentiseringen som används av Operations Manager-agenten kräver dock inte att användarnamnet har ett interaktivt gränssnitt som är associerat med det. Om dina metoder för hantering av Linux-/UNIX-konton inkluderar att ta bort det interaktiva gränssnittet som ett sätt att pseudoaktivera ett konto, förhindrar inte sådan borttagning att kontot används för att ansluta till Operations Manager-agenten och utföra övervakningsfunktioner. I dessa fall bör du använda ytterligare PAM-konfiguration för att säkerställa att dessa pseudoaktiverade konton inte autentiseras mot Operations Manager-agenten.
Autentiseringsuppgifter för att uppgradera och avinstallera agenter
Guiden för att uppgradera UNIX-/Linux-agent och guiden för att avinstallera UNIX-/Linux-agent tillhandahåller autentiseringsuppgifter för sina måldatorer. Först måste du välja de måldatorer som ska uppgraderas eller avinstalleras och därefter ange alternativ för hur måldatorn ska förses med autentiseringsuppgifter:
Använd befintliga associerade Kör som-konton
Välj det här alternativet om du vill använda de autentiseringsuppgifter som är kopplade till UNIX-/Linux-åtgärdskontoprofilen och UNIX-/Linux-underhållskontoprofilen.
Guiden varnar dig om en eller flera av de valda datorerna inte har något associerat Kör som-konto i de profiler som krävs. I så fall måste du gå tillbaka och rensa de datorer som inte har något associerat Kör som-konto eller ange autentiseringsuppgifter.
Ange autentiseringsuppgifter
Välj det här alternativet om du vill ange SSH-autentiseringsuppgifter genom att använda ett användarnamn och lösenord eller ett användarnamn och en nyckel. Du kan ange en lösenfras med en nyckel om du vill. Om autentiseringsuppgifterna inte är för ett privilegierat konto kan du få dem upphöjda till ett privilegierat konto på måldatorn med hjälp av UNIX su- eller sudo-utökade program. Ett lösenord krävs för su-höjning. Om du använder sudo-höjning uppmanas du att ange ett användarnamn och lösenord för agentverifiering med hjälp av ett konto utan privilegier.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för