Operations Manager'da Kimlik Doğrulaması ve Veri Şifrelemesi
System Center Operations Manager, yönetim sunucusu, ağ geçidi sunucusu, Raporlama sunucusu, İşletimsel veritabanı, Raporlama veri ambarı, aracı, web konsolu ve İşletim konsolu gibi özelliklerden oluşur. Bu makalede kimlik doğrulamasının nasıl gerçekleştirildiği açıklanır ve verilerin şifrelendiği bağlantı kanalları tanımlanır.
Sertifika Tabanlı Kimlik Doğrulaması
Operations Manager aracısı ve yönetim sunucusu güvenilmeyen bir orman veya çalışma grubu sınırıyla ayrıldığında, sertifika tabanlı kimlik doğrulamasının uygulanması gerekir. Aşağıdaki bölümler bu durumlar ve Windows tabanlı sertifika kimlik doğrulamalarından sertifika almak ve yüklemek için belirli prosedürler hakkında bilgi sağlar.
Aynı Güven Sınırları içinde Aracılar ve Yönetim Sunucuları Arasında İletişim Kurma
Bir aracı ve yönetim sunucusu, yönetim sunucusu aracıdan verileri kabul etmeden önce birbirleri ile karşılıklı kimlik doğrulamak için Windows kimlik doğrulamasını kullanır. Kerberos sürüm 5 protokolü kimlik doğrulaması sağlamak için varsayılan yöntemdir. Kerberos tabanlı karşılıklı kimlik doğrulamasının çalışması için, bir Active Directory etki alanında aracılar ve yönetim sunucusu yüklü olmalıdır. Bir aracı ve yönetim sunucusu farklı etki alanlarında ise, etki alanları arasında tam güven bulunmalıdır. Bu senaryoda, karşılıklı kimlik doğrulaması gerçekleştikten sonra, aracı ve yönetim sunucusu arasındaki veri kanalı şifrelenir. Kimlik doğrulamasının ve şifrelemenin gerçekleşmesi için kullanıcı müdahalesi gerekli değildir.
Güvenilen Sınırlar Arasında Aracılar ve Yönetim Sunucuları Arasında İletişim Kurma
Bir aracı (ya da aracılar), yönetim sunucusundan (etki alanı A) ayrı bir etki alanına (etki alanı B) dağıtılmış olabilir ve etki alanları arasında çift yönlü güven bulunmayabilir. İki etki alanı arasında güven olmadığından, bir etki alanındaki aracılar Kerberos protokolunu kullanarak diğer etki alanındaki yönetim sunucusuyla kimlik doğrulaması yapamaz. Her etki alanındaki Operations Manager özellikleri arasında karşılıklı kimlik doğrulaması yine de gerçekleşir.
Bu duruma yönelik bir çözüm aracıların bulunduğu etki alanına bir ağ geçidi sunucusu yüklemek ve ardından karşılıklı kimlik doğrulaması ve veri şifrelemesine ulaşmak için ağ geçidi sunucusuna ve yönetim sunucusuna sertifika yüklemektir. Ağ geçidi sunucusunun kullanımı, aşağıdaki şekilde gösterildiği gibi, B etki alanında yalnızca bir sertifikaya ve güvenlik duvarında sadece bir bağlantı noktasına ihtiyacınız olduğu anlamına gelir.
Bir Etki Alanı - Çalışma Grubu Sınırı Arasında İletişim Kurma
Ortamınızda, güvenlik duvarınızın içindeki çalışma grubuna dağıtılmış olan bir ya da iki aracıya sahip olabilirsiniz. Çalışma grubundaki aracı, Kerberos protokolunu kullanarak etki alanındaki yönetim sunucusuyla kimlik doğrulaması yapamaz. Bu duruma yönelik bir çözüm, aşağıdaki şekilde gösterildiği gibi, hem aracıyı barındıran bilgisayara hem de aracının bağlandığı yönetim sunucusuna sertifika yüklemektir.
Not
Bu senaryoda, aracı manuel olarak yüklenmelidir.
Hem aracıyı barındıran bilgisayar hem de aynı sertifikasyon kimlik doğrulamasını (CA) kullanan yönetim sunucusu üzerinde her biri için aşağıdaki adımları uygulayın:
- CA'dan sertifika talep edin.
- CA üzerindeki sertifika taleplerini onaylayın.
- Onaylanan sertifikaları bilgisayar sertifikası depolarına yükleyin.
- Operations Manager'ı yapılandırmak için MOMCertImport aracını kullanın.
Not
1 dışındaki KEYSPEC'e sahip sertifikalar desteklenmez.
Ağ geçidi onay aracını yüklemediğiniz veya çalıştırmadığınız durumlar dışında, bunlar bir ağ geçidi sunucusuna sertifika yüklemek için aynı adımlardır
Sertifika Yüklemesini Onaylamak
Sertifikayı düzgün bir şekilde yüklediyseniz, aşağıdaki olay Operations Manager olay günlüğüne yazılır.
| Tür | Kaynak | Olay Kodu | Genel |
|---|---|---|---|
| Bilgiler | OpsMgr Bağlayıcı | 20053 | OpsMgr Bağlayıcı belirlenen kimlik doğrulaması sertifikasını başarıyla yükledi. |
Bir sertifikanın kurulumu sırasında, MOMCertImport aracını çalıştırırsınız. MOMCertImport aracı çalışmayı bitirdiğinde, aktardığınız sertifikanın seri numarası bir sonraki alt anahtarda kayıt defterine yazılır.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Dikkat
Kayıt defterini yanlış düzenlemek sisteminize ciddi zararlar verebilir. Kayıt defterinde değişiklik yapmadan önce, bilgisayarınızdaki önemli verileri yedeklemelisiniz.
Yönetim sunucusu, Ağ Geçidi sunucusu ve aracılar arasında kimlik doğrulaması ve veri şifrelemesi
Bu Operations Manager özellikleri arasındaki iletişim karşılıklı kimlik doğrulaması ile başlar. İletişim kanalının her iki ucunda sertifikaların mevcut olması durumunda, sertifikalar karşılıklı kimlik doğrulaması için kullanılır; aksi halde, Kerberos sürüm 5 protokolü kullanılır. Her iki özellikten biri güvenilmeyen bir etki alanında ayrılmış ise, sertifikalar kullanılarak karşılıklı kimlik doğrulaması yapılmalıdır. Olaylar, uyarılar ve bir yönetim paketinin dağıtımı gibi normal iletişimler bu kanal üzerinde meydana gelir. Önceki gösterim aracılardan yönetim sunucusuna yönlendirilen bir tanesi üzerinde üretilen bir uyarı örneğini göstermektedir. Aracıdan ağ geçidi sunucusuna, verileri şifrelemek için Kerberos güvenlik paketi kullanılır çünkü ağ geçidi sunucusu ve aracı aynı etki alanındadır. Ağ geçidi sunucusu tarafından uyarının şifresi çözülür ve yönetim sunucusu sertifikası kullanılarak yeniden şifrelenir. Ağ geçidi sunucusu, şifrelenmiş iletiyi yönetim sunucusunun uyarının şifresini çözdüğü yönetim sunucusuna gönderir. Yönetim sunucusu ve aracı arasındaki bazı iletişimler kimlik bilgileri içerebilir; örneğin, yapılandırma verileri ve görevler. Aracı ve yönetim sunucusu arasındaki veri kanalı normal kanal şifrelemesine ek olarak başka bir şifreleme katmanı ekler. Kullanıcı müdahalesi gerekli değildir.
Yönetim sunucusu ve İşletim konsolu, Web konsolu sunucusu ve Raporlama sunucusu
Yönetim sunucusu ile İşletim konsolu, Web konsolu sunucusu veya Raporlama sunucusu arasında kimlik doğrulaması ve veri şifrelemesi, Windows Communication Foundation (WCF) teknolojisi kullanılarak gerçekleştirilir. Kimlik doğrulamasında ilk teşebbüs kullanıcının kimlik bilgilerini kullanarak yapılır. Kerberos protokolü ilk olarak denenir. Kerberos protokolü çalışmazsa NTLM kullanılarak başka bir girişimde bulunulması gerekir. Kimlik doğrulaması yine başarısız olursa, kullanıcıdan kimlik bilgilerini sağlaması istenir. Kimlik doğrulaması gerçekleştikten sonra, NTLM kullanılırsa veri akışı Kerberos protokolünün veya SSL'nin bir işlevi olarak şifrelenir.
Raporlama sunucusu ve yönetim sunucusu söz konusu olduğunda, kimlik doğrulaması gerçekleştikten sonra yönetim sunucusu ile SQL Server Raporlama Sunucusu arasında bir veri bağlantısı kurulur. Bu kesinlikle Kerberos protokolünü kullanarak gerçekleştirilir; bu nedenle, yönetim sunucusu ve Raporlama Sunucusu güvenilen etki alanında bulunmalıdır. WCF hakkında daha fazla bilgi için, bkz. MSDN makalesi What Is Windows Communication Foundation (Windows Communication Foundation nedir).
Yönetim sunucusu ve Raporlama veri ambarı
Bir yönetim sunucusu ve Raporlama veri ambarı arasında iki iletişim kanalı bulunur:
- Bir yönetim sunucusu içindeki sistem sağlığı hizmetinin (System Center Yönetim hizmeti) oluşturduğu izleme ana bilgisayarı işlemi.
- Yönetim sunucusundaki System Center Veri Erişim hizmetleri
İzleme Ana Bilgisayarı İşlemi ve Raporlama Veri Ambarı
Varsayılan olarak, toplanan olayları ve performans sayaçlarını veri ambarına yazmaktan sorumlu olan, Sistem Sağlık Durumu Hizmetinden kaynaklanan izleme ana bilgisayarı işlemi, Raporlama Kurulumu sırasında belirlenen Veri Yazıcı Hesabı olarak çalışarak Windows Tümleşik Kimlik Doğrulamasına erişir. Hesap kimlik bilgileri Veri Ambarı Eylem Hesabı denilen Farklı Çalıştır Hesabında güvenli bir şekilde depolanır. Bu Farklı Çalıştır Hesabı, Veri Ambarı Hesabı denilen (asıl toplama kuralları ile ilişkili olan) Farklı Çalıştır Profilinin bir üyesidir.
Raporlama veri ambarı ve yönetim sunucusu bir güven sınırıyla ayrılırsa (örneğin, her birinin güven olmadan farklı etki alanlarında bulunması) Windows Tümleşik Kimlik Doğrulaması çalışmaz. Bu durumu çözmek için, izleme ana bilgisayarı işlemi SQL Server Kimlik Doğrulamasını kullanarak Raporlama veri ambarına bağlanabilir. Bunu yapmak için, SQL hesabı kimlik bilgileri ile yeni bir Farklı Çalıştır Hesabı (Basit Hesap türünden) oluşturun ve yönetim sunucusu hedef bilgisayar olarak, bunu Veri Ambarı SQL Server Kimlik Doğrulama Hesabı denilen Farklı Çalıştır Profilinin bir üyesi yapın.
Önemli
Varsayılan olarak, Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabı, aynı isimli Farklı Çalıştır Hesabının kullanımı ile özel bir hesaba atanmıştır. Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabı ile ilişkili hesapta hiçbir zaman değişiklik yapmayın. Bunun yerine, kendi hesabınızı ve kendi Farklı Çalıştır Hesabınızı oluşturun ve SQL Server Kimlik Doğrulamasını yapılandırırken Farklı Çalıştır Hesabını, Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabının bir üyesi yapın.
Aşağıda, çeşitli hesap kimlik bilgileri, Farklı Çalıştır Hesapları ve hem Windows Tümleşik Kimlik Doğrulama hem de SQL Server Kimlik Doğrulama için Farklı Çalıştır Profilleri arasındaki ilişki özetlenmektedir.
Varsayılan: Windows Tümleşik Kimlik Doğrulaması
Farklı Çalıştır Profili: Veri Ambarı Hesabı
- Farklı Çalıştır Hesabı: Veri Ambarı Eylemi
- Hesap kimlik bilgileri: Veri Yazıcı Hesabı (kurulum sırasında belirtilir)
Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
- Farklı Çalıştır Hesabı: Veri Ambarı SQL Server Kimlik Doğrulaması
- Hesap kimlik bilgileri: Operations Manager tarafından oluşturulan özel hesap (değişmez)
İsteğe bağlı: SQL Server Kimlik Doğrulama
- Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
- Farklı Çalıştır Hesabı: Kurulum sırasında belirttiğiniz Farklı Çalıştır Hesabı.
- Hesap kimlik bilgileri: Kurulum sırasında belirttiğiniz bir hesap.
System Center Veri Erişim hizmeti ve Raporlama veri ambarı
Varsayılan olarak, Raporlama veri ambarından verileri okumaktan ve Rapor Parametre Alanı'nda kullanılabilir hale getirmekten sorumlu olan System Center Veri Erişimi hizmeti, Operations Manager kurulumu sırasında tanımlanan Veri Erişim Hizmeti ve Yapılandırma Hizmeti hesabı olarak çalıştırarak Windows Tümleşik Kimlik Doğrulaması'nı gerçekleştirir.
Raporlama veri ambarı ve yönetim sunucusu bir güven sınırıyla ayrılırsa (örneğin, her birinin güven olmadan farklı etki alanlarında bulunması) Windows Tümleşik Kimlik Doğrulaması çalışmaz. Bu durumu çözmek için, System Center Veri Erişim hizmeti, SQL Server Kimlik Doğrulamayı kullanarak Raporlama veri ambarına bağlanabilir. Bunu yapmak için, SQL hesabı kimlik bilgileri ile yeni bir Farklı Çalıştır Hesabı (Basit Hesap türünden) oluşturun ve yönetim sunucusu hedef bilgisayar olarak, bunu Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı denilen Farklı Çalıştır Profilinin bir üyesi yapın.
Önemli
Varsayılan olarak, Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı, aynı isimli Farklı Çalıştır Hesabının kullanımı ile özel bir hesaba atanmıştır. Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı ile ilişkili hesapta hiçbir zaman değişiklik yapma. Bunun yerine, kendi hesabınızı ve kendi Farklı Çalıştır Hesabınızı oluşturun ve SQL Server Kimlik Doğrulamasını yapılandırırken Farklı Çalıştır Hesabını, Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabının bir üyesi yapın.
Aşağıda, çeşitli hesap kimlik bilgileri, Farklı Çalıştır Hesapları ve hem Windows Tümleşik Kimlik Doğrulama hem de SQL Server Kimlik Doğrulama için Farklı Çalıştır Profilleri arasındaki ilişki özetlenmektedir.
Varsayılan: Windows Tümleşik Kimlik Doğrulaması
Veri Erişim Hizmeti ve Yapılandırma Hizmeti Hesabı (Operations Manager kurulumu sırasında tanımlanan)
- Farklı Çalıştır Profili: SDK SQL Server Kimlik Doğrulama Hesabını Raporlama
- Farklı Çalıştır Hesabı: SDK SQL Server Kimlik Doğrulama Hesabını Raporlama
- Hesap kimlik bilgileri: Operations Manager tarafından oluşturulan özel hesap (değişmez)
İsteğe bağlı: SQL Server Kimlik Doğrulama
- Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
- Farklı Çalıştır Hesabı: Kurulum sırasında belirttiğiniz Farklı Çalıştır Hesabı.
- Hesap kimlik bilgileri: Kurulum sırasında belirttiğiniz bir hesap.
İşletim konsolu ve Raporlama sunucusu
İşletim Konsolu HTTP kullanarak bağlantı noktası 80 üzerinde Raporlama Sunucusuna bağlanır. Kimlik doğrulaması, Windows Kimlik Doğrulaması kullanılarak gerçekleştirilir. SSL kanalı kullanılarak veri şifrelenebilir.
Raporlama sunucusu ve Raporlama veri ambarı
Raporlama Sunucusu ve Raporlama veri ambarı arasında kimlik doğrulaması Windows Kimlik Doğrulaması kullanılarak elde edilir. Raporlama kurulumu sırasında Veri Okuyucu Hesabı olarak belirtilen hesap Raporlama Sunucusu üzerinde Yürütme Hesabı olur. Hesabın parolası değişmeliyse, SQL Server'daki Reporting Services Configuration Manager'ı kullanarak aynı parola değişikliğini yapmanız gerekir. Raporlama Sunucusu ile Raporlama veri ambarı arasındaki veriler şifrelenmez.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin