Unix ve Linux Bilgisayarlarına Erişim için Güvenlik Kimlik Bilgileri Planlama
Önemli
Operations Manager'ın bu sürümü destek sonuna ulaştı. Operations Manager 2022'ye yükseltmenizi öneririz.
Bu makalede, bir UNIX veya Linux bilgisayarda aracıları yüklemek, korumak, yükseltmek ve kaldırmak için gereken kimlik bilgileri açıklanmaktadır.
Operations Manager’da, yönetim sunucusu UNIX veya Linux bilgisayarı ile iletişim kurmak için iki protokol kullanır:
Secure Shell (SSH) ve Secure Shell File Transfer Protocol (SFTP)
- Aracıları yüklemek, yükseltmek ve kaldırmak için kullanılır.
Yönetim İçin Web Hizmetleri (WS-Management)
- Tüm izleme işlemleri için kullanılır ve önceden yüklü aracıları bulmayı içerir.
Kullanılan protokol yönetim sunucusu üzerinde istenen eylem veya bilgilere bağlıdır. Aracı bakımı, izleyiciler, kurallar, görevler ve kurtarmalar gibi tüm eylemler ayrıcalıklı veya ayrıcalıksız bir hesap için kendi gereksinimine göre önceden tanımlanmış profilleri kullanmak üzere yapılandırılır.
Operations Manager'da, sistem yöneticisinin artık UNIX veya Linux bilgisayarın kök parolasını yönetim sunucusuna sağlaması gerekmez. Artık yükseltme ile, ayrıcalıksız bir hesap UNIX veya Linux bilgisayarı üzerinde ayrıcalıklı bir hesabın kimliğini üstlenebilir. Yükseltme süreci UNIX su (süper kullanıcısı) ve yönetim sunucusunun sağladığı kimlik bilgilerini kullanan sudo programları tarafından gerçekleştirilir. SSH kullanan ayrıcalıklı aracı bakım işlemleri için (örneğin bulma, dağıtım, yükseltmeler, kaldırma ve aracı kurtarma), su için destek, sudo yükseltme ve SSH anahtar kimlik doğrulaması için destek (parola ile veya olmadan) sağlanır. Ayrıcalıklı WS-Management işlemleri (örneğin güvenli günlük dosyalarını görüntüleme) için, sudo yükseltme için destek (parolasız) eklenir.
Aracı yükleme için kimlik bilgileri
Operations Manager, bir aracı yüklemek için Secure Shell (SSH) protokolünü ve önceden yüklenen aracıları bulmak için ise Yönetim için Web Hizmetlerini (WS-Management) kullanır. Yükleme için UNIX veya Linux bilgisayarda ayrıcalıklı bir hesap gereklidir. Bilgisayar ve Cihaz Yönetim Sihirbazı ile alınan kimlik bilgileri hedeflenen bilgisayara iki şekilde sağlanabilir:
Bir kullanıcı adı ve parola belirtin.
SSH protokolü aracı yüklemek için parola veya aracının zaten imzalı bir sertifika ile yüklenmesi halinde WS-Yönetim protokolünü kullanır.
Bir kullanıcı adı ve SSH anahtarı belirtin. Anahtar isteğe bağlı bir parola içerebilir.
Ayrıcalıklı bir hesabın kimlik bilgilerini kullanmıyorsanız, hesabınızın UNIX veya Linux bilgisayarda ayrıcalık yükseltmesi yoluyla ayrıcalıklı bir hesap haline gelmesi için ek kimlik bilgileri sağlayabilirsiniz.
Aracı doğrulanana kadar yükleme tamamlanmaz. Aracı doğrulama işlemi, aracıyı yüklemek için kullanılan ayrıcalıklı hesaptan ayrı olarak, yönetim sunucusunda tutulan kimlik bilgilerini kullanan WS-Yönetim protokolü tarafından gerçekleştirilir. Aşağıdakilerden birini yaptıysanız aracı doğrulaması için bir kullanıcı adı ve parola sağlamanız gerekir:
Anahtar kullanılarak ayrıcalıklı hesap verildi.
Anahtar içeren sudo kullanılarak yükseltilecek ayrıcalıksız hesap verildi.
Bulma Türü 'nü Sadece UNIX/Linux aracısının yüklendiği bilgisayarları bulolarak ayarlayarak sihirbazı çalıştırın.
Alternatif olarak, aracıyı sertifikasıyla birlikte UNIX veya Linux bilgisayara el ile olarak yükledikten sonra söz konusu bilgisayarı bulabilirsiniz. Bu yöntem en güvenli aracı yükleme yöntemidir. Daha fazla bilgi için bkz. Komut Satırını Kullanarak UNIX ve Linux Bilgisayarlara Aracı ve Sertifika Yükleme.
İşlem izleme ve aracı bakımı yapma için kimlik bilgileri
Operations Manager, UNIX ve Linux bilgisayarı izlemede kullanmak ve aracı bakımı gerçekleştirmek için önceden tanımlamış üç profil içerir:
UNIX/Linux eylem hesabı
Bu profil, temel sistem durumu ve performans izlemesi için gerekli ayrıcalıksız bir hesap profilidir.
UNIX/Linux ayrıcalıklı hesabı
Bu profil, günlük dosyaları gibi korunan kaynakları izlemek için kullanılan ayrıcalıklı bir hesap profilidir.
UNIX/Linux bakım hesabı
Bu profil aracıları güncelleştirme ve kaldırma gibi ayrıcalıklı bakım işlemleri için kullanılır.
UNIX ve Linux yönetim paketlerinde, tüm kurallar, izleyiciler, görevler, kurtarmalar ve diğer yönetim paketi öğeleri bu profilleri kullanmak şekilde yapılandırılır. Bu nedenle, özel koşullar tarafından dikte edilmediği sürece Farklı Çalıştır Profilleri Sihirbazı'nı kullanarak ek profiller tanımlama gereksinimi yoktur. Profiller kapsamda birikmeli değildir. Örneğin, UNIX/Linux bakım hesabı profili, ayrıcalıklı bir hesap kullanılarak yapılandırıldığı için diğer profillerin yerine kullanılamaz.
Operations Manager'da, bir profil en az bir Farklı Çalıştır hesabıyla ilişkilendirilene kadar çalışamaz. UNIX veya Linux bilgisayarlara erişim kimlik bilgileri Farklı Çalıştır hesaplarında yapılandırılır. UNIX ve Linux İzlemesi için önceden tanımlı bir Farklı Çalıştır hesabı olmadığından, onları sizin oluşturmanız gerekir.
Farklı Çalıştır hesabı oluşturmak için, Yönetim çalışma alanında UNIX/Linux Hesapları 'nı seçtiğinizde kullanılabilen UNIX/Linux Farklı Çalıştır Hesabı Sihirbazı 'nı çalıştırın. Sihirbaz, Farklı Çalıştır hesap türü seçimine göre bir Farklı Çalıştır hesabı oluşturur. İki Farklı Çalıştır hesap türü vardır:
İzleme hesabı
WS-Yönetim kullanarak iletişim kurulan işlemlerde mevcut sistem durumu ve performans izlemesi için bu hesabı kullanın.
Aracı bakım hesabı
SSH kullanarak iletişim kurulan işlemlerdeki güncelleştirme ve kaldırma gibi aracı bakımı için bu hesabı kullanın.
Bu Farklı Çalıştır hesap türleri verdiğiniz kimlik bilgilerine göre farklı erişim düzeyleri için yapılandırılabilir. Kimlik bilgileri ayrıcalıksız veya ayrıcalıklı hesaplar ya da ayrıcalıklı hesaplara yükseltilecek ayrıcalıksız hesaplar olabilir. Aşağıdaki tablo profiller Farklı Çalıştır hesapları ve erişim düzeyleri arasındaki ilişkiyi gösterir.
| Profiller | Farklı Çalıştır hesap türü | İzin Verilen Erişim Seviyeleri |
|---|---|---|
| UNIX/Linux eylem hesabı | İzleme hesabı | - Ayrıcalıksız -Ayrıcalıklı - Ayrıcalıksız, ayrıcalıklıya yükseltilmiş |
| UNIX/Linux ayrıcalıklı hesabı | İzleme hesabı | -Ayrıcalıklı - Ayrıcalıksız, ayrıcalıklıya yükseltilmiş |
| UNIX/Linux bakım hesabı | Aracı bakım hesabı | -Ayrıcalıklı - Ayrıcalıksız, ayrıcalıklıya yükseltilmiş |
Not
Üç profil vardır, ancak yalnızca iki Farklı Çalıştır Hesabı türü vardır.
Farklı Çalıştır Hesap Türünü İzlemeyi belirttiğinizde, WS-Management protokolü ile kullanmak için bir kullanıcı adı ve parola belirtmelisiniz. Aracı Bakımı Farklı Çalıştır Hesap Türü belirttiğinizde, SSH protokolünü kullanarak kimlik bilgilerinin hedeflenen bilgisayara nasıl sağlandığını belirtmelisiniz:
Bir kullanıcı adı ve parola belirtin.
Bir kullanıcı adı ve anahtar belirtin. İsteğe bağlı bir parola da ekleyebilirsiniz.
Farklı Çalıştır hesaplarını oluşturduktan sonra, oluşturduğunuz Farklı Çalıştır hesaplarıyla ilişkilendirmek için UNIX ve Linux profillerini düzenlemelisiniz. Ayrıntılı yönergeler için bkz. HOW to Configure Run As Accounts and Profiles for UNIX and Linux Access
Önemli güvenlik konuları
Operations Manager Linux/UNIX aracısı, Eylem Profili ve Ayrıcalıklı Profilde belirtilen kullanıcı adı ve parolayla kimlik doğrulaması gerçekleştirmek için Linux veya UNIX bilgisayardaki standart PAM (Pluggable Authentication Module) mekanizmasını kullanır. Kullanıcı adı ve parola ile PAM kimlik doğrulamasından geçen tüm kullanıcılar, izleme verilerini toplayan komut satırlarını ve betikleri çalıştırmak dahil olmak üzere izleme işlevleri gerçekleştirebilir. Bu tür izleme işlevleri her zaman bu kullanıcı adı bağlamında gerçekleştirilir (sudo yükseltmesi bu kullanıcı adı için açıkça etkinleştirilmediği sürece), bu nedenle Operations Manager aracısı, kullanıcı adının Linux/UNIX sisteminde oturum açmasından daha fazla özellik sağlamaz.
Ancak Operations Manager aracısı tarafından kullanılan PAM kimlik doğrulaması, kullanıcı adının kendisiyle ilişkilendirilmiş etkileşimli bir kabuk olmasını gerektirmez. Linux/UNIX hesap yönetimi uygulamalarınız bir hesabı sahte olarak devre dışı bırakmanın bir yolu olarak etkileşimli kabuğu kaldırmayı kapsıyorsa, bu kaldırma işlemi hesabın Operations Manager aracısına bağlanmak ve izleme işlevlerini gerçekleştirmek için kullanılmasını engellemez. Böyle durumlarda, bu sahte devre dışı bırakılmış hesapların Operations Manager aracısında kimlik doğrulaması yapmadığından emin olmak için ek PAM yapılandırması kullanmanız gerekir.
Aracı yükseltme ve kaldırma için kimlik bilgileri
UNIX/Linux Aracı Yükseltme Sihirbazı ve UNIX/Linux Aracı Kaldırma Sihirbazı hedeflenen bilgisayarlara kimlik bilgileri sağlar. Sihirbazlar önce sizden yükseltilecek veya kaldırılacak hedeflenen bilgisayarları ardından hedeflenen bilgisayara kimlik bilgilerinin nasıl sağlanacağına dair seçenekleri seçmenizi ister:
Var olan ilişkili Farklı Çalıştır Hesaplarını kullan
UNIX/Linux eylem hesabı profili ve UNIX/Linux bakım hesabı profiliyle ilişkili kimlik bilgilerini kullanmak için bu seçeneği seçin.
Sihirbaz, seçilen bilgisayarlardan birinin veya daha fazlasının gerekli profillerde ilişkili farklı çalıştır hesabı yoksa sizi uyarır. Bu durumda, geri dönüp ilişkili Farklı Çalıştır hesabı olmayan bilgisayarları temizlemeniz veya kimlik bilgilerini belirtmeniz gerekir.
Kimlik bilgilerini belirtin
Bir kullanıcı adı ve parola veya bir kullanıcı adı ve anahtar kullanarak Secure Shell (SS) kimlik bilgilerini belirtmek için bu seçeneği seçin. İsteğe bağlı olarak anahtar içeren bir parola verebilirsiniz. Kimlik bilgileri ayrıcalıklı bir hesap için değilse, UNIX su veya sudo yükseltme programlarını kullanarak bunları hedef bilgisayarda ayrıcalıklı bir hesaba yükseltebilirsiniz. ‘su’ yükseltme programı için parola gereklidir. Sudo yükseltmesi kullanıyorsanız ayrıcalıksız bir hesap kullanarak aracı doğrulaması için bir kullanıcı adı ve parola istenir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin