本文介绍在 UNIX 或 Linux 计算机上安装、维护、升级和卸载代理所需的凭据。
在 Operations Manager 中,管理服务器使用两种协议与 UNIX 或 Linux 计算机通信:
安全外壳 (SSH) 和安全外壳文件传输协议 (SFTP)
- 用于安装、升级和删除代理。
Web Services for Management (WS-Management)
- 用于所有监控操作,并涵盖已安装代理程序的发现。
所使用的协议取决于在管理服务器上请求的操作或信息。 所有操作,包括代理维护、监控、规则、任务和恢复,都根据其是否需要特权帐户或非特权帐户的要求,配置为使用预定义的配置文件。
在 Operations Manager 中,不再需要系统管理员向管理服务器提供 UNIX 或 Linux 计算机的根密码。 现在,通过进行提升,无特权帐户可以在 UNIX 或 Linux 计算机上采用特权帐户的标识。 提升过程由 UNIX su(超级用户)和 sudo 程序来执行,这两个程序使用管理服务器提供的凭据。 对于使用 SSH 的特权代理维护操作(如发现、部署、升级、卸载和代理恢复),提供了对 su 和 sudo 提升的支持,以及对 SSH 密钥身份验证(有或无密码)的支持。 对于需要权限的 WS-Management 操作(如查看安全日志文件),添加了对通过 sudo 无密码提升权限的支持。
用于安装代理的凭据
Operations Manager 使用安全外壳(SSH)协议来安装代理,并使用 Web 服务管理(WS-Management)来发现先前安装的代理。 安装需要 UNIX 或 Linux 计算机上的授权帐户。 可以通过两种方法将“计算机和设备管理向导”获取的凭据提供给目标计算机:
指定用户名和密码。
SSH 协议使用密码安装代理,如果已经使用签名证书安装了代理,则会安装 WS-Management 协议。
指定用户名和 SSH 密钥。 密钥可以包括可选密码。
如果您当前未使用特权帐户的凭据,您可以通过在 UNIX 或 Linux 计算机上执行权限提升,提供其他凭据使您的帐户成为特权帐户。
在验证代理之前,不会完成安装。 代理验证通过 WS-Management 协议来执行,此协议使用与用于安装代理的特权帐户分开的管理服务器上维护的凭据。 如果已完成以下任一操作,则需要提供用户名和密码进行代理验证:
使用密钥提供了特权帐户。
使用 sudo 和密钥提供了要提升的无特权帐户。
运行了向导,并且将“发现类型” 设置为了“只发现安装了 UNIX/Linux 代理的计算机” 。
或者,你可以在 UNIX 或 Linux 计算机上手动安装代理,包括其证书,然后发现该计算机。 此方法是最安全的代理安装方法。 有关详细信息,请参阅 使用命令行在 UNIX 和 Linux 计算机上安装代理和证书。
用于监视操作和执行代理维护的凭据
Operations Manager 包含三个预定义配置文件,用于监视 UNIX 和 Linux 计算机和执行代理维护:
UNIX/Linux 操作帐户
此配置文件是基本运行状况和性能监视所需的无特权帐户配置文件。
UNIX/Linux 特权帐户
此配置文件是用于监视受保护资源(例如日志文件)的特权帐户配置文件。
UNIX/Linux 维护帐户
此配置文件用于涉及特权的维护操作,例如更新和删除代理等。
在 UNIX 和 Linux 管理包中,所有规则、监视器、任务、恢复和其他管理包元素已配置为使用这些配置文件。 因此,除非特殊情况规定,否则不需要使用运行方式配置文件向导来定义其他配置文件。 配置文件在范围内不是累积的。 例如,UNIX/Linux 维护帐户配置文件不能代替其他配置文件,只是因为它使用特权帐户进行配置。
在 Operations Manager 中,用户配置文件在与至少一个运行账户关联之前无法运行。 用于访问 UNIX 或 Linux 计算机的凭据是在运行方式帐户中配置的。 由于没有用于 UNIX 和 Linux 监视的预定义运行方式帐户,因此你必须创建这些帐户。
要创建运行方式帐户,则必须运行“UNIX/Linux 运行方式帐户向导” ,在“管理” 工作区中选择“UNIX/Linux 帐户” 时可以使用此向导。 此向导根据所选择的运行方式帐户类型创建运行方式帐户。 有以下两种运行方式帐户类型:
监控帐户
使用此帐户在使用 WS-Management 通信的操作中进行持续的健康和性能监控。
代理维护帐户
使用此帐户在使用 SSH 通信的操作中进行诸如更新和卸载之类的代理维护。
这些“以账户运行”类型可以根据您提供的凭据配置为不同级别的访问权限。 凭据可以是无特权帐户、特权帐户,或者是无特权帐户提升为特权帐户。 下表显示了配置文件、运行方式帐户和访问级别之间的关系。
| 个人资料 | 运行方式帐户类型 | 允许的访问级别 |
|---|---|---|
| UNIX/Linux 操作帐户 | 监控帐户 | - 无特权 - 特权 - 无特权,提升到特权 |
| UNIX/Linux 特权帐户 | 监控账户 | - 特权 - 从无特权提升到有特权 |
| UNIX/Linux 维护帐户 | 代理维护帐户 | - 特权 - 从无特权提升到特权 |
注意
有三个配置文件,但只有两种运行方式帐户类型。
指定监视运行账户类型时,您必须提供供 WS-Management 协议使用的用户名和密码。 指定代理维护账户运行类型时,必须指定使用 SSH 协议向目标计算机提供凭据的方法:
指定用户名和密码。
指定用户名和密钥。 你可以包括可选密码。
创建了运行方式帐户之后,必须编辑 UNIX 和 Linux 配置文件以将其与你创建的运行方式帐户关联。 有关详细说明,请参阅 如何为 UNIX 和 Linux 访问配置以特定身份运行的帐户和配置文件
重要的安全注意事项
Operations Manager Linux/UNIX 代理使用 Linux 或 UNIX 计算机上的标准 PAM(可插入身份验证模块)机制对操作配置文件和特权配置文件中指定的用户名和密码进行身份验证。 具有 PAM 身份验证的密码的任何用户名都可以执行监视功能,包括运行用于收集监视数据的命令行和脚本。 此类监视功能始终在该用户名的上下文中执行(除非对该用户名显式启用了 sudo 提升),因此 Operations Manager 代理提供的功能相当于该用户名直接登录到 Linux/UNIX 系统时的功能。
但是,Operations Manager 代理使用的 PAM 身份验证不需要用户名具有与之关联的交互式 shell。 如果 Linux/UNIX 帐户管理做法包括删除交互式 shell 作为伪禁用帐户的方法,此类删除不会阻止该帐户用于连接到 Operations Manager 代理并执行监视功能。 在这些情况下,应使用其他 PAM 配置来确保这些伪禁用的帐户不会向 Operations Manager 代理进行身份验证。
用于升级和卸载代理的凭据
“UNIX/Linux 代理升级向导” 和“UNIX/Linux 代理卸载向导” 将向其目标计算机提供凭据。 向导首先提示你选择要升级或卸载的目标计算机,然后提示你选择关于向目标计算机提供凭据的选项:
使用现有的关联运行方式帐户
选择此选项以使用与 UNIX/Linux 操作帐户配置文件和 UNIX/Linux 维护帐户配置文件关联的凭据。
如果一个或多个所选计算机在所需配置文件中没有关联的运行方式帐户,则向导会发出警报,在这种情况下,必须返回并清除那些没有关联运行方式帐户或指定凭据的计算机。
指定凭据
选择此选项以通过用户名和密码或用户名和密钥来指定 SSH 凭据。 你可以根据需要提供密码和密钥。 如果凭据不是用于特权帐户,您可以通过使用 UNIX 的 su 或 sudo 提权程序,让它们在目标计算机上获得特权帐户访问权限。 “su”提升需要密码。 如果使用 sudo 提权,系统会提示用未授权账户的用户名和密码进行代理验证。