存取 UNIX 和 Linux 電腦的必備認證
發佈時間: 2016年3月
適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
本主題說明如何使用認證來安裝、維護、升級及解除安裝代理程式。
用於安裝代理程式的認證
Operations Manager 使用安全殼層 (SSH) 通訊協定來安裝代理程式,並使用 Web Services for Management (WS-Management) 探索先前安裝的代理程式。 安裝作業需透過 UNIX 或 Linux 電腦的特殊權限帳戶來執行。 您可透過兩種方法將 [電腦和裝置管理精靈] 取得的認證提供給目標電腦:
指定使用者名稱和密碼。
SSH 通訊協定會使用密碼來安裝代理程式或 WS-Management 通訊協定 (如果已使用簽署憑證安裝代理程式)。
指定使用者名稱和 SSH 金鑰。 金鑰可包含選用的複雜密碼。
如果您使用的不是特殊權限帳戶的認證,可以提供額外的認證,讓您的帳戶透過在 UNIX 或 Linux 電腦上提高權限,變成特殊權限帳戶。
安裝需等到代理程式驗證過後才算完成。 代理程式驗證是由 WS-Management 通訊協定負責執行,而該通訊協定使用的是管理伺服器上維護的認證,與用來安裝代理程式的特殊權限帳戶不同。 如果您已完成下列其中一項操作,便需提供用來驗證代理程式的使用者名稱和密碼:
使用金鑰提供特殊權限帳戶。
提供要使用 sudo 搭配金鑰來提升權限的無特殊權限帳戶。
執行精靈,並將 [探索類型] 設定為 [僅探索已安裝 UNIX/Linux 代理程式的電腦]。
另外,您也可以手動在 UNIX 或 Linux 電腦上安裝代理程式,包括其憑證,然後再探索該電腦。 這種方法是安裝代理程式最安全的方法。 如需詳細資訊,請參閱使用命令列在 UNIX 和 Linux 電腦上安裝代理程式和憑證。
用於監視操作與執行代理程式維護的認證
Operations Manager 包含三個預先定義的設定檔,可用來監視 UNIX 和 Linux 電腦以及執行代理程式維護:
UNIX/Linux 動作帳戶
這個設定檔是基本健全狀況和效能監視所需的無特殊權限帳戶設定檔。
UNIX/Linux 特殊權限帳戶
這個設定檔是用於監視受保護資源 (例如記錄檔) 的特殊權限帳戶設定檔。
UNIX/Linux 維護帳戶
這個設定檔適用於特殊權限維護作業,例如更新與移除代理程式。
在 UNIX 和 Linux 管理組件中,所有的規則、監視、工作、復原和其他管理組件元素都會設定成使用這些設定檔。 因此,除非特殊情況需要,否則不需要使用執行身分設定檔精靈定義其他設定檔。 設定檔在領域中並不會累計。 例如,UNIX/Linux 維護帳戶設定檔不能用來取代其他設定檔,因為它是使用特殊權限帳戶設定的設定檔。
在 Operations Manager 中,設定檔必須與至少一個執行身分帳戶建立關聯後,才能發揮作用。 用來存取 UNIX 或 Linux 電腦的認證是在執行身分帳戶中設定。 由於系統並未預先定義用於 UNIX 和 Linux 監視的執行身分帳戶,因此您必須建立這種帳戶。
若要建立執行身分帳戶,您必須執行 [UNIX/Linux 執行身分帳戶精靈];您可透過在 [系統管理] 工作區選取 [UNIX/Linux 帳戶] 來使用此精靈。 這個精靈會根據選擇的執行身分帳戶類型建立執行身分帳戶。 執行身分帳戶類型有兩種:
監視帳戶
請將這個帳戶用於使用 WS-Management 進行通訊之操作的持續健全狀況與效能監視。
代理程式維護帳戶
請將這個帳戶用於使用 WS-Management 進行通訊之操作的代理程式維護 (例如更新與解除安裝)。
這些執行身分帳戶類型可以根據您提供的認證設定不同的存取層級。 認證可以是無特殊權限帳戶、特殊權限帳戶,或是即將提升為特殊權限帳戶的無特殊權限帳戶。 下圖顯示設定檔、執行身分帳戶與存取層級之間的關聯性。
設定檔 |
執行身分帳戶類型 |
允許的存取層級 |
|---|---|---|
UNIX/Linux 動作帳戶 |
監視帳戶 |
|
UNIX/Linux 特殊權限帳戶 |
監視帳戶 |
|
UNIX/Linux 維護帳戶 |
代理程式維護帳戶 |
|
請注意,設定檔雖然有三種,但是只有兩種執行身分帳戶類型。
指定監視執行身分帳戶類型時,您必須指定使用者名稱和密碼,供 WS-Management 通訊協定使用。 指定代理程維護執行身分帳戶時,您必須指定使用 SSH 通訊協定提供認證給目標電腦的方式:
指定使用者名稱和密碼。
指定使用者名稱和金鑰。 您可包含選用的複雜密碼。
建立執行身分帳戶後,您必須編輯 UNIX 和 Linux 設定檔,使其與您建立的執行身分帳戶產生關聯。 如需詳細指示,請參閱如何設定執行帳戶和設定檔為 UNIX 和 Linux 存取。
用於升級與解除安裝代理程式的認證
[UNIX/Linux 代理程式升級精靈] 和 [UNIX/Linux 代理程式解除安裝精靈] 都會提供認證給其目標電腦。 精靈會先提示您選取要升級或解除安裝的目標電腦,接著再選取如何提供認證給目標電腦的選項。
使用現有的相關聯執行身分帳戶
選取此選項可使用與 UNIX/Linux 動作帳戶設定檔和 UNIX/Linux 維護帳戶設定檔相關聯的認證。
如果一或多部選取的電腦在必要的設定檔中沒有相關聯的執行身分帳戶,精靈將會發出警示,而在這種情況下,您必須回到上一步並清除沒有相關聯執行身分帳戶的電腦,或是使用其他選項。
指定認證
選取此選項可使用使用者名稱和密碼或是使用者名稱和金鑰來指定安全殼層 (SSH) 認證。 您可以選擇隨金鑰一起提供複雜密碼。 如果認證不適用於特殊權限帳戶,您可以在目標電腦上使用 UNIX su 或 sudo 提升權限程式將認證提升為特殊權限帳戶。 ‘su’ 提升權限需要密碼。 如果您使用 sudo 提升權限,系統將會提示您輸入使用者名稱和密碼,以使用無特殊權限帳戶驗證代理程式。
如需升級與解除安裝的詳細資訊,請參閱Upgrading and Uninstalling Agents on UNIX and Linux Computers (升級和解除安裝 UNIX 和 Linux 電腦上的代理程式)。