Ověřování a šifrování dat v Operations Manageru

System Center Operations Manager se skládá z funkcí, jako je server pro správu, server brány, server pro sestavy, provozní databáze, datový sklad sestav, agent, webová konzola a konzola Operations Console. Tento článek vysvětluje, jak se provádí ověřování a identifikuje kanály připojení, ve kterých jsou data šifrovaná.

Ověřování na základě certifikátů

Pokud je agent nástroje Operations Manager a server pro správu oddělený nedůvěryhodnou doménovou strukturou nebo hranicí pracovní skupiny, bude potřeba implementovat ověřování na základě certifikátů. Následující části obsahují informace o těchto situacích a konkrétních postupech pro získání a instalaci certifikátů od certifikačních autorit založených na systému Windows.

Nastavení komunikace mezi agenty a servery pro správu ve stejné hranici důvěryhodnosti

Agent a server pro správu používají ověřování systému Windows k vzájemnému ověření před tím, než server pro správu přijme data z agenta. Protokol Kerberos verze 5 je výchozí metodou pro poskytování ověřování. Aby bylo možné vzájemné ověřování založené na protokolu Kerberos fungovat, musí být agenti a server pro správu nainstalováni v doméně služby Active Directory. Pokud jsou agent a server pro správu v samostatných doménách, musí mezi těmito doménami existovat úplný vztah důvěryhodnosti. V tomto scénáři se po vzájemném ověření datový kanál mezi agentem a serverem pro správu zašifruje. K ověřování a šifrování není nutný žádný zásah uživatele.

Nastavení komunikace mezi agenty a servery pro správu napříč hranicemi důvěryhodnosti

Agent (nebo agenti) se může nasadit do domény (domény B) odděleně od serveru pro správu (domény A) a mezi doménami nemusí existovat obousměrný vztah důvěryhodnosti. Vzhledem k tomu, že mezi těmito dvěma doménami není žádný vztah důvěryhodnosti, nemůžou se agenti v jedné doméně ověřit pomocí protokolu Kerberos u serveru pro správu v druhé doméně. K vzájemnému ověřování mezi funkcemi Operations Manageru v rámci každé domény stále dochází.

Řešením této situace je instalace serveru brány ve stejné doméně, ve které se nacházejí agenti, a následné instalace certifikátů na server brány a serveru pro správu, aby bylo dosaženo vzájemného ověřování a šifrování dat. Použití serveru brány znamená, že potřebujete jenom jeden certifikát v doméně B a jenom jeden port přes bránu firewall, jak je znázorněno na následujícím obrázku.

Nastavení komunikace mezi doménou – hranice pracovní skupiny

Ve vašem prostředí můžete mít nasazeného jednoho nebo dvou agentů do pracovní skupiny uvnitř brány firewall. Agent v pracovní skupině se nemůže ověřit pomocí serveru pro správu v doméně pomocí protokolu Kerberos. Řešením této situace je instalace certifikátů na počítač, který je hostitelem agenta, i na server pro správu, ke kterému se agent připojuje, jak je znázorněno na následujícím obrázku.

Na počítači, který je hostitelem agenta a serveru pro správu, proveďte následující kroky pomocí stejné certifikační autority (CA) pro každý z nich:

1. Požádejte o certifikáty od certifikační autority.
2. Schvalte žádosti o certifikát v certifikační autoritě.
3. Nainstalujte schválené certifikáty do úložišť certifikátů počítače.
4. Ke konfiguraci Operations Manageru použijte nástroj MOMCertImport.

Jedná se o stejný postup instalace certifikátů na server brány, s výjimkou toho, že neinstalujete nebo nespustíte nástroj pro schválení brány.

Potvrzení instalace certifikátu

Pokud jste certifikát správně nainstalovali, do protokolu událostí Operations Manageru se zapíše následující událost.

Během instalace certifikátu spustíte nástroj MOMCertImport. Po dokončení nástroje MOMCertImport se sériové číslo importovaného certifikátu zapíše do registru v následujícím podklíči.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Ověřování a šifrování dat mezi serverem pro správu, serverem brány a agenty

Komunikace mezi těmito funkcemi Operations Manageru začíná vzájemným ověřováním. Pokud jsou certifikáty přítomny na obou koncích komunikačního kanálu, certifikáty budou použity pro vzájemné ověřování; v opačném případě se použije protokol Kerberos verze 5. Pokud jsou v nedůvěryhodné doméně oddělené některé dvě funkce, je nutné provést vzájemné ověřování pomocí certifikátů. V tomto kanálu probíhají normální komunikace, jako jsou události, výstrahy a nasazení sady Management Pack. Předchozí obrázek ukazuje příklad výstrahy vygenerované na jednom z agentů směrovaných na server pro správu. Z agenta na server brány se balíček zabezpečení Kerberos používá k šifrování dat, protože server brány a agent jsou ve stejné doméně. Výstraha se dešifruje serverem brány a znovu zašifruje pomocí certifikátů pro server pro správu. Server brány odešle zašifrovanou zprávu na server pro správu, kde server pro správu dešifruje výstrahu. Určitá komunikace mezi serverem pro správu a agentem může zahrnovat informace o přihlašovacích údaji; Například konfigurační data a úlohy. Kromě normálního šifrování kanálu přidá datový kanál mezi agentem a serverem pro správu další vrstvu šifrování. Nevyžaduje se žádný zásah uživatele.

Server pro správu a konzola Operations Console, server webové konzoly a server pro sestavy

Ověřování a šifrování dat mezi serverem pro správu a konzolou Operations Console, serverem webové konzoly nebo serverem pro generování sestav se provádí pomocí technologie Wcf (Windows Communication Foundation). Počáteční pokus o ověření se provede pomocí přihlašovacích údajů uživatele. Nejprve se pokusíte o protokol Kerberos. Pokud protokol Kerberos nefunguje, provede se další pokus pomocí protokolu NTLM. Pokud ověřování stále selže, zobrazí se uživateli výzva k zadání přihlašovacích údajů. Po ověření se datový stream zašifruje jako funkce protokolu Kerberos nebo SSL, pokud se používá protokol NTLM.

V případě serveru pro sestavy a serveru pro správu se po ověření vytvoří datové připojení mezi serverem pro správu a serverem pro sestavy SYSTÉMU SQL Server. Toho se dosahuje výhradně pomocí protokolu Kerberos; server pro správu a server pro sestavy se proto musí nacházet v důvěryhodných doménách. Další informace o WCF naleznete v článku MSDN What Is Windows Communication Foundation.

Server pro správu a datový sklad pro sestavy

Mezi serverem pro správu a datovým skladem pro sestavy existují dva komunikační kanály:

• Proces hostitele monitorování vytvořený službou Health Service (služba System Center Management) na serveru pro správu
• Služby System Center Data Access na serveru pro správu

Monitorování hostitelského procesu a datového skladu vykazovaných sestav

Ve výchozím nastavení proces hostitele monitorování vytvořený službou Health Service, který je zodpovědný za zápis shromážděných událostí a čítačů výkonu do datového skladu, dosahuje integrovaného ověřování Systému Windows spuštěním jako účet zapisovače dat zadaný během instalace generování sestav. Přihlašovací údaje účtu jsou bezpečně uložené v účtu Spustit jako s názvem Účet akce datového skladu. Tento účet Spustit jako je členem profilu Spustit jako s názvem Účet datového skladu (který je přidružený k skutečným pravidlům shromažďování).

Pokud je datový sklad vykazovaných sestav a server pro správu oddělené hranicí důvěryhodnosti (například každý se nachází v různých doménách bez vztahu důvěryhodnosti), integrované ověřování systému Windows nebude fungovat. Pokud chcete tuto situaci obejít, proces hostitele monitorování se může připojit k datovému skladu vykazovaných sestav pomocí ověřování SQL Serveru. Uděláte to tak, že vytvoříte nový účet Spustit jako (typu Jednoduchý účet) s přihlašovacími údaji účtu SQL a nastavíte ho jako člena profilu Spustit jako s názvem Účet ověřování SQL Serveru datového skladu s serverem pro správu jako cílovým počítačem.

Následující informace popisují vztah různých přihlašovacích údajů účtu, účtů Spustit jako a profilů Spustit jako pro integrované ověřování systému Windows i ověřování SYSTÉMU SQL Server.

Výchozí: Integrované ověřování systému Windows

1. Profil Spustit jako: Účet datového skladu

   • Účet Spustit jako: Akce datového skladu
   • Přihlašovací údaje účtu: Účet zapisovače dat (zadaný během instalace)

2. Profil Spustit jako: Účet ověřování SQL Serveru datového skladu

   • Účet Spustit jako: Ověřování SQL Serveru datového skladu
   • Přihlašovací údaje účtu: Speciální účet vytvořený nástrojem Operations Manager (nemění se)

Volitelné: Ověřování SQL Serveru

1. Profil Spustit jako: Účet ověřování SQL Serveru datového skladu
   • Účet Spustit jako: Účet Spustit jako, který jste zadali během instalace.
   • Přihlašovací údaje účtu: Účet, který jste zadali během instalace.

Služba System Center Data Access a datový sklad vykazování

Ve výchozím nastavení služba System Center Data Access, která je zodpovědná za čtení dat z datového skladu vykazovaných sestav a zpřístupnění v oblasti parametrů sestavy, dosahuje integrovaného ověřování systému Windows spuštěním účtu služby Data Access Service a konfigurační služby, který byl definován během instalace nástroje Operations Manager.

Pokud je datový sklad vykazovaných sestav a server pro správu oddělené hranicí důvěryhodnosti (například každý se nachází v různých doménách bez vztahu důvěryhodnosti), integrované ověřování systému Windows nebude fungovat. Pokud chcete tuto situaci obejít, může se služba System Center Data Access připojit k datovému skladu vykazované sestavy pomocí ověřování SQL Serveru. Uděláte to tak, že vytvoříte nový účet Spustit jako (typu Jednoduchý účet) s přihlašovacími údaji účtu SQL a nastavíte ho jako člena profilu Spustit jako s názvem Účet ověřování serveru SQL SDK pro sestavy se serverem pro správu jako cílovým počítačem.

Následující informace popisují vztah různých přihlašovacích údajů účtu, účtů Spustit jako a profilů Spustit jako pro integrované ověřování systému Windows i ověřování SYSTÉMU SQL Server.

Výchozí: Integrované ověřování systému Windows

1. Účet služby Data Access a konfigurační služby (definovaný během instalace nástroje Operations Manager)

   • Profil Spustit jako: Účet ověřování SQL Serveru sady SDK pro vytváření sestav
   • Účet Spustit jako: Účet ověřování SQL Serveru sady SDK pro generování sestav
   • Přihlašovací údaje účtu: Speciální účet vytvořený nástrojem Operations Manager (nemění se)

2. Volitelné: Ověřování SQL Serveru

   • Profil Spustit jako: Účet ověřování SQL Serveru datového skladu
   • Účet Spustit jako: Účet Spustit jako, který jste zadali během instalace.
   • Přihlašovací údaje účtu: Účet, který jste zadali během instalace.

Konzola Operations Console a server pro sestavy

Konzola Operations Console se připojí k serveru pro sestavy na portu 80 pomocí protokolu HTTP. Ověřování se provádí pomocí ověřování systému Windows. Data je možné zašifrovat pomocí kanálu SSL.

Server pro sestavy a datový sklad pro sestavy

Ověřování mezi serverem pro sestavy a datovým skladem vykazovaných sestav se provádí pomocí ověřování systému Windows. Účet, který byl zadán jako účet čtenáře dat během nastavení generování sestav, se stane účet spuštění na serveru pro sestavy. Pokud by se mělo změnit heslo pro účet, budete muset stejnou změnu hesla provést pomocí Správce konfigurace služby Reporting Services na SQL Serveru. Data mezi serverem pro sestavy a datovým skladem vykazovaných sestav nejsou šifrovaná.