Unix および Linux コンピューターにアクセスするためのセキュリティ資格情報の計画
この記事では、UNIX または Linux コンピューターにエージェントをインストール、保守、アップグレード、アンインストールするために必要な資格情報について説明します。
Operations Manager では、管理サーバーは 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。
Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)
- エージェントのインストール、更新、および削除に使用します。
Web Services for Management (WS-Management)
- すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。
使用されるプロトコルは、管理サーバーで求められる操作または情報によって決まります。 エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。
Operations Manager では、システム管理者は UNIX または Linux コンピューターのルート パスワードを管理サーバーに提供する必要がなくなりました。 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。 SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。
エージェントをインストールするための資格情報
Operations Manager では、Secure Shell (SSH) プロトコルを使用してエージェントをインストールし、Web Services for Management (WS-Management) を使用して、以前にインストールされたエージェントを検出します。 インストールには、UNIX または Linux コンピューター上で特権を付与されたアカウントが必要です。 ターゲット コンピューターに資格情報を提供するには、コンピューターとデバイスの管理ウィザードで利用可能な、次の 2 とおりの方法があります。
ユーザー名とパスワードを指定する。
SSH プロトコルでは、エージェントをインストールするためにパスワードを使用するか、または署名付き証明書を使用してエージェントが既にインストールされていた場合には WS-Management プロトコルを使用します。
ユーザー名と SSH キーを指定します。 このキーには、オプションのパスフレーズを含めることができます。
特権アカウントの資格情報を使用していない場合は、UNIX または Linux コンピューターの特権の昇格によってアカウントが特権アカウントになるように、追加の資格情報を指定できます。
エージェントが検証されるまで、インストールは完了しません。 WS-Management プロトコルにより、エージェント検証が実行されます。その際には、エージェントのインストールに使用される特権アカウントとは別個に管理サーバー上で維持されている資格情報が使用されます。 次のいずれかの操作を行った場合は、エージェント検証用のユーザー名とパスワードを指定する必要があります。
キーを使用して特権付きアカウントを指定した。
キーを指定した sudo を使用することにより、昇格の対象として特権を付与されていないアカウントを指定した。
[検出の種類] が [UNIX/Linux エージェントがインストールされているコンピューターのみ]に設定された状態でウィザードを実行した。
別の方法として、エージェントとその証明書を、UNIX または Linux コンピューター上に手動でインストールした後、そのコンピューターを検出することも可能です。 これが、セキュリティ上最も安全なエージェントのインストール方法です。 詳細については、「 コマンド ラインを使用して UNIX および Linux コンピューターにエージェントと証明書をインストールするを参照してください。
操作を監視し、エージェントのメンテナンスを実行するための資格情報
Operations Manager には、UNIX および Linux コンピューターの監視とエージェントのメンテナンスの実行に使用する 3 つの定義済みプロファイルが含まれています。
UNIX/Linux アクション アカウント
これは、基本ヘルスとパフォーマンスの監視に必要な、特権のないアカウント プロファイルです。
UNIX/Linux 特権を持つアカウント
これは、ログ ファイルなどの保護されているリソースの監視に使用される特権付きのアカウント プロファイルです。
UNIX/Linux メンテナンス アカウント
このプロファイルは、エージェントの更新や削除など、特権付きのメンテナンス操作に使用します。
UNIX および Linux 管理パックにおいて、ルール、モニター、タスク、復元、および管理パックのその他の要素は、すべてこれらのプロファイルを使用するように構成されています。 そのため、特別な状況で指示されない限り、実行プロファイル ウィザードを使用して追加のプロファイルを定義する必要はありません。 プロファイルは、スコープ内では累積されません。 たとえば、UNIX/Linux メンテナンス アカウント プロファイルは、特権アカウントを使用して構成されているため、他のプロファイルの代わりに使用することはできません。
Operations Manager では、プロファイルは少なくとも 1 つの実行アカウントに関連付けられるまで機能しません。 UNIX または Linux コンピューターにアクセスするための資格情報は、実行アカウントの中で構成されます。 UNIX および Linux の監視のための事前定義済み実行アカウントは存在しないため、それらを作成する必要があります。
実行アカウントを作成するには、 [管理] ワークスペースで [UNIX/Linux アカウント] を選択すると使用可能になる UNIX/Linux 実行アカウント ウィザード を実行する必要があります。 このウィザードにより、選択した実行アカウントの種類を基に実行アカウントが作成されます。 実行アカウントには、次の 2 種類があります。
監視アカウント
このアカウントは、WS-Management を使用することにより通信を実行する操作において、進行中の正常性とパフォーマンス監視のために使用します。
エージェント メンテナンス アカウント
このアカウントは、SSH を使用することによって通信を実行する操作において、更新やアンインストールなどのエージェント メンテナンスのために使用します。
これらの実行アカウントの種類は、提供する資格情報ごとに異なるアクセス レベルで構成できます。 資格情報には、特権のないアカウント、特権付きアカウント、あるいは、特権付きアカウントに昇格される特権のないアカウントを使用できます。 次の表に、プロファイル、実行アカウント、およびアクセス レベル間のリレーションシップを示します。
プロファイル | 実行アカウントの種類 | 許可されるアクセス レベル |
---|---|---|
UNIX/Linux アクション アカウント | 監視アカウント | - 特権なし - 特権付き - 特権付きに昇格される特権なし |
UNIX/Linux 特権を持つアカウント | 監視アカウント | - 特権付き - 特権付きに昇格される特権なし |
UNIX/Linux メンテナンス アカウント | エージェント メンテナンス アカウント | - 特権付き - 特権付きに昇格される特権なし |
Note
プロファイルは 3 つありますが、実行アカウントの種類は 2 つだけです。
監視実行アカウントのタイプを指定した場合、WS-Management プロトコルで使用するユーザー名とパスワードを指定する必要があります。 エージェント メンテナンス実行アカウントのタイプを指定する場合、SSH プロトコルを使用することによって対象コンピューターに資格情報を提供するための方法を指定する必要があります。
ユーザー名とパスワードを指定する。
ユーザー名とキーを指定する。 オプションのパスフレーズを含めることができます。
実行アカウントを作成した後、UNIX および Linux プロファイルを編集し、それらを、作成した実行アカウントに関連付ける必要があります。 詳細な手順については、「 UNIX および Linux Access の実行アカウントとプロファイルを構成する方法」を参照してください。
重要なセキュリティに関する考慮事項
Operations Manager Linux/UNIX エージェントは、Linux または UNIX コンピューター上の標準 PAM (プラグ可能な認証モジュール) メカニズムを使用して、アクション プロファイルと特権プロファイルで指定されたユーザー名とパスワードを認証します。 PAM が認証するパスワードを持つユーザー名は、コマンド ラインの実行や監視データを収集するスクリプトなど、監視機能を実行できます。 このような監視機能は常に、そのユーザー名のコンテキストで実行されます (sudo 昇格がそのユーザー名に対して明示的に有効になっている場合を除く)。そのため、Operations Manager エージェントは、ユーザー名が Linux/UNIX システムにサインインする場合よりも多くの機能を提供しません。
ただし、Operations Manager エージェントで使用される PAM 認証では、ユーザー名に対話型シェルが関連付けられている必要はありません。 Linux/UNIX アカウント管理プラクティスに、アカウントを擬似的に無効にする方法として対話型シェルの削除が含まれている場合、このような削除によって、アカウントが Operations Manager エージェントへの接続や監視機能の実行に使用されるのを防ぐことはありません。 このような場合は、追加の PAM 構成を使用して、これらの擬似無効アカウントが Operations Manager エージェントに対して認証されないようにする必要があります。
エージェントをアップグレードおよびアンインストールするための資格情報
UNIX/Linux エージェントのアップグレード ウィザード と UNIX/Linux エージェントのアンインストール ウィザード により、ターゲット コンピューターに資格情報が提供されます。 まずウィザードで、アップグレードまたはアンインストールのターゲットとなるコンピューターの選択を求めるプロンプトを表示され、次に、ターゲット コンピューターに資格情報を提供する方法のオプションが示されます。
既存の関連する実行アカウントを使用する
このオプションは、UNIX/Linux アクション アカウント プロファイルおよび UNIX/Linux メンテナンス アカウント プロファイルに関連付けられた資格情報を使用する場合に選択します。
ウィザードでは、選択した 1 つ以上のコンピューターに必要なプロファイルに関連付けられている実行アカウントがない場合に警告が表示されます。その場合は、関連付けられている実行アカウントを持たないコンピューターに戻ってクリアするか、資格情報を指定する必要があります。
資格情報を指定する
このオプションは、ユーザー名とパスワードまたはユーザー名とキーを使用することによって Secure Shell (SSH) の資格情報を指定する場合に選択します。 必要に応じて、パスフレーズをキーと共に指定できます。 資格情報が特権アカウント用でない場合は、UNIX su または sudo 昇格プログラムを使用して、ターゲット コンピューター上の特権アカウントに昇格させることができます。 'su' の昇格にはパスワードが必要です。 sudo 昇格を使用する場合は、特権のないアカウントを使用して、エージェント検証用のユーザー名とパスワードの入力を求められます。