Planowanie poświadczeń zabezpieczeń na potrzeby uzyskiwania dostępu do komputerów z systemami Unix i Linux
W tym artykule opisano poświadczenia wymagane do zainstalowania, konserwacji, uaktualnienia i odinstalowania agentów na komputerze z systemem UNIX lub Linux.
W programie Operations Manager serwer zarządzania używa dwóch protokołów do komunikowania się z komputerem z systemem UNIX lub Linux:
Secure Shell (SSH) i Secure Shell File Transfer Protocol (SFTP)
- Używany do instalacji, uaktualniania i usuwania agentów.
Web Services for Management (WS-Management)
- Używany do wszystkich operacji monitorowania, w tym do odnajdywania agentów, którzy już zostali zainstalowani.
To, który protokół zostaje użyty, zależy od tego, jakiego działania lub jakich informacji żąda się na serwerze zarządzania. Wszystkie działania, takie jak konserwacja agentów, monitory, zasady, zadania i odzyskiwania, są skonfigurowane pod kątem korzystania ze wstępnie zdefiniowanych profilów zgodnie z ich wymaganiem dotyczącym konta nieuprzywilejowanego lub uprzywilejowanego.
W programie Operations Manager administrator systemu nie musi już podać hasła głównego komputera z systemem UNIX lub Linux na serwerze zarządzania. Teraz dzięki podniesieniu uprawnień konto nieuprzywilejowane może przyjąć tożsamość konta uprzywilejowanego na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agentów, które korzystają z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnianie, dezinstalacja i odzyskiwanie agentów), zapewnia się obsługę polecenia su, podniesienia uprawnień sudo oraz uwierzytelniania klucza SSH (z hasłem lub bez). W przypadku uprzywilejowanych operacji korzystających z protokołu WS-Management (takich jak wyświetlanie bezpiecznych plików dziennika) jest dodawana obsługa podniesienia uprawnień sudo (bez hasła).
Poświadczenia do instalowania agentów
Program Operations Manager używa protokołu Secure Shell (SSH) do instalowania agenta i usług sieci Web na potrzeby zarządzania (WS-Management), aby odnaleźć wcześniej zainstalowanych agentów. Instalacja wymaga uprzywilejowanego konta na komputerze z systemem UNIX lub Linux. Istnieją dwa sposoby dostarczania poświadczeń do komputera docelowego, uzyskane przez komputer i kreatora Zarządzanie urządzeniami:
Określ nazwę użytkownika i hasło.
Protokół SSH używa hasła do instalowania agenta lub protokołu WS-Management, jeśli agent został już zainstalowany przy użyciu podpisanego certyfikatu.
Określ nazwę użytkownika i klucz SSH. Klucz może zawierać opcjonalne hasło.
Jeśli nie używasz poświadczeń dla uprzywilejowanego konta, możesz podać dodatkowe poświadczenia, aby twoje konto stało się uprzywilejowanym kontem poprzez podniesienie uprawnień na komputerze z systemem UNIX lub Linux.
Instalacja nie zostanie ukończona, dopóki agent nie zostanie zweryfikowany. Weryfikacja agenta jest przeprowadzana przez protokół WS-Management, który używa poświadczeń przechowywanych na serwerze zarządzania, niezależnie od uprzywilejowanego konta używanego do instalowania agenta. Jeśli wykonano jedną z następujących czynności, musisz podać nazwę użytkownika i hasło do weryfikacji agenta:
Przy użyciu klucza podano uprzywilejowane konto.
Podano nieuprzywilejowane konto, które ma zostać podniesione przy użyciu polecenia sudo z kluczem.
Uruchom kreatora z typem odnajdywania ustawionym na odnajdywanie tylko komputerów z zainstalowanym agentem systemu UNIX/Linux.
Alternatywnie można zainstalować agenta, w tym jego certyfikat, ręcznie na komputerze z systemem UNIX lub Linux, a następnie odnaleźć ten komputer. Ta metoda jest najbezpieczniejszym sposobem instalowania agentów. Aby uzyskać więcej informacji, zobacz Instalowanie agenta i certyfikatu na komputerach z systemami UNIX i Linux przy użyciu wiersza polecenia.
Poświadczenia na potrzeby monitorowania operacji i przeprowadzania konserwacji agenta
Program Operations Manager zawiera trzy wstępnie zdefiniowane profile do użycia w monitorowaniu komputerów z systemami UNIX i Linux oraz przeprowadzaniu konserwacji agenta:
Konto działania systemu UNIX/Linux
Ten profil jest nieuprzywilejowanym profilem konta wymaganym do podstawowego monitorowania kondycji i wydajności.
Uprzywilejowane konto systemu UNIX/Linux
Ten profil to profil konta uprzywilejowanego używany do monitorowania chronionych zasobów, takich jak pliki dziennika.
Konto konserwacji systemu UNIX/Linux
Ten profil jest używany w przypadku uprzywilejowanych operacji konserwacji, takich jak aktualizowanie i usuwanie agentów.
W pakietach administracyjnych systemów UNIX i Linux wszystkie reguły, monitory, zadania, odzyskiwanie i inne elementy pakietu administracyjnego są skonfigurowane do używania tych profilów. Nie ma więc potrzeby definiowania dodatkowych profilów przy użyciu Kreatora profilów Uruchom jako, chyba że dyktują je specjalne okoliczności. Profile nie są skumulowane w zakresie. Na przykład profil konta konserwacji systemu UNIX/Linux nie może być używany zamiast innych profilów, ponieważ jest skonfigurowany przy użyciu konta uprzywilejowanego.
W programie Operations Manager profil nie może działać, dopóki nie zostanie skojarzony z co najmniej jednym kontem Uruchom jako. Poświadczenia na potrzeby uzyskiwania dostępu do komputerów z systemem UNIX lub Linux są konfigurowane na kontach Uruchom jako. Ponieważ nie ma wstępnie zdefiniowanych kont Uruchom jako na potrzeby monitorowania systemów UNIX i Linux, należy je utworzyć.
Aby utworzyć konto Uruchom jako, należy uruchomić Kreatora konta Uruchom jako systemu UNIX/Linux, który jest dostępny po wybraniu pozycji Konta systemu UNIX/Linux w obszarze roboczym Administracja. Kreator tworzy konto Uruchom jako na podstawie wyboru typu konta Uruchom jako. Istnieją dwa typy kont Uruchom jako:
Konto monitorowania
Użyj tego konta do ciągłego monitorowania kondycji i wydajności w operacjach, które komunikują się przy użyciu usługi WS-Management.
Konto konserwacji agenta
Użyj tego konta na potrzeby konserwacji agenta, takiej jak aktualizowanie i odinstalowywanie w operacjach komunikujących się przy użyciu protokołu SSH.
Te typy kont Uruchom jako można skonfigurować dla różnych poziomów dostępu zgodnie z poświadczeń, które podajesz. Poświadczenia mogą być kontami nieuprzywilejowanym lub uprzywilejowanymi albo kontami nieuprzywilejowanym, które zostaną podniesione do uprzywilejowanych kont. W poniższej tabeli przedstawiono relacje między profilami, kontami Uruchom jako i poziomami dostępu.
| Profile | Typ konta Uruchom jako | Dozwolone poziomy dostępu |
|---|---|---|
| Konto działania systemu UNIX/Linux | Konto monitorowania | -Nieuprzywilejowanych -Uprzywilejowany - Nieuprzywilejowane, podniesione do uprzywilejowanego |
| Uprzywilejowane konto systemu UNIX/Linux | Konto monitorowania | -Uprzywilejowany - Nieuprzywilejowane, podniesione do uprzywilejowanego |
| Konto konserwacji systemu UNIX/Linux | Konto konserwacji agenta | -Uprzywilejowany - Nieuprzywilejowane, podniesione do uprzywilejowanego |
Uwaga
Istnieją trzy profile, ale tylko dwa typy kont Uruchom jako.
Po określeniu typu konta Uruchom jako monitorowania należy określić nazwę użytkownika i hasło do użycia przez protokół WS-Management. Po określeniu typu konta Uruchom jako konserwacji agenta należy określić sposób podawania poświadczeń do komputera docelowego przy użyciu protokołu SSH:
Określ nazwę użytkownika i hasło.
Określ nazwę użytkownika i klucz. Możesz dołączyć opcjonalne hasło.
Po utworzeniu kont Uruchom jako należy edytować profile systemów UNIX i Linux, aby skojarzyć je z utworzonymi kontami Uruchom jako. Aby uzyskać szczegółowe instrukcje, zobacz How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Jak skonfigurować konta i profile Uruchom jako dla systemów UNIX i Linux Access)
Ważne zagadnienia dotyczące zabezpieczeń
Agent programu Operations Manager dla systemu Linux/UNIX używa standardowego mechanizmu PAM (podłączanego modułu uwierzytelniania) na komputerze z systemem Linux lub UNIX do uwierzytelniania nazwy użytkownika i hasła określonego w profilu akcji i profilu uprawnień. Dowolna nazwa użytkownika z hasłem uwierzytelnianym przez usługę PAM może wykonywać funkcje monitorowania, w tym uruchamianie wierszy poleceń i skryptów zbierających dane monitorowania. Takie funkcje monitorowania są zawsze wykonywane w kontekście tej nazwy użytkownika (chyba że podniesienie uprawnień sudo jest jawnie włączone dla tej nazwy użytkownika), więc agent programu Operations Manager nie zapewnia więcej możliwości niż jeśli nazwa użytkownika miała zalogować się do systemu Linux/UNIX.
Jednak uwierzytelnianie PAM używane przez agenta programu Operations Manager nie wymaga, aby nazwa użytkownika miała skojarzoną z nią interaktywną powłokę. Jeśli praktyki zarządzania kontami systemu Linux/UNIX obejmują usunięcie interaktywnej powłoki jako sposobu pseudo-wyłączenia konta, takie usunięcie nie uniemożliwia kontu nawiązywania połączenia z agentem programu Operations Manager i wykonywania funkcji monitorowania. W takich przypadkach należy użyć dodatkowej konfiguracji usługi PAM, aby upewnić się, że te pseudo-wyłączone konta nie uwierzytelniają się w agencie programu Operations Manager.
Poświadczenia uaktualniania i odinstalowywania agentów
Kreator uaktualniania agenta systemu UNIX/Linux i Kreator odinstalowywania agenta systemu UNIX/Linux dostarczają poświadczenia do komputerów docelowych. Kreatorzy najpierw monit o wybranie komputerów docelowych do uaktualnienia lub odinstalowania, a następnie opcje dotyczące sposobu podawania poświadczeń na komputerze docelowym:
Używanie istniejących skojarzonych kont Uruchom jako
Wybierz tę opcję, aby użyć poświadczeń skojarzonych z profilem konta działania systemu UNIX/Linux i profilem konta konserwacji systemu UNIX/Linux.
Kreator ostrzega użytkownika, jeśli co najmniej jeden z wybranych komputerów nie ma skojarzonego konta Uruchom jako w wymaganych profilach, w takim przypadku należy wrócić i wyczyścić te komputery, które nie mają skojarzonego konta Uruchom jako lub określ poświadczenia.
Określanie poświadczeń
Wybierz tę opcję, aby określić poświadczenia protokołu Secure Shell (SSH) przy użyciu nazwy użytkownika i hasła lub nazwy użytkownika i klucza. Opcjonalnie możesz podać hasło z kluczem. Jeśli poświadczenia nie są przeznaczone dla uprzywilejowanego konta, można je podnieść do uprzywilejowanego konta na komputerze docelowym przy użyciu programów podniesienia uprawnień systemu UNIX lub sudo. Podniesienie uprawnień "su" wymaga hasła. Jeśli używasz podniesienia uprawnień sudo, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła do weryfikacji agenta przy użyciu konta nieuprzywilejowanego.