Unterstützung der Kerberos-Authentifizierung für UNIX- und Linux-Computer

  • Artikel

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

System Center Operations Manager Version 1801 und höher kommuniziert mithilfe des Secure Shell-Protokolls (SSH) und der Webdienste für die Verwaltung (Web Services for Management, WS-Management) mit UNIX- und Linux-Computern. Agent-Aktionen, z.B. Agent-Installation, -Deinstallation und -Aktualisierung erfolgen über SSH und erfordern ein privilegiertes Konto. Agent-Ermittlung und -Überwachung nutzen die Webdienste für die Verwaltung und erfordern nur ein gering privilegiertes Konto.

Operations Manager kann jetzt überall dort die Kerberos-Authentifizierung unterstützen, wo das WS-Management-Protokoll für die Verwaltung vom Management Server für die Kommunikation mit UNIX- und Linux-Computern verwendet wird. Hinzufügen von Kerberos-Unterstützung für UNIX- und Linux-Computer bietet größere Sicherheit, da der Management Server dann nicht mehr die Standardauthentifizierung für die Windows-Remoteverwaltung (Windows Remote Management, WinRM) aktivieren muss.

Hinweis

Deaktivieren Sie die Standardauthentifizierung für WinRM nicht, wenn Sie die Windows Kerberos-Authentifizierung nicht verwenden.

UNIX- und Linux-Kerberos-Unterstützung durch Operations Manager nach Aktivität

Aktivität Protokoll Unterstützung für Kerberos
Agent-Installation SSH Nein
Agent-Deinstallation SSH Nein
Agent-Aktualisierung SSH Nein
Agent-Wiederherstellung SSH Nein
Agent-Überwachung WS-Man Ja
Agent-Ermittlung WS-Man Ja

Voraussetzungen

Die UNIX- und Linux-Überwachung mit Operations Manager wird auf vielen Betriebssystemen unterstützt.

Die folgende Teilmenge dieser Betriebssysteme unterstützt jetzt WS-Management Kommunikation über Kerberos: (Nur die zuletzt veröffentlichte Version jeder Verteilung wird unterstützt.)

Betriebssystem Version
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 8
CentOS 6
CentOS 7
UBUNTU Server 14
UBUNTU Server 15
Betriebssystem Version
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 8
CentOS 7
Rocky Linux 8
Alma Linux 8
SLES 12
SLES 15
Debian 9
Debian 10
Debian 11
Oracle Linux 7
Oracle Linux 8
Ubuntu Server 16
Ubuntu Server 18
Ubuntu Server 20
Betriebssystem Version
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 8
CentOS 7
Rocky Linux 8
Alma Linux 8
SLES 12
SLES 15
Debian 9
Debian 10
Debian 11
Oracle Linux 7
Oracle Linux 8
Ubuntu Server 16
Ubuntu Server 18
Ubuntu Server 20

  • UNIX- oder Linux-Agent muss in die Domäne eingebunden sein.

  • Ausführende Konten müssen so konfiguriert sein, dass domänenbasierte Konten verwendet werden, die dem entsprechenden Unix/Linux-Ausführungsprofil zugeordnet sind.

  • Aktivieren von Kerberos-Authentifizierung setzt voraus, dass alle UNIX- und Linux-Agents, die mit dem Management Server kommunizieren, Kerberos unterstützen. Die Authentifizierung im gemischten Modus, bei denen einige Agents die Standardauthentifizierung und andere Kerberos verwenden, wird nicht unterstützt. Verwenden Sie stattdessen separate Ressourcenpools und Verwaltungsserver, um dies zu erreichen.

Aktivieren oder Deaktivieren der Kerberos-Authentifizierung auf einem Verwaltungs- oder Gatewayserver

Verwenden Sie das folgende Verfahren, um die Kerberos-Authentifizierung auf einem Verwaltungs- oder Gatewayserver zu aktivieren bzw. zu deaktivieren.

  1. Öffnen Sie die Betriebskonsole mit einem Konto, das Mitglied der Operations Manager-Administratorrolle ist.

  2. Wählen Sie Status des Verwaltungsservers oder Status des Gatewayservers aus, wie nachfolgend gezeigt:

    • Wählen Sie für Verwaltungsserver ÜberwachungOperations ManagerVerwaltungsserverStatus des VerwaltungsserversStatus des Verwaltungsservers aus.
    • Wählen Sie für Gatewayverwaltungsserver ÜberwachungOperations ManagerVerwaltungsserverStatus des VerwaltungsserversStatus des Gatewayverwaltungsservers aus.

    Screenshot: Aktivieren oder Deaktivieren der Kerberos-Authentifizierung

  3. Wählen Sie im rechten Aufgabenbereich Linux-Authentifizierungstyp aktivieren aus.

    Diese Aufgabe aktiviert/deaktiviert die Kerberos-Authentifizierung für die Linux-Überwachung auf dem Verwaltungs- oder Gatewayserver.

  4. Klicken Sie auf Run (Ausführen).

Hinweis

Diese Aufgabe legt den Registrierungseintrag Authentifizierung auf folgenden Speicherort fest:

HKLM:\Software\Microsoft\Microsoft Operations Manager\3.0\Setup\Linux Auth in Kerberos.

Wiederholen Sie die obigen Schritte auf allen Verwaltungsservern im UNIX- und Linux-Ressourcenpool, für die die Kerberos-Authentifizierung auf den SCX-Agents erfolgen soll.

Überprüfen der Kerberos-Authentifizierung über die Konsole

So überprüfen Sie über die Operations Manager-Konsole, ob die Kerberos-Authentifizierung funktioniert:

  1. Auswählen von Überwachen von>UNIX/Linux-Computern> Auswählen eines UNIX- oder Linux-Computers

  2. Wählen Sie im rechten Aufgabenbereich Speicherinformationen.

  3. Vergewissern Sie sich, dass die Aufgabe erfolgreich ausgeführt wird.

    Screenshot der Aufgabenausgabe.

Überprüfen der Kerberos-Authentifizierung über die Befehlszeile

Führen Sie folgende Schritte aus, um die Kerberos-Authentifizierung zwischen einem Management Server und einem UNIX- oder Linux-Agent über die Befehlszeile zu überprüfen:

  1. Starten Sie eine Eingabeaufforderung als Administrator vom Verwaltungsserver aus, und führen Sie das folgende Skript aus, während Sie die entsprechenden Informationen durch Servername, Benutzername und Kennwort ersetzen.

    winrm e http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_Agent?__cimnamespace=root/scx -r:https://<UNIX/Linux servername>:1270 -u:<username@contoso.com> -p:<password> -auth:Kerberos -skipcacheck -skipcncheck -encoding:utf-8

  2. Stellen Sie sicher, dass die Ausgabe angibt, dass der Befehl erfolgreich war.