Erforderliche Funktionen für UNIX- und Linux-Konten

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

Für den Zugriff auf UNIX- und Linux-Computer in System Center – Operations Manager werden drei ausführende Profile verwendet. Ein Profil ist mit einem nicht privilegierten Konto verbunden. Die beiden anderen Profile sind dagegen mit einem privilegierten Konto oder einem nicht privilegierten Konto, dessen Rechte mit sudo oder suerhöht wurden, verknüpft.

Im einfachsten Fall weist ein privilegiertes Konto Funktionen auf, die einem UNIX- und Linux-Stammkonto entsprechen. Die Funktionen eines nicht privilegierten Kontos entsprechen dagegen einem normalen Benutzerkonto. Wenn Sie jedoch bei einigen Computerversionen von UNIX und Linux sudo für die Erhöhung der Rechte verwenden, können Sie den Konten spezifischere Funktionen zuweisen.

In der folgenden Tabelle werden die jeweiligen Funktionen aufgeführt, die für Konten erforderlich sind, die einem der drei ausführenden Profile zugewiesen sind. Diese Beschreibungen sind allgemein, da die Informationen, wie genaue Dateisystempfade, sich bei unterschiedlichen UNIX- und Linux-Computerversionen unterscheiden können.

Hinweis

In der folgenden Tabelle werden die erforderlichen Funktionen für Konten zur Kommunikation mit dem Operations Manager-Agent auf einem verwalteten UNIX- oder Linux-Computer beschrieben. Der Agent selbst muss auf dem UNIX- oder Linux-Computer immer mit dem Stammkonto ausgeführt werden.

UNIX- und Linux-Profil Erforderliche Funktionen
Aktionsprofil – Zum Anmelden des UNIX- oder Linux-Computers beim Netzwerk, authentifiziert durch Pluggable Authentication Modules (PAM). Muss eine Shell im Hintergrund ausführen können (ohne TTY-Verbindung). Interaktive Anmeldungen sind nicht erforderlich.
– Zum Lesen sämtlicher Protokolldateien, die als nicht privilegiert angegeben wurden, wenn ein benutzerdefinierter Protokolldateimonitor erstellt wurde. Außerdem muss /opt/microsoft/scx/bin/scxlogfilereader ausgeführt werden können.
Zum vollständigen Ausführen von Befehlen der Befehlsshell, die als nicht privilegiert angegeben wurde, wenn ein Befehlszeilenmonitor, eine Regel oder ein Task erstellt wurde.
– Zum Ausführen von /usr/bin/vmstat für den Task VMStat ausführen.
Privilegiertes Profil – Zum Anmelden des UNIX- oder Linux-Computers beim Netzwerk, authentifiziert durch PAM. Muss eine Shell im Hintergrund ausführen können (ohne TTY-Verbindung). Interaktive Anmeldungen sind nicht erforderlich. Bei einem Konto mit durch sudo erhöhten Rechten gilt diese Anforderung für das Konto vor der Erhöhung der Rechte. – Zum vollständigen Ausführen einer Shellbefehlszeile, die als privilegiert angegeben wurde, wenn ein Befehlszeilenmonitor, eine -regel oder eine -ermittlung erstellt wurde. – Zum Nutzen der folgenden Funktionen für die Protokolldateiüberwachung:

– Zum Lesen der zu überwachenden Protokolldatei.

Standardmäßig ist für Protokolldateien wie Syslog festgelegt, dass sie nur vom Stammkonto gelesen werden können, und diesem Profil zugewiesene Konten können diese Dateien lesen. Statt Konten die vollständigen Stammrechte zu erteilen, könnten die Berechtigungen für die Protokolldatei geändert werden, sodass einer sicheren Gruppe Zugriff gewährt wird, und die Konten werden in diese Gruppe aufgenommen. Bei einer regelmäßigen Rotation der Protokolldatei müssen Sie sicherstellen, dass die Gruppenberechtigungen bei der Rotation erhalten bleiben. – Zum Lesen sämtlicher Protokolldateien, die als privilegiert angegeben wurden, wenn ein benutzerdefinierter Protokolldateimonitor erstellt wurde. – Zum Ausführen von /opt/microsoft/scx/bin/scxlogfilereader. – Zum Ausführen von Tasks, Wiederherstellungen und Diagnosen. Diese Anforderungen müssen nur erfüllt sein, wenn der Operations Manager-Operator sich explizit für eine Ausführung entscheidet.

– Für viele Wiederherstellungen ist das Beenden und ein Neustart eines Daemonprozesses erforderlich. Zum Beenden und für den Neustart müssen diese Wiederherstellungen die Steuerungsschnittstellen für Dienste (wie /et/init.d für Linux und svcadm für Solaris) ausführen können. Für solche Steuerungsschnittstellen für Dienste ist es normalerweise erforderlich, den Befehl kill für den Daemonprozess und andere grundlegende UNIX- und Linux-Befehle ausführen zu können. – Die Anforderungen für andere Tasks, Wiederherstellungen und Diagnosen hängen von den Details der jeweiligen Aktion ab.
Agentwartungsprofil für Konten, die zum Installieren von Agents für die anfängliche Überwachung verwendet werden. – Zum Anmelden des UNIX- oder Linux-Computers mit Secure Shell (SSH) beim Netzwerk, authentifiziert durch PAM. Muss eine Shell im Hintergrund ausführen können (ohne TTY-Verbindung). Interaktive Anmeldungen sind nicht erforderlich. Bei einem Konto mit durch sudoerhöhten Rechten gilt diese Anforderung für das Konto vor der Erhöhung der Rechte. – Zum Ausführen des Installationsprogramms für das Systempaket, wie rpm unter Linux, um den Operations Manager-Agent zu installieren. – Zum Ausführen von Lese- und Schreibvorgängen in den folgenden Verzeichnissen und zum Erstellen der Verzeichnisse und etwaiger Unterverzeichnisse, sofern sie noch nicht vorhanden sind:

/opt/opt/microsoft/opt/microsoft/scx/etc/opt/microsoft/scx/var/opt/microsoft/scx/opt/omi/etc/opt/omi/var/opt/omi – Zum Ausführen des Befehls kill für laufende Operations Manager-Agent-Prozesse. – Zum Starten des Operations Manager-Agents. – Zum Hinzufügen und Entfernen eines Systemdaemons, einschließlich des Operations Manager-Agents, mit dafür vorgesehenen Plattformtools. – Zum Ausführen grundlegender UNIX- und Linuxbefehle, wie cat, ls, pwd, cp, mv, rm, gzip (oder vergleichbare).

Wichtige Sicherheitsüberlegungen

Der Operations Manager-Linux/UNIX-Agent verwendet den Standardmechanismus PAM (Pluggable Authentication Module) auf dem Linux- oder UNIX-Computer zur Authentifizierung des Benutzernamens und des Kennworts, die im Aktionsprofil und im Berechtigungsprofil angegeben wurden. Unter allen Benutzernamen mit einem Kennwort, das PAM authentifiziert, können Überwachungsfunktionen ausgeführt werden, darunter Befehlszeilen und Skripts für die Erfassung von Überwachungsdaten. Solche Überwachungsfunktionen werden immer im Kontext des Benutzernamens ausgeführt, es sei denn, die Erhöhung von „sudo“ ist explizit für diesen Benutzernamen aktiviert. Der Operations Manager-Agents bietet also keine weiteren Funktionen, als wenn sich der Benutzername beim Linux/UNIX-System anmelden soll.

Die vom Operations Manager-Agent verwendete PAM-Authentifizierung erfordert jedoch nicht, dass dem Benutzernamen eine interaktive Shell zugeordnet ist. Wenn es zu den Verwaltungsmethoden Ihres Linux/UNIX-Kontos gehört, die interaktive Shell als Möglichkeit zur Pseudodeaktivierung eines Kontos zu entfernen, wird durch ein solches Entfernen nicht verhindert, dass das Konto zum Verbinden mit dem Operations Manager-Agent und der Ausführung von Überwachungsfunktionen verwendet wird. Verwenden Sie in diesen Fällen zusätzliche PAM-Konfiguration, um sicherzustellen, dass diese pseudodeaktivierten Konten nicht beim Operations Manager-Agent authentifiziert werden.

Nächste Schritte