Funcionalidades requeridas para cuentas UNIX y Linux
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
El acceso a los equipos UNIX y Linux en System Center Operations Manager usa tres perfiles de ejecución. Se asocia un perfil a una cuenta sin privilegios y se asocian las otras dos cuentas a una cuenta con privilegios o a una cuenta sin privilegios que se eleva con sudo o su.
En el caso más sencillo, una cuenta con privilegios tiene funcionalidades equivalentes a una cuenta raíz de UNIX y Linux, mientras que una cuenta sin privilegios tiene funcionalidades equivalentes a una cuenta de usuario normal. Sin embargo, con algunas versiones de equipos UNIX y Linux, y si utiliza sudo para elevar los privilegios, puede asignar más funcionalidades específicas a las cuentas.
En la tabla siguiente se indican las funcionalidades específicas que requieren las cuentas que se asignan a cada uno de los tres perfiles de ejecución. Estas descripciones son genéricas porque la información, como las rutas de acceso exactas del sistema de archivos, puede variar entre las diferentes versiones del equipo UNIX o Linux.
Nota
En la tabla siguiente, se describen las funcionalidades requeridas para que las cuentas se comuniquen con el agente de Operations Manager en un equipo administrado de UNIX o Linux, pero el agente siempre debe ejecutarse con la cuenta raíz en el equipo UNIX o Linux.
| Perfil de UNIX y Linux | Funcionalidades requeridas |
|---|---|
| Perfil de acción | - Para que el equipo UNIX o Linux inicie sesión en la red, autenticado por los módulos de autenticación conectables (PAM). Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY). Los inicios de sesión interactivos no son necesarios. - Para leer un archivo de registro que se haya especificado como sin privilegios cuando se creó un monitor de archivos de registro personalizado, además de la capacidad de ejecutar /opt/microsoft/scx/bin/scxlogfilereader. - Para ejecutar completamente cualquier comando del shell de comandos que se especificó como sin privilegios cuando se creó un monitor de línea de comandos, una regla o una tarea. - Para ejecutar /usr/bin/vmstat para la tarea Run VMStat. |
| Perfil con privilegios | - Para que el equipo UNIX o Linux inicie sesión en la red, autenticado por los PAM. Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY). Los inicios de sesión interactivos no son necesarios. En el caso de una cuenta que se eleva mediante el uso de sudo, este requisito se aplica a la cuenta antes de que se eleve. - Para ejecutar completamente cualquier línea de comandos del shell que se haya especificado como con privilegios cuando se creó un monitor de línea de comandos, una regla o una detección. - Para tener las siguientes funcionalidades de supervisión del archivo de registro:- Para leer el archivo de registro que se supervisará. De forma predeterminada, los archivos de registro como Syslog se establecen para que se lean solo por la raíz y las cuentas asignadas a este perfil puedan leer estos archivos. En vez de otorgar todos los privilegios de las cuentas raíz a las cuentas, los permisos del archivo de registro pueden cambiarse para otorgar acceso de lectura a un grupo seguro, y las cuentas podrían convertirse en miembros de ese grupo. Si el archivo de registro se cambia periódicamente, debe asegurarse de que el procedimiento de cambio conserva los permisos del grupo. - Para leer cualquier archivo de registro que se especificó como con privilegios cuando se creó un monitor de archivos de registro personalizado. - Para ejecutar /opt/microsoft/sc/bin/scxlogfilereader. - Para ejecutar tareas, recuperaciones y diagnósticos. Se deben cumplir estos requisitos solo si el operador de Operations Manager decide ejecutarlos explícitamente. - Muchas de las recuperaciones incluyen la detención y el reinicio de un proceso de demonio. Estas recuperaciones requieren la capacidad de ejecutar las interfaces del control de servicios, por ejemplo, /et/init.d para Linux y svcadm para Solaris, para la detención y el reinicio del proceso. Las interfaces del control de servicios suelen requerir la capacidad de ejecutar el comando kill para el proceso de demonio y de ejecutar otros comandos básicos de UNIX y Linux. - Los requisitos para otras tareas, recuperaciones y diagnósticos dependen de los detalles de esa acción determinada. |
| El perfil del agente de mantenimiento y de las cuentas que se utilizan para instalar los agentes para la supervisión inicial. | - Para que el equipo UNIX o Linux inicie sesión en la red mediante shell seguro (SSH), autenticado por los PAM. Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY). Los inicios de sesión interactivos no son necesarios. En el caso de una cuenta que se eleva mediante el uso de sudo, este requisito se aplica a la cuenta antes de que se eleve. - Para ejecutar el programa de instalación del paquete del sistema, por ejemplo, rpm en Linux, para instalar el agente de Operations Manager. - Para leer y escribir los siguientes directorios, y para crear los directorios y sus subdirectorios si no existen:- - - - - - - - - - - - - - - - - Para ejecutar el comando kill contra los procesos del agente de Operations Manager que se estén ejecutando. - Para iniciar el agente de Operations Manager. - Para agregar y quitar un demonio del sistema, incluido el agente de Operations Manager, mediante el uso de herramientas de la plataforma. - Para ejecutar comandos básicos de UNIX y Linux, como cat, ls, pwd, cp, mv, rm y gzip (o equivalentes). |
Consideraciones importantes de seguridad
El agente de Linux/UNIX de Operations Manager usa el mecanismo estándar de PAM (módulo de autenticación acoplable) en el equipo Linux o UNIX para autenticar el nombre de usuario y la contraseña especificados en el perfil de acción y el perfil de privilegio. Cualquier nombre de usuario con una contraseña que PAM autentique puede realizar funciones de supervisión, incluida la ejecución de líneas de comandos y scripts que recopilan datos de supervisión. Estas funciones de supervisión siempre se realizan en el contexto de ese nombre de usuario, a menos que se habilite explícitamente la elevación sudo para ese nombre de usuario. Por lo tanto, el agente de Operations Manager no proporciona más funcionalidad que si el nombre de usuario iniciara sesión en el sistema Linux/UNIX.
Sin embargo, la autenticación pam que usa el agente de Operations Manager no requiere que el nombre de usuario tenga asociado un shell interactivo. Si las prácticas de administración de cuentas de Linux/UNIX incluyen quitar el shell interactivo como una manera de deshabilitar una cuenta, esta eliminación no impide que la cuenta se use para conectarse al agente de Operations Manager y realizar funciones de supervisión. En estos casos, use la configuración de PAM adicional para asegurarse de que estas cuentas pseudo deshabilitadas no se autentican en el agente de Operations Manager.
Pasos siguientes
Para comprender cómo autenticar y supervisar los equipos UNIX y Linux, consulte Credenciales que debe tener para acceder a equipos UNIX y Linux.
Para comprender cómo elevar una cuenta sin privilegios para la supervisión eficaz de equipos UNIX y Linux, consulte Configuración de la elevación de sudo y las claves SSH.
Si necesita volver a configurar Operations Manager para usar un cifrado diferente, revise configuración de cifrado SSL.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de