Funcionalidades requeridas para cuentas UNIX y LinuxRequired capabilities for UNIX and Linux accounts

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

El acceso a los equipos UNIX y Linux en System Center 2016 Operations Manager usa tres perfiles de ejecución.Access to UNIX and Linux computers in System Center 2016 - Operations Manager uses three Run as profiles. Se asocia un perfil a una cuenta sin privilegios y se asocian las otras dos cuentas a una cuenta con privilegios o a una cuenta sin privilegios que se eleva con sudo o su.One profile is associated with an unprivileged account while the other two accounts are associated with a privileged account or an unprivileged account that is elevated by using sudo or su.

En el caso más sencillo, una cuenta con privilegios tiene funcionalidades equivalentes a una cuenta raíz de UNIX y Linux, mientras que una cuenta sin privilegios tiene funcionalidades equivalentes a una cuenta de usuario normal.In the simplest case, a privileged account has capabilities equivalent to a UNIX and Linux root account, while an unprivileged account has capabilities equivalent to a normal user account. Sin embargo, con algunas versiones de equipos UNIX y Linux, y si utiliza sudo para elevar los privilegios, puede asignar más funcionalidades específicas a las cuentas.However, with some computer versions of UNIX and Linux, and when you use sudo for privilege elevation, you can assign more specific capabilities to accounts. Para llevar a cabo esas asignaciones específicas, en la tabla siguiente se indican las funcionalidades específicas que requieren las cuentas que se asignan a cada uno de los tres perfiles de ejecución.In support of such specific assignments, the following table lists the specific capabilities required by accounts that are assigned to each of the three Run as profiles. Estas descripciones son un poco genéricas porque la información, como las rutas de acceso exactas del sistema de archivos, puede variar entre las diferentes versiones del equipo UNIX o Linux.These descriptions are somewhat generic because information, such as exact file system paths, can vary among different UNIX and Linux computer versions.

Nota

En la tabla siguiente, se describen las funcionalidades requeridas para que las cuentas se comuniquen con el agente de Operations Manager en un equipo administrado de UNIX o Linux, pero el agente siempre debe ejecutarse con la cuenta raíz en el equipo UNIX o Linux.The following table describes the required capabilities for accounts to communicate with the Operations Manager agent on a managed UNIX or Linux computer, but the agent itself must always run under the root account on the UNIX or Linux computer.

Perfil de UNIX y LinuxUNIX and Linux profile Funcionalidades requeridasRequired capabilities
Perfil de acciónAction profile - Para que el equipo UNIX o Linux inicie sesión en la red, autenticado por los módulos de autenticación conectables (PAM).- To log the UNIX or Linux computer on to the network, authenticated by the Pluggable Authentication Modules (PAM). Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY).Must have the ability to run a background shell (not connected to a TTY). Los inicios de sesión interactivos no son necesarios.Interactive logons are not required.
- Para leer un archivo de registro que se haya especificado como sin privilegios cuando se creó un monitor de archivos de registro personalizado, además de la capacidad de ejecutar /opt/microsoft/scx/bin/scxlogfilereader.- To read any log file that was specified as unprivileged when a custom log file monitor was created, plus the ability to run /opt/microsoft/scx/bin/scxlogfilereader.
- Para ejecutar completamente cualquier comando del shell de comandos que se especificó como sin privilegios cuando se creó un monitor de línea de comandos, una regla o una tarea.- To fully run any command shell command that was specified as unprivileged when a command-line monitor, rule, or task was created.
- Para ejecutar /usr/bin/vmstat para la tarea Run VMStat.- To run /usr/bin/vmstat for the Run VMStat task.
Perfil con privilegiosPrivileged profile - Para que el equipo UNIX o Linux inicie sesión en la red, autenticado por los PAM.- To log the UNIX or Linux computer on to the network, authenticated by the PAM. Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY).Must have the ability to run a background shell (not connected to a TTY). Los inicios de sesión interactivos no son necesarios.Interactive logons are not required. En el caso de una cuenta que se eleva mediante el uso de sudo, este requisito se aplica a la cuenta antes de que se eleve.In the case of an account that is elevated by using sudo, this requirement applies to the account before it is elevated. - Para ejecutar completamente cualquier línea de comandos del shell que se especificó como con privilegios cuando se creó un monitor de línea de comandos, una regla o una detección.- To fully run any shell command line that was specified as privileged when a command-line monitor, rule, or discovery was created. - Para tener las siguientes funcionalidades de supervisión del archivo de registro:- To have the following log file monitoring capabilities:

- Para leer el archivo de registro que se supervisará.- To read the log file to be monitored.

De forma predeterminada, los archivos de registro como Syslog suelen establecerse para que los lea la raíz, y las cuentas asignadas a este perfil deben tener permiso para leer estos archivos.By default, log files such as Syslog are usually set to be readable only by root, and accounts assigned to this profile must be able to read these files. En vez de otorgar todos los privilegios de las cuentas raíz a las cuentas, los permisos del archivo de registro podrían cambiarse para otorgar acceso de lectura a un grupo seguro, y las cuentas podrían convertirse en miembros de ese grupo.Instead of giving accounts full root privileges, the log file permissions could be changed to grant read access to a secure group, and accounts made a member of that group. Tenga en cuenta que si el archivo de registro se cambia periódicamente, debe asegurarse de que el procedimiento de cambio conserva los permisos del grupo.Note that if the log file is periodically rotated, you must ensure that the rotation procedure maintains the group permissions. - Para leer cualquier archivo de registro que se especificó como con privilegios cuando se creó un monitor de archivos de registro personalizado.- To read any log file that was specified as privileged when a custom log file monitor was created. - Para ejecutar /opt/microsoft/sc/bin/scxlogfilereader.- To run /opt/microsoft/sc/bin/scxlogfilereader. - Para ejecutar tareas, recuperaciones y diagnósticos.- To run tasks, recoveries, and diagnostics. Se deben cumplir estos requisitos solo si el operador de Operations Manager decide ejecutarlos explícitamente.These requirements must be met only if the Operations Manager operator explicitly decides to run them.

- Muchas de las recuperaciones incluyen la detención y el reinicio de un proceso de demonio.- Many recoveries include stopping and restarting a daemon process. Estas recuperaciones requieren la capacidad de ejecutar las interfaces del control de servicios (por ejemplo, /et/init.d para Linux y svcadm para Solaris) para la detención y el reinicio del proceso.These recoveries require the ability to run the service control interfaces (such as /et/init.d for Linux, and svcadm for Solaris) in order to stop and restart it. Las interfaces del control de servicios suelen requerir la capacidad de ejecutar el comando kill para el proceso de demonio y de ejecutar otros comandos básicos de UNIX y Linux.Such service control interfaces typically require the ability to run the kill command against the daemon process and to run other basic UNIX and Linux commands. - Los requisitos para otras tareas, recuperaciones y diagnósticos dependen de los detalles de esa acción determinada.- The requirements for other tasks, recoveries, and diagnostics depend on the details of that particular action.
El perfil del agente de mantenimiento y de las cuentas que se utilizan para instalar los agentes para la supervisión inicial.Agent maintenance profile, and for accounts used to install agents for initial monitoring. - Para que el equipo UNIX o Linux inicie sesión en la red mediante shell seguro (SSH), autenticado por los PAM.- To log the UNIX or Linux computer on to the network by using Secure Shell (SSH), authenticated by the PAM. Debe tener la capacidad de ejecutar un shell en segundo plano (no conectado a un TTY).Must have the ability to run a background shell (not connected to a TTY). Los inicios de sesión interactivos no son necesarios.Interactive logons are not required. En el caso de una cuenta que se eleva mediante el uso de sudo, este requisito se aplica a la cuenta antes de que se eleve.In the case of an account that is elevated by using sudo, this requirement applies to the account before it is elevated. - Para ejecutar el programa de instalación del paquete del sistema, por ejemplo, rpm en Linux, para instalar el agente de Operations Manager.- To run the system package installation program, such as rpm on Linux, to install the Operations Manager agent. - Para leer y escribir los siguientes directorios, y para crear los directorios y sus subdirectorios si no existen:- To read and write the following directories, and to create them and any subdirectories under them if they do not exist:

- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi - Para ejecutar el comando kill en la ejecución de los procesos del agente de Operations Manager.- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi - To run the kill command against the running Operations Manager agent processes. - Para iniciar el agente de Operations Manager.- To start the Operations Manager agent. - Para agregar y quitar un demonio del sistema, incluido el agente de Operations Manager, mediante el uso de herramientas de la plataforma.- To add and remove a system daemon, including the Operations Manager agent, by using platform tools to do so. - Para ejecutar comandos básicos de UNIX y Linux, como cat, ls, pwd, cp, mv, rm y gzip (o equivalentes).- To run basic UNIX and Linux commands, such as cat, ls, pwd, cp, mv, rm, gzip (or equivalent).

Consideraciones importantes de seguridadImportant security considerations

El agente de Linux/UNIX de Operations Manager usa el mecanismo estándar de PAM (módulo de autenticación acoplable) en el equipo Linux o UNIX para autenticar el nombre de usuario y la contraseña especificados en el perfil de acción y el perfil de privilegio.The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. Cualquier nombre de usuario con una contraseña que PAM autentique puede realizar funciones de supervisión, incluida la ejecución de líneas de comandos y scripts que recopilan datos de supervisión.Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. Estas funciones de supervisión se realizan siempre en el contexto de ese nombre de usuario (a menos que se habilite explícitamente la elevación de sudo para ese nombre de usuario), por lo que el agente de Operations Manager no proporciona ninguna capacidad más que si el nombre de usuario iniciara sesión en el sistema Linux/UNIX.Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

En cambio, la autenticación de PAM que usa el agente de Operations Manager no requiere que el nombre de usuario tenga un shell interactivo asociado a él.However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Si sus prácticas de administración de la cuenta de UNIX/Linux incluyen la eliminación del shell interactivo como una forma de deshabilitar en falso una cuenta, esa eliminación no impide que la cuenta se use para conectar con el agente de Operations Manager y realizar funciones de supervisión.If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. En estos casos, debe usar la configuración adicional de PAM para asegurar que estas cuentas deshabilitadas en falso no se autentican en el agente de Operations Manager.In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

Pasos siguientesNext steps