Planning Security Credentials for Accessing Unix and Linux Computers (Planear las credenciales de seguridad para obtener acceso a equipos Linux y UNIX)
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
En este artículo se describen las credenciales necesarias para instalar, mantener, actualizar y desinstalar agentes en un equipo UNIX o Linux.
En Operations Manager, el servidor de administración usa dos protocolos para comunicarse con el equipo UNIX o Linux:
Secure Shell (SSH) y protocolo de transferencia de archivos de shell seguro (SFTP)
- Se utiliza para la instalación, actualización y eliminación de agentes.
Servicios web para administración (WS-Management)
- Todas las operaciones de supervisión usan estos servicios. Incluyen la detección de agentes que ya estaban instalados.
El protocolo que se utiliza depende de la acción o la información que se solicita en el servidor de administración. Todas las acciones, como los monitores, las reglas, las tareas, las recuperaciones y el mantenimiento de agentes, se configuran para usar perfiles predefinidos según sus requisitos de cuenta sin privilegios o con privilegios.
En Operations Manager, ya no es necesario que el administrador del sistema proporcione la contraseña raíz del equipo UNIX o Linux al servidor de administración. Por elevación, una cuenta sin privilegios puede asumir la identidad de una cuenta con privilegios en el equipo UNIX o Linux. Los programas su (superusuario) y sudo de UNIX que usan las credenciales que proporciona el servidor de administración realizan el proceso de elevación. Se proporciona compatibilidad para la elevación de sudo, su y la autenticación de clave SSH (con o sin frase de contraseña) para operaciones de agente con privilegios que usan SSH (como la detección, implementación, actualización, desinstalación y recuperación de agentes). Para operaciones de WS-Management con privilegios (por ejemplo, para ver archivos de registro seguro), se agrega compatibilidad para la elevación sudo (sin contraseña).
Credenciales para instalar agentes
Operations Manager usa el protocolo shell seguro (SSH) para instalar un agente y los servicios web para administración (WS-Management) para detectar los agentes instalados previamente. La instalación requiere una cuenta con privilegios en el equipo UNIX o Linux. Hay dos maneras de proporcionar credenciales para el equipo de destino, que se obtienen mediante el Asistente para administrar equipos y dispositivos:
Especifique un nombre de usuario y una contraseña.
El protocolo SSH utiliza la contraseña para instalar un agente o el protocolo WS-Management, si ya se ha instalado el agente mediante un certificado firmado.
Especifique un nombre de usuario y una clave SSH. La clave puede incluir una frase de contraseña opcional.
Si no usa las credenciales de una cuenta con privilegios, puede proporcionar credenciales adicionales para que la cuenta se convierta en una cuenta con privilegios mediante la elevación de privilegios en el equipo UNIX o Linux.
La instalación no se completa hasta que se comprueba el agente. La comprobación del agente se realiza mediante el protocolo WS-Management que utiliza las credenciales que se mantienen en el servidor de administración, independientes de la cuenta con privilegios que se utiliza para instalar al agente. Debe proporcionar un nombre de usuario y una contraseña para la comprobación del agente si ha realizado una de las siguientes acciones:
Si ha proporciona una cuenta con privilegios mediante una clave.
Si ha proporcionado una cuenta sin privilegios para ser elevada mediante el uso de sudo con una clave.
Si ha ejecutado el asistente con el Tipo de detección establecido en Detectar solo los equipos con el agente de UNIX/Linux instalado.
También puede instalar el agente, incluido su certificado, manualmente en el equipo UNIX o Linux y, a continuación, detectar ese equipo. Este método es la forma más segura de instalar agentes. Para obtener más información, consulte Instalación del agente y el certificado en equipos UNIX y Linux desde la línea de comandos.
Credenciales para supervisar las operaciones y realizar el mantenimiento de agente
Operations Manager contiene tres perfiles predeterminados para supervisar equipos UNIX y Linux y realizar el mantenimiento de los agentes:
Cuenta de acción de UNIX/Linux
Se trata de un perfil de cuenta sin privilegios necesario para la supervisión básica del estado y del rendimiento.
Cuenta con privilegios de UNIX/Linux
Se trata de un perfil de cuenta con privilegios que se usa para supervisar recursos protegidos, como por ejemplo, los archivos de registro.
Cuenta de mantenimiento de UNIX/Linux
Este perfil se usa para operaciones de mantenimiento con privilegios, como por ejemplo, la actualización y eliminación de agentes.
En los módulos de administración de UNIX y Linux, todas las reglas, monitores, tareas, recuperaciones y otros elementos del módulo de administración están configurados para utilizar estos perfiles. Por lo tanto, no es necesario definir perfiles adicionales mediante el Asistente para perfiles de ejecución a menos que las circunstancias especiales lo determinen. Los perfiles no son acumulativos en el ámbito. Por ejemplo, el perfil de cuenta de mantenimiento unix/Linux no se puede usar en lugar de los demás perfiles simplemente porque está configurado mediante una cuenta con privilegios.
En Operations Manager, un perfil no puede funcionar hasta que esté asociado con al menos una cuenta de ejecución. Las credenciales para acceder a los equipos UNIX o Linux están configuradas en las cuentas de ejecución. Dado que no hay cuentas de ejecución predeterminadas para la supervisión de UNIX y Linux, deberá crearlas.
Para crear una cuenta de ejecución, debe ejecutar el Asistente para crear cuentas de ejecución de UNIX/Linux que está disponible cuando selecciona Cuentas de UNIX/Linux en el área de trabajo Administración . El asistente crea una cuenta de ejecución en función de la elección de un tipo de cuenta de ejecución. Hay dos tipos de cuentas de ejecución:
Cuenta de supervisión
Utilice esta cuenta para la supervisión continua del estado y del rendimiento en las operaciones que se comunican mediante el uso de WS-Management.
Cuenta de mantenimiento de agentes
Utilice esta cuenta para el mantenimiento de agentes, como por ejemplo, la actualización y desinstalación en las operaciones que se comunican a través de SSH.
Se pueden configurar estos tipos de cuentas de ejecución para distintos niveles de acceso, según las credenciales que suministre. Las credenciales pueden ser cuentas sin privilegios o con privilegios o cuentas sin privilegios que se elevarán a cuentas con privilegios. La tabla siguiente muestra las relaciones entre perfiles, cuentas de ejecución y niveles de acceso.
| Profiles | Tipo de cuenta de ejecución | Niveles de acceso permitido |
|---|---|---|
| Cuenta de acción de UNIX/Linux | Cuenta de supervisión | - Sin privilegios - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
| Cuenta con privilegios de UNIX/Linux | Cuenta de supervisión | - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
| Cuenta de mantenimiento de UNIX/Linux | Cuenta de mantenimiento de agentes | - Con privilegios - Sin privilegios, elevada a cuenta con privilegios |
Nota
Hay tres perfiles, pero solo dos tipos de cuenta de ejecución.
Cuando se especifica un tipo de cuenta de ejecución de supervisión, debe especificar un nombre de usuario y una contraseña mediante el protocolo WS-Management. Cuando se especifica un tipo de cuenta de ejecución de agente de mantenimiento como tipo de cuenta, debe especificar cómo se proporcionan las credenciales para el equipo de destino mediante el protocolo SSH:
Especifique un nombre de usuario y una contraseña.
Especifique un nombre de usuario y una clave. Puede incluir una frase de contraseña opcional.
Después de crear las cuentas de ejecución, debe editar los perfiles de UNIX y Linux para asociarlos con las cuentas de ejecución que haya creado. Para obtener instrucciones detalladas, consulte How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Configuración de cuentas y perfiles de ejecución para el acceso desde UNIX y Linux).
Consideraciones importantes de seguridad
El agente de Linux/UNIX de Operations Manager usa el mecanismo estándar de PAM (módulo de autenticación acoplable) en el equipo Linux o UNIX para autenticar el nombre de usuario y la contraseña especificados en el perfil de acción y el perfil de privilegio. Cualquier nombre de usuario con una contraseña que PAM autentique puede realizar funciones de supervisión, incluida la ejecución de líneas de comandos y scripts que recopilan datos de supervisión. Estas funciones de supervisión siempre se realizan en el contexto de ese nombre de usuario (a menos que la elevación de sudo esté habilitada explícitamente para ese nombre de usuario), por lo que el agente de Operations Manager no proporciona más funcionalidad que si el nombre de usuario iniciara sesión en el sistema Linux/UNIX.
Sin embargo, la autenticación pam usada por el agente de Operations Manager no requiere que el nombre de usuario tenga asociado un shell interactivo. Si las prácticas de administración de cuentas de Linux/UNIX incluyen quitar el shell interactivo como una manera de deshabilitar una cuenta, esta eliminación no impide que la cuenta se use para conectarse al agente de Operations Manager y realizar funciones de supervisión. En estos casos, debe usar la configuración adicional de PAM para asegurarse de que estas cuentas pseudo deshabilitadas no se autentiquen en el agente de Operations Manager.
Credenciales para actualizar y desinstalar agentes
El Asistente para actualización de agente UNIX/Linux y el Asistente para desinstalación de agente UNIX/Linux proporcionan credenciales a sus equipos de destino. Los asistentes piden que seleccione primero los equipos de destino que desea actualizar o desinstalar, y luego las opciones de cómo proporcionar las credenciales para el equipo de destino:
Utilizar las cuentas de ejecución asociadas existentes
Seleccione esta opción para utilizar las credenciales asociadas con el perfil de cuenta de acción de UNIX/Linux y con el perfil de cuenta de mantenimiento de UNIX/Linux.
El asistente le avisa si uno o varios de los equipos seleccionados no tienen una cuenta de ejecución asociada en los perfiles necesarios, en cuyo caso debe volver atrás y borrar los equipos que no tengan una cuenta de ejecución asociada o especifiquen las credenciales.
Especificar las credenciales
Seleccione esta opción para especificar las credenciales de shell seguro (SSH) mediante un nombre de usuario y una contraseña o mediante un nombre de usuario y una clave. También puede proporcionar una frase de contraseña con una clave. Si las credenciales no son para una cuenta con privilegios, puede tenerlas elevadas a una cuenta con privilegios en el equipo de destino mediante los programas de elevación su o sudo de UNIX. La elevación "su" requiere una contraseña. Si usa la elevación de sudo, se le pedirá un nombre de usuario y una contraseña para la comprobación del agente mediante una cuenta sin privilegios.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de