Planning Security Credentials for Accessing Unix and Linux Computers (Planear las credenciales de seguridad para obtener acceso a equipos Linux y UNIX)Planning Security Credentials for Accessing Unix and Linux Computers

En este tema se describen las credenciales necesarias para instalar, mantener, actualizar y desinstalar agentes en un equipo UNIX o Linux.This topic describes the credentials required to install, maintain, upgrade, and uninstall agents on a UNIX or Linux computer.

En Operations Manager, el servidor de administración usa dos protocolos para comunicarse con el equipo UNIX o Linux:In Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) y protocolo de transferencia de archivos de shell seguro (SFTP)Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    • Se utiliza para la instalación, actualización y eliminación de agentes.Used for installing, upgrading, and removing agents.
  • Servicios web para administración (WS-Management)Web Services for Management (WS-Management)

    • Todas las operaciones de supervisión usan estos servicios. Incluyen la detección de agentes que ya estaban instalados.Used for all monitoring operations and include the discovery of agents that were already installed.

El protocolo que se utiliza depende de la acción o la información que se solicita en el servidor de administración.The protocol that is used depends on the action or information that is requested on the management server. Todas las acciones, como los monitores, las reglas, las tareas, las recuperaciones y el mantenimiento de agentes, se configuran para usar perfiles predefinidos según sus requisitos de cuenta sin privilegios o con privilegios.All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

En Operations Manager, ya no es necesario que el administrador del sistema proporcione la contraseña raíz del equipo UNIX o Linux al servidor de administración.In Operations Manager, the system administrator is no longer is required to provide the root password of the UNIX or Linux computer to the management server. Por elevación, una cuenta sin privilegios puede asumir la identidad de una cuenta con privilegios en el equipo UNIX o Linux.Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. Los programas su (superusuario) y sudo de UNIX que usan las credenciales que proporciona el servidor de administración realizan el proceso de elevación.The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Se proporciona compatibilidad para la elevación de sudo, su y la autenticación de clave SSH (con o sin frase de contraseña) para operaciones de agente con privilegios que usan SSH (como la detección, implementación, actualización, desinstalación y recuperación de agentes).For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. Para operaciones de WS-Management con privilegios (por ejemplo, para ver archivos de registro seguro), se agrega compatibilidad para la elevación sudo (sin contraseña).For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

Credenciales para instalar agentesCredentials for installing agents

Operations Manager usa el protocolo shell seguro (SSH) para instalar un agente y los servicios web para administración (WS-Management) para detectar los agentes instalados previamente.Operations Manager uses the Secure Shell (SSH) protocol to install an agent and Web Services for Management (WS-Management) to discover previously installed agents. La instalación requiere una cuenta con privilegios en el equipo UNIX o Linux.Installation requires a privileged account on the UNIX or Linux computer. Hay dos maneras de proporcionar credenciales para el equipo de destino, que se obtienen mediante el Asistente para administrar equipos y dispositivos:There are two ways to provide credentials to the targeted computer, as obtained by the Computer and Device Management Wizard:

  • Especifique un nombre de usuario y una contraseña.Specify a user name and password.

    El protocolo SSH utiliza la contraseña para instalar un agente o el protocolo WS-Management, si ya se ha instalado el agente mediante un certificado firmado.The SSH protocol uses the password to install an agent or the WS-Management protocol if the agent was already installed by using a signed certificate.

  • Especifique un nombre de usuario y una clave SSH.Specify a user name and an SSH key. La clave puede incluir una frase de contraseña opcional.The key can include an optional passphrase.

Si no utiliza las credenciales para una cuenta con privilegios, puede proporcionar credenciales adicionales para que la cuenta se vuelva una cuenta con privilegios mediante la elevación de privilegios en el equipo UNIX o Linux.If you are not using the credentials for a privileged account, you can provide additional credentials so that your account becomes a privileged account through elevation of privilege on the UNIX or Linux computer.

La instalación se completa cuando se comprueba el agente.The installation is not completed until the agent is verified. La comprobación del agente se realiza mediante el protocolo WS-Management que utiliza las credenciales que se mantienen en el servidor de administración, independientes de la cuenta con privilegios que se utiliza para instalar al agente.Agent verification is performed by the WS-Management protocol that uses credentials maintained on the management server, separate from the privileged account that is used to install the agent. Es necesario que proporcione un nombre de usuario y una contraseña para la comprobación del agente si ha realizado una de las siguientes acciones:You are required to provide a user name and password for agent verification if you have done one of the following:

  • Si ha proporciona una cuenta con privilegios mediante una clave.Provided a privileged account by using a key.

  • Si ha proporcionado una cuenta sin privilegios para ser elevada mediante el uso de sudo con una clave.Provided an unprivileged account to be elevated by using sudo with a key.

  • Si ha ejecutado el asistente con el Tipo de detección establecido en Detectar solo los equipos con el agente de UNIX/Linux instalado.Ran the wizard with the Discovery Type set to Discover only computers with the UNIX/Linux agent installed.

También puede instalar el agente, incluido su certificado, manualmente en el equipo UNIX o Linux y, a continuación, detectar ese equipo.Alternatively, you can install the agent, including its certificate, manually on the UNIX or Linux computer and then discover that computer. Este método es la forma más segura de instalar agentes.This method is the most secure way to install agents. Para obtener más información, consulte Instalación del agente y el certificado en equipos UNIX y Linux desde la línea de comandos.For more information, see Install the Agent and Certificate on UNIX and Linux Computers Using the Command Line.

Credenciales para supervisar las operaciones y realizar el mantenimiento de agenteCredentials for monitoring operations and performing agent maintenance

Operations Manager contiene tres perfiles predeterminados para supervisar equipos UNIX y Linux y realizar el mantenimiento de los agentes:Operations Manager contains three predefined profiles to use in monitoring UNIX and Linux computers and performing agent maintenance:

  • Cuenta de acción de UNIX/LinuxUNIX/Linux action account

    Se trata de un perfil de cuenta sin privilegios necesario para la supervisión básica del estado y del rendimiento.This profile is an unprivileged account profile that is required for basic health and performance monitoring.

  • Cuenta con privilegios de UNIX/LinuxUNIX/Linux privileged account

    Se trata de un perfil de cuenta con privilegios que se usa para supervisar recursos protegidos, como por ejemplo, los archivos de registro.This profile is a privileged account profile used for monitoring protected resources such as log files.

  • Cuenta de mantenimiento de UNIX/LinuxUNIX/Linux maintenance account

    Este perfil se usa para operaciones de mantenimiento con privilegios, como por ejemplo, la actualización y eliminación de agentes.This profile is used for privileged maintenance operations, such as updating and removing agents.

En los módulos de administración de UNIX y Linux, todas las reglas, monitores, tareas, recuperaciones y otros elementos del módulo de administración están configurados para utilizar estos perfiles.In the UNIX and Linux management packs, all the rules, monitors, tasks, recoveries, and other management pack elements are configured to use these profiles. Como consecuencia, no es necesario definir perfiles adicionales con el Asistente para crear perfiles de ejecución, a menos que así lo requieran circunstancias especiales.Consequently, there is no requirement to define additional profiles by using the Run As Profiles Wizard unless special circumstances dictate it. Los perfiles no son acumulativos en el ámbito.The profiles are not cumulative in the scope. Por ejemplo, el perfil de cuenta de mantenimiento de UNIX/Linux no puede utilizarse en lugar de los otros perfiles solo porque está configurado mediante una cuenta con privilegios.For example, the UNIX/Linux maintenance account profile cannot be used in place of the other profiles simply because it is configured by using a privileged account.

En Operations Manager, un perfil no puede funcionar hasta que se asocia con al menos una cuenta de ejecución.In Operations Manager, a profile cannot function until it is associated with at least one Run As account. Las credenciales para acceder a los equipos UNIX o Linux están configuradas en las cuentas de ejecución.The credentials for accessing the UNIX or Linux computers are configured in the Run As accounts. Dado que no hay cuentas de ejecución predeterminadas para la supervisión de UNIX y Linux, deberá crearlas.Because there are no predefined Run As accounts for UNIX and Linux monitoring, you must create them.

Para crear una cuenta de ejecución, debe ejecutar el Asistente para crear cuentas de ejecución de UNIX/Linux que está disponible cuando selecciona Cuentas de UNIX/Linux en el área de trabajo Administración .To create a Run As account, you must run the UNIX/Linux Run As Account Wizard that is available when you select UNIX/Linux Accounts in the Administration workspace. El asistente crea una cuenta de ejecución en función de la elección de un tipo de cuenta de ejecución.The wizard creates a Run As account based on the choice of a Run As account type. Hay dos tipos de cuentas de ejecución:There are two Run As account types:

  • Cuenta de supervisiónMonitoring account

    Utilice esta cuenta para la supervisión continua del estado y del rendimiento en las operaciones que se comunican mediante el uso de WS-Management.Use this account for ongoing health and performance monitoring in operations that communicate by using WS-Management.

  • Cuenta de mantenimiento de agentesAgent maintenance account

    Utilice esta cuenta para el mantenimiento de agentes, como por ejemplo, la actualización y desinstalación en las operaciones que se comunican a través de SSH.Use this account for agent maintenance such as updating and uninstalling in operations that communicate by using SSH.

Se pueden configurar estos tipos de cuentas de ejecución para distintos niveles de acceso, según las credenciales que suministre.These Run As account types can be configured for different levels of access according to the credentials that you supply. Las credenciales pueden ser cuentas sin privilegios o con privilegios o cuentas sin privilegios que se elevarán a cuentas con privilegios.Credentials can be unprivileged or privileged accounts or unprivileged accounts that will be elevated to privileged accounts. La tabla siguiente muestra las relaciones entre perfiles, cuentas de ejecución y niveles de acceso.The following table shows the relationships between profiles, Run As accounts, and levels of access.

PerfilesProfiles Tipo de cuenta de ejecuciónRun As account type Niveles de acceso permitidoAllowable Access Levels
Cuenta de acción de UNIX/LinuxUNIX/Linux action account Cuenta de supervisiónMonitoring account - Sin privilegios- Unprivileged
- Con privilegios- Privileged
- Sin privilegios, elevada a cuenta con privilegios- Unprivileged, elevated to privileged
Cuenta con privilegios de UNIX/LinuxUNIX/Linux privileged account Cuenta de supervisiónMonitoring account - Con privilegios- Privileged
- Sin privilegios, elevada a cuenta con privilegios- Unprivileged, elevated to privileged
Cuenta de mantenimiento de UNIX/LinuxUNIX/Linux maintenance account Cuenta de mantenimiento de agentesAgent maintenance account - Con privilegios- Privileged
- Sin privilegios, elevada a cuenta con privilegios- Unprivileged, elevated to privileged

Tenga en cuenta que hay tres perfiles, pero solo dos tipos de cuentas de ejecución.Note that there are three profiles, but only two Run As Account types.

Cuando se especifica un tipo de cuenta de ejecución de supervisión, debe especificar un nombre de usuario y una contraseña mediante el protocolo WS-Management.When you specify a Monitoring Run As Account Type, you must specify a user name and password for use by the WS-Management protocol. Cuando se especifica un tipo de cuenta de ejecución de agente de mantenimiento como tipo de cuenta, debe especificar cómo se proporcionan las credenciales para el equipo de destino mediante el protocolo SSH:When you specify an Agent Maintenance Run As Account Type, you must specify how the credentials are supplied to the targeted computer by using the SSH protocol:

  • Especifique un nombre de usuario y una contraseña.Specify a user name and a password.

  • Especifique un nombre de usuario y una clave.Specify a user name and a key. Puede incluir una frase de contraseña opcional.You can include an optional passphrase.

Después de crear las cuentas de ejecución, debe editar los perfiles de UNIX y Linux para asociarlos con las cuentas de ejecución que haya creado.After you created the Run As accounts, you must edit the UNIX and Linux profiles to associate them with the Run As accounts you created. Para obtener instrucciones detalladas, consulte How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Configuración de cuentas y perfiles de ejecución para el acceso desde UNIX y Linux).For detailed instructions, see How to Configure Run As Accounts and Profiles for UNIX and Linux Access

Consideraciones importantes de seguridadImportant security considerations

El agente de Linux/UNIX de Operations Manager usa el mecanismo estándar de PAM (módulo de autenticación acoplable) en el equipo Linux o UNIX para autenticar el nombre de usuario y la contraseña especificados en el perfil de acción y el perfil de privilegio.The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. Cualquier nombre de usuario con una contraseña que PAM autentique puede realizar funciones de supervisión, incluida la ejecución de líneas de comandos y scripts que recopilan datos de supervisión.Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. Estas funciones de supervisión se realizan siempre en el contexto de ese nombre de usuario (a menos que se habilite explícitamente la elevación de sudo para ese nombre de usuario), por lo que el agente de Operations Manager no proporciona ninguna capacidad más que si el nombre de usuario iniciara sesión en el sistema Linux/UNIX.Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

En cambio, la autenticación de PAM que usa el agente de Operations Manager no requiere que el nombre de usuario tenga un shell interactivo asociado a él.However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Si sus prácticas de administración de la cuenta de UNIX/Linux incluyen la eliminación del shell interactivo como una forma de deshabilitar en falso una cuenta, esa eliminación no impide que la cuenta se use para conectar con el agente de Operations Manager y realizar funciones de supervisión.If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. En estos casos, debe usar la configuración adicional de PAM para asegurar que estas cuentas deshabilitadas en falso no se autentican en el agente de Operations Manager.In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

Credenciales para actualizar y desinstalar agentesCredentials for upgrading and uninstalling agents

El Asistente para actualización de agente UNIX/Linux y el Asistente para desinstalación de agente UNIX/Linux proporcionan credenciales a sus equipos de destino.The UNIX/Linux Agent Upgrade Wizard and the UNIX/Linux Agent Uninstall Wizard provide credentials to their targeted computers. Los asistentes piden que seleccione primero los equipos de destino que desea actualizar o desinstalar, y luego las opciones de cómo proporcionar las credenciales para el equipo de destino:The wizards first prompt you to select the targeted computers to upgrade or uninstall, followed by options on how to provide the credentials to the targeted computer:

  • Utilizar las cuentas de ejecución asociadas existentesUse existing associated Run As Accounts

    Seleccione esta opción para utilizar las credenciales asociadas con el perfil de cuenta de acción de UNIX/Linux y con el perfil de cuenta de mantenimiento de UNIX/Linux.Select this option to use the credentials associated with the UNIX/Linux action account profile and the UNIX/Linux maintenance account profile.

    El asistente alerta si su equipo o más equipos seleccionados no tienen una cuenta de ejecución asociada en los perfiles requeridos, en cuyo caso debe regresar y quitar los equipos que no tienen una cuenta de ejecución asociada, o especifique las credenciales.The wizard alerts you if one or more of the selected computers do not have an associated Run As account in the required profiles, in which case you must go back and clear those computers that do not have an associated Run As account, or specify credentials.

  • Especificar credencialesSpecify credentials

    Seleccione esta opción para especificar las credenciales de shell seguro (SSH) mediante un nombre de usuario y una contraseña o mediante un nombre de usuario y una clave.Select this option to specify Secure Shell (SSH) credentials by using a user name and password or a user name and a key. También puede proporcionar una frase de contraseña con una clave.You can optionally provide a passphrase with a key. Si las credenciales no son para una cuenta con privilegios, puede elevarlas a una cuenta con privilegios en el equipo de destino mediante los programas de elevación su o sudo de UNIX.If the credentials are not for a privileged account, you can have them elevated to a privileged account on the target computered by using the UNIX su or sudo elevation programs. La elevación "su" requiere una contraseña.The 'su' elevation requires a password. Si utiliza la elevación sudo, se le pedirá un nombre de usuario y una contraseña para la comprobación del agente mediante una cuenta sin privilegios.If you use sudo elevation, you are prompted for a user name and password for agent verification by using an unprivileged account.