A Unix- és Linux-számítógépek elérésére használt hitelesítő adatok megtervezése
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Ez a cikk az ügynökök UNIX vagy Linux rendszerű számítógépeken való telepítéséhez, karbantartásához, frissítéséhez és eltávolításához szükséges hitelesítő adatokat ismerteti.
Az Operations Managerben a felügyeleti kiszolgáló két protokollt használ a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:
Secure Shell (SSH) és Secure Shell File Transfer Protocol (SFTP)
- Az ügynökök telepítésére, frissítésére és eltávolítására használatos.
Web Services for Management (WS-Management)
- Ez használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.
A használt protokoll a felügyeleti kiszolgálón igényelt művelettől vagy információtól függ. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.
Az Operations Managerben a rendszergazdának már nem kell megadnia a UNIX vagy Linux rendszerű számítógép gyökérjelszóját a felügyeleti kiszolgálónak. Egy nem rendszer-jogosultságú fiók jogosultságiszint-emeléssel felveheti egy rendszer-jogosultságú fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetén, amelyek SSH-t használnak (pl. felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A rendszer-jogosultságú WS-Management műveletekhez (pl. biztonságos naplófájlok megtekintése) hozzá lett adva a sudo jogosultságiszint-emelés (jelszó nélkül).
Hitelesítő adatok ügynökök telepítéséhez
Az Operations Manager a Secure Shell (SSH) protokollt használja az ügynökök telepítéséhez, és a Web Services for Management (WS-Management) protokollt a korábban telepített ügynökök felderítéséhez. A telepítéshez szükség van egy rendszerjogosultságú fiókra a UNIX vagy Linux rendszerű számítógépen. A megcélzott számítógép hitelesítő adatait kétféleképpen lehet megadni a Számítógép- és eszközkezelés varázslóban:
Felhasználónév és jelszó megadásával.
Az SSH protokoll a jelszót használja az ügynök telepítéséhez, vagy a WS-Management protokollt, ha az ügynököt korábban már telepítették egy aláírt tanúsítvány segítségével.
Felhasználónév és SSH-kulcs megadásával. A kulcs jelszót is tartalmazhat.
Ha nem a jogosultsággal rendelkező fiók hitelesítő adatait használja, további hitelesítő adatokat is megadhat, hogy a fiókja a UNIX vagy Linux rendszerű számítógépen a jogosultságok emelése révén kiemelt fiók legyen.
A telepítés addig nem fejeződik be, amíg az ügynök nincs ellenőrizve. Az ügynökellenőrzést a WS-Management protokoll végzi, amely a felügyeleti kiszolgálón karbantartott felhasználói hitelesítő adatokat használja, nem pedig a rendszerjogosultságú fiókot, amely az ügynök telepítéséhez használatos. Ha az alábbiak egyikét tette, meg kell adnia egy felhasználónevet és egy jelszót az ügynök ellenőrzéséhez:
Kulcs használatával rendszerjogosultságú fiókot adott meg.
Olyan nem rendszerjogosultságú fiókot adott meg, amelyet a sudo és egy kulcs használatával emel magasabb szintre.
Futtassa a varázslót, és a Felderítés típusa értékeként válassza a Csak telepített UNIX-/Linux-ügynökkel rendelkező számítógépek felderítése beállítást.
Választhatja azt is, hogy az ügynököt és annak tanúsítványát manuálisan telepíti a UNIX vagy Linux rendszerű számítógépen, majd felderíti az adott számítógépet. Ez az ügynökök telepítésének legbiztonságosabb módja. További információk: Az ügynök és a tanúsítvány telepítése UNIX és Linux számítógépre parancssorból.
Hitelesítő adatok figyelési műveletekhez és ügynökök karbantartásához
Az Operations Manager három előre meghatározott profilt tartalmaz a UNIX és Linux rendszerű számítógépek figyelésére és az ügynökök karbantartásának elvégzésére:
UNIX/Linux műveleti fiók
Erre a nem rendszerjogosultságú fiókprofilra a rendszer alapszintű állapotának és teljesítményének figyeléséhez van szükség.
UNIX/Linux rendszerjogosultságú fiók
Ez a rendszerjogosultságú fiókprofil a védett erőforrások, például a naplófájlok figyeléséhez használható.
UNIX/Linux karbantartási fiók
Ez a profil kiemelt karbantartási műveletek elvégzéséhez használható, például ügynökök frissítéséhez és eltávolításához.
A UNIX és a Linux felügyeleti csomagokban az összes szabály, figyelő, feladat, helyreállítás és egyéb felügyeleticsomag-elem úgy van beállítva, hogy ezeket a profilokat használja. Így nincs szükség további profilok definiálására a Futtatási profilok varázsló használatával, hacsak a speciális körülmények nem határozzák meg. A profilok nem kumulatívak a hatókörben. A UNIX/Linux karbantartási fiókprofil például nem használható a többi profil helyett egyszerűen azért, mert egy emelt szintű fiókkal van konfigurálva.
Az Operations Managerben egy profil csak akkor működik, ha legalább egy futtató fiókkal van társítva. A UNIX vagy Linux rendszerű számítógépek eléréséhez a hitelesítő adatok konfigurálása a futtató fiókokban történik. Mivel nincsenek előre meghatározott futtató fiókok a UNIX és Linux rendszerű számítógépek figyelésére, ezeket létre kell hoznia.
Futtató fiók létrehozásához futtassa a UNIX/Linux futtató fiók varázslót. Ehhez először az Adminisztráció munkaterületen válassza a UNIX/Linux-fiókok lehetőséget. A kiválasztott futtatófiók-típus alapján a varázsló létrehoz egy futtató fiókot. Kétféle futtatófiók-típus létezik:
Figyelési fiók
Használja ezt a fiókot azon műveletek folyamatos állapot- és teljesítményfigyeléséhez, amelyek a WS-Management protokoll használatával kommunikálnak.
Ügynök-karbantartási fiók
Ezt a fiókot ügynök-karbantartáshoz, így például frissítéshez és eltávolításhoz használhatja azokban a műveletekben, amelyek az SSH protokoll használatával kommunikálnak.
Ezek a futtatófiók-típusok különféle hozzáférési szintekhez konfigurálhatók a megadott hitelesítő adatok szerint. A hitelesítő adatok tartozhatnak nem rendszerjogosultságú és rendszerjogosultságú fiókokhoz, vagy olyan nem rendszerjogosultságú fiókokhoz, amelyek rendszerjogosultságú szintre lesznek emelve. A következő táblázat bemutatja a profilok, a futtató fiókok, valamint a hozzáférési szintek közötti kapcsolatot.
| Profilok | Futtató fiók típusa | Megengedett hozzáférési szint |
|---|---|---|
| UNIX/Linux műveleti fiók | Figyelési fiók | - Nem emelt szintű -Kiváltságos - Jogtalan, emelt szintű jogosultságú |
| UNIX/Linux rendszerjogosultságú fiók | Figyelési fiók | -Kiváltságos - Jogtalan, emelt szintű jogosultságú |
| UNIX/Linux karbantartási fiók | Ügynök-karbantartási fiók | -Kiváltságos - Jogtalan, emelt szintű jogosultságú |
Megjegyzés
Három profil létezik, de csak két futtató fióktípus.
Amikor karbantartás típusú futtató fiókot ad meg, meg kell adnia a WS-Management protokoll által használandó felhasználónevet és jelszót. Amikor ügynök-karbantartási futtatófiók-típust ad meg, meg kell határoznia, hogy az SSH protokoll használatával miként fogja a célszámítógép beszerezni a hitelesítő adatokat.
Felhasználónév és jelszó megadásával.
Adjon meg egy felhasználónevet és egy jelszót. Opcionális jelszót is megadhat.
Miután létrehozta a futtató fiókokat, a UNIX- és a Linux-profilokat társítania kell a létrehozott futtató fiókokkal. Részletes utasítások: Futtató fiókok és profilok konfigurálása UNIX- és Linux-hozzáféréshez
Fontos biztonsági szempontok
Az Operations Manager Linux-/UNIX-ügynöke a linuxos/UNIX-os gépen a normál PAM-mechanizmussal hitelesíti a műveleti profilban és a jogosultsági profilban megadott felhasználónevet és jelszót. A PAM által hitelesített jelszóval bíró összes felhasználó végezhet monitorozási feladatokat, például futtathatnak a monitorozási adatokat összegyűjtő parancssorokat vagy szkripteket. Az ilyen monitorozási függvényeket mindig az adott felhasználónév kontextusában hajtják végre (kivéve, ha a sudo jogosultságszint-emelés kifejezetten engedélyezve van ehhez a felhasználónévhez), így az Operations Manager-ügynök nem biztosít több képességet, mint ha a felhasználónévnek be kell jelentkeznie a Linux/UNIX rendszerbe.
Az Operations Manager-ügynök által használt PAM-hitelesítés azonban nem követeli meg, hogy a felhasználónévhez egy interaktív rendszerhéj legyen társítva. Ha a Linux-/UNIX-fiókkezelési gyakorlat magában foglalja az interaktív rendszerhéj eltávolítását egy fiók pszeudo-letiltásának módjaként, az ilyen eltávolítás nem akadályozza meg, hogy a fiók az Operations Manager-ügynökhöz való csatlakozáshoz és a monitorozási funkciók végrehajtásához legyen használva. Ezekben az esetekben további PAM-konfigurációval győződjön meg arról, hogy ezek az ál-letiltott fiókok nem hitelesíthetők az Operations Manager-ügynökkel.
Hitelesítő adatok ügynökök frissítéséhez és eltávolításához
A UNIX/Linux ügynökfrissítő varázsló és a UNIX/Linux ügynök eltávolítása varázsló adja meg a megcélzott számítógépek hitelesítő adatait. A varázslók először felszólítják a frissítés vagy eltávolítás céljából megcélzott számítógépek kiválasztására, majd azon beállítások megadására, amelyek meghatározzák a célszámítógépek hitelesítő adatainak megadását:
A hozzárendelt létező futtató fiókok használata
Válassza ezt a beállítást, ha a UNIX/Linux műveleti fiókprofilhoz és a UNIX/Linux karbantartási fiókprofilhoz társított hitelesítő adatokat szeretné használni.
A varázsló figyelmezteti, ha egy vagy több kijelölt számítógép nem rendelkezik társított futtató fiókkal a szükséges profilokban, ebben az esetben vissza kell lépnie, és törölnie kell azokat a számítógépeket, amelyek nem rendelkeznek társított futtató fiókkal, vagy meg kell adnia a hitelesítő adatokat.
Hitelesítő adatok megadása
Válassza ezt a beállítást, ha az SSH hitelesítő adatokat felhasználónév és jelszó, vagy felhasználónév és kulcs használatával szeretné megadni. A kulcshoz jelszót is megadhat. Ha a hitelesítő adatok nem emelt szintű fiókhoz tartoznak, a UNIX su vagy sudo jogosultságszint-emelési programok használatával emelt szintű jogosultsággal rendelkező fiókra emelheti őket a célszámítógépen. A „su” programmal való szintemeléshez jelszó szükséges. Ha sudo jogosultságszint-emelést használ, a rendszer egy felhasználónevet és egy jelszót kér az ügynök hitelesítéséhez egy nem jogosultsággal rendelkező fiók használatával.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: