Hitelesítés és adattitkosítás Operations Managerben
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
A System Center Operations Manager olyan funkciókból áll, mint a felügyeleti kiszolgáló, az átjárókiszolgáló, a jelentéskészítő kiszolgáló, az operatív adatbázis, a jelentéskészítési adattárház, az ügynök, a webkonzol és az operatív konzol. Ez a cikk bemutatja, hogyan történik a hitelesítés, és azonosítja azokat a kapcsolati csatornákat, ahol az adatok titkosítva vannak.
Tanúsítványalapú hitelesítés
Ha egy Operations Manager ügynök és felügyeleti kiszolgálója két különböző, egymással megbízhatósági kapcsolatban nem álló erdőbe vagy munkacsoportba tartozik, akkor tanúsítványalapú hitelesítést kell használni. Az alábbi szakaszokban az ilyen jellegű helyzeteket tárgyaljuk, valamint ismertetjük, hogyan lehet a Windows-alapú hitelesítésszolgáltatóktól beszerezni, majd telepíteni a szükséges tanúsítványokat.
Azonos megbízhatósági tartományba tartozó ügynökök és felügyeleti kiszolgáló közötti kommunikáció biztosítása
Az ügynök és a felügyeleti kiszolgáló Windows-hitelesítéssel végzik el egymás kölcsönös hitelesítését, mielőtt a felügyeleti kiszolgáló fogadná az ügynök által küldött adatokat. A Kerberos protokoll 5-ös verziója a hitelesítés alapértelmezett eszköze. Annak érdekében, hogy használni lehessen a Kerberos-alapú kölcsönös hitelesítést, az ügynököknek és a felügyeleti kiszolgálónak azonos Active Directory-tartományba kell tartozniuk. Ha egy ügynök és a felügyeleti kiszolgáló eltérő tartományba tartozik, teljes megbízhatósági kapcsolatot kell létesíteni a tartományok között. Ebben az esetben a kölcsönös hitelesítés végrehajtása után az ügynök és a felügyeleti kiszolgáló közötti adatcsatornán titkosítva zajlik az adatforgalom. A hitelesítés és a titkosítás megvalósulásához nincs szükség felhasználói beavatkozásra.
Eltérő megbízhatósági tartományba tartozó ügynökök és felügyeleti kiszolgáló közötti kommunikáció biztosítása
Lehetőség van olyan rendszer telepítésére, amelyben az ügynökök más tartományba (B tartomány) tartoznak, mint a felügyeleti kiszolgáló (A tartomány), és nincs kétirányú megbízhatóság a tartományok között. Mivel a két tartomány között nincs megbízhatóság, az egyik tartományban lévő ügynökök nem tudnak a kerberos protokollal hitelesíteni a másik tartomány felügyeleti kiszolgálójával. Az Operations Manager különböző tartományokba tartozó összetevői közötti kölcsönös hitelesítés azonban ilyenkor is megtörténik.
Az ilyen jellegű helyzetekben a megoldást az átjárókiszolgáló telepítése jelenti, amelyet abban a tartományban kell elhelyezni, ahol az ügynökök találhatók, majd az átjárókiszolgálóra és a felügyeleti kiszolgálóra egyaránt telepíteni kell a kölcsönös hitelesítéshez és az adattitkosításhoz szükséges tanúsítványokat. Az átjárókiszolgáló használatának előnye, hogy csak egy tanúsítványra van szükség a B tartományban, és csak egy portot kell megnyitni a tűzfalon, ahogy azt az alábbi ábra is szemlélteti.
Tartomány és munkacsoport közötti kommunikáció
Előfordulhat, hogy az adott környezetben a tűzfalon belül található néhány munkacsoportos gépre telepített ügynök. A munkacsoportban lévő ügynök nem tud hitelesítést végezni a tartomány felügyeleti kiszolgálójával a Kerberos protokoll használatával. A megoldás a megfelelő tanúsítványok telepítése mind az ügynököt futtató számítógépre, mind arra a felügyeleti kiszolgálóra, amelyhez az ügynök csatlakozik, ahogy azt az alábbi ábra szemlélteti.
Megjegyzés
Ilyenkor kézzel kell telepíteni az ügynököt.
Az ügynököt futtató számítógépen és a felügyeleti kiszolgálón is az alábbi lépéseket kell végrehajtani, ugyanazt a hitelesítésszolgáltatót (CA) használva:
- Tanúsítványok kérése a CA-tól.
- A tanúsítványkérelmek jóváhagyása a CA-n.
- A kibocsátott tanúsítványok telepítése a számítógépek tanúsítványtárolójába.
- Az Operations Manager konfigurálása a MOMCertImport eszközzel.
Megjegyzés
Az 1-nél nem régebbi KEYSPEC-et tartalmazó tanúsítványok nem támogatottak.
Ezek ugyanazok a lépések a tanúsítványok átjárókiszolgálón való telepítéséhez, kivéve, ha nem telepíti vagy futtatja az átjáró-jóváhagyási eszközt.
A tanúsítványok telepítésének ellenőrzése
Ha megfelelően telepítette a tanúsítványt, a rendszer a következő eseményt írja be az Operations Manager eseménynaplójába.
| Típus | Forrás | Eseményazonosító | Általános kérdések |
|---|---|---|---|
| Tájékoztatás | OpsMgr-összekötő | 20053 | Az OpsMgr-összekötő sikeresen betöltötte a megadott hitelesítési tanúsítványt. |
Tanúsítvány telepítésekor futtatni kell a MOMCertImport eszközt. A MOMCertImport eszköz a futtatásakor beírja az importálásra megadott tanúsítvány sorozatszámát a beállításjegyzék alábbi alkulcsába.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Figyelemfelhívás
A beállításjegyzék nem megfelelő módosítása súlyosan károsíthatja a rendszert. A beállításjegyzék módosítása előtt készítsen biztonsági másolatot a számítógépen lévő összes értékes adatról.
A felügyeleti kiszolgálók, az átjárókiszolgálók és az ügynökök közötti hitelesítés és adattitkosítás
Az Operations Manager említett összetevői közötti kommunikáció első lépése a kölcsönös hitelesítés. Ha a kommunikációs csatorna mindkét végpontján rendelkezésre áll a megfelelő tanúsítvány, akkor a kölcsönös hitelesítés tanúsítványalapon történik; ellenkező esetben a két fél a Kerberos protokoll 5-ös verzióját használja. Ha két összetevő eltérő tartományban található, amelyek nem állnak megbízhatósági kapcsolatban, akkor a hitelesítést tanúsítványokkal kell elvégezni. A normál kommunikáció, így az események és a riasztások elküldése, valamint a felügyeleti csomagok telepítése ezen a csatornán történik. Az alábbi ábrán arra látható példa, hogy az egyik ügynökön keletkező riasztás hogyan kerül el a felügyeleti kiszolgálóhoz. Az ügynök és az átjárókiszolgáló között a Kerberos biztonsági csomag segítségével történik az adatok titkosítása, ugyanis az átjárókiszolgáló és az ügynök azonos tartományba tartoznak. Az átjárókiszolgáló visszafejti a riasztást, majd újratitkosítja a felügyeleti kiszolgálóval folytatott kommunikáció során használt tanúsítvánnyal. Az átjárókiszolgáló elküldi a titkosított üzenetet annak a felügyeleti kiszolgálónak, ahol a felügyeleti kiszolgáló visszafejti a riasztást. A felügyeleti kiszolgáló és az ügynök közötti kommunikációban időnként hitelesítő adatok is szerepelhetnek, például a konfigurációs adatok és a feladatok továbbításakor. Az ügynök és a felügyeleti kiszolgáló közötti adatcsatorna egy további titkosítási réteget jelent a normál csatornatitkosításon felül. Felhasználói beavatkozásra nincs szükség.
A felügyeleti kiszolgáló és az operatív konzol, a webkonzol-kiszolgáló és a jelentéskészítő kiszolgáló
A felügyeleti kiszolgáló és az operatív konzol, a webkonzol-kiszolgáló és a jelentéskészítő kiszolgáló közötti hitelesítés és adattitkosítás a Windows Communication Foundation (WCF) technológiával történik. Az első hitelesítési kísérlet a felhasználó hitelesítő adataival történik. A két szereplő először Kerberos protokollt próbál használni. Ha a Kerberos-protokoll nem működik, egy újabb kísérlet történik az NTLM használatával. Ha a hitelesítés továbbra is sikertelen, a rendszer felszólítja a felhasználót a hitelesítő adatok megadására. A hitelesítést követően az adatfolyam a Kerberos protokoll vagy az SSL függvényeként lesz titkosítva, ha NTLM-et használ.
A jelentéskészítő kiszolgáló és a felügyeleti kiszolgáló esetében a hitelesítés végrehajtása után adatkapcsolat jön létre a felügyeleti kiszolgáló és az SQL Server Jelentéskészítő kiszolgáló között. Ennek során kizárólag Kerberos protokoll használható; ebből fakadóan a felügyeleti kiszolgálónak és a jelentéskészítő kiszolgálónak azonos megbízhatósági tartományban kell lennie. A WCF technológiát a következő MSDN-cikk tárgyalja részletesen: What Is Windows Communication Foundation (Mi a Windows Communication Foundation).
A felügyeleti kiszolgáló és a jelentéskészítési adatraktár
A felügyeleti kiszolgáló és a jelentéskészítési adatraktár között két kommunikációs csatorna létesül:
- A felügyeleti kiszolgálón futó állapotfigyelő szolgáltatás (System Center Management szolgáltatás) által indított figyelési gazdafolyamat.
- A felügyeleti kiszolgálón futó System Center adatelérési szolgáltatás
A figyelési gazdafolyamat és a jelentéskészítési adatraktár
Az állapotfigyelő szolgáltatás által indított figyelési gazdafolyamat (amely az összegyűjtött eseményeknek és teljesítményszámlálóknak az adatraktárba történő beírásáért felelős) alapesetben integrált Windows-hitelesítést használ, miközben a futtatása a jelentéskészítési összetevő telepítésekor megadott adatíró fiókkal történik. A fiók hitelesítő adatait a rendszer biztonságos módon tárolja az Adatraktár műveleti fiókja nevű futtató fiókban. Ez a futtató fiók tagja az Adatraktárfiók nevű futtató profilnak (ez utóbbi van hozzárendelve a tényleges gyűjtési szabályokhoz).
Ha a jelentéskészítési adattárházat és a felügyeleti kiszolgálót egy megbízhatósági határ választja el egymástól (például mindegyik különböző tartományokban található, megbízhatóság nélkül), akkor a Windows integrált hitelesítése nem fog működni. A probléma megoldása érdekében a figyelési gazdafolyamat SQL Server-hitelesítéssel is képes csatlakozni a jelentéskészítési adatraktárhoz. Ehhez létre kell hozni egy új futtató fiókot (egyszerű fiók típusút), amelyben meg kell adni az SQL-fiók hitelesítő adatait, majd hozzá kell adni Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz, célként a felügyeleti kiszolgálót megadva.
Fontos
Alapesetben Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz az azonos nevű futtató fiók révén egy különleges fiók van hozzárendelve. Soha ne módosítsa Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz rendelt fiókot. Ehelyett hozzon létre egy saját fiókot és egy saját futtató fiókot, majd adja hozzá a futtató fiókot Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz.
Az alábbiakban az integrált Windows-hitelesítésre és az SQL Server-hitelesítésre használt különféle fiókokban szereplő hitelesítő adatok, a futtató fiókok és a futtató profilok közötti kapcsolatot szemléltetjük.
Alapértelmezett: integrált Windows-hitelesítés
Futtató profil: Adatraktárfiók
- Futtató fiók: Adatraktárfiók
- A fiók hitelesítő adatai: Adatíró fiók (a telepítéskor történik a megadása)
Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
- Futtató fiók: Adatraktár – SQL Server-hitelesítési fiók
- Fiók hitelesítő adatai: Az Operations Manager által létrehozott speciális fiók (ne módosítsa)
Nem kötelező: SQL Server-hitelesítés
- Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
- Futtató fiók: A telepítéskor megadott futtató fiók.
- A fiók hitelesítő adatai: A telepítéskor megadott fiók.
A System Center adatelérési szolgáltatás és a jelentéskészítési adatraktár
Alapesetben a System Center adatelérési szolgáltatás – amelynek feladata az adatok kiolvasása a jelentéskészítési adatraktárból, majd elérhetővé tétele a jelentések paramétereit tartalmazó területen – integrált Windows-hitelesítést használ, miközben az Operations Manager telepítésekor az adatelérési és a konfigurációs szolgáltatáshoz megadott fiók nevében fut.
Ha a jelentéskészítési adattárházat és a felügyeleti kiszolgálót egy megbízhatósági határ választja el egymástól (például mindegyik különböző, megbízhatóság nélküli tartományban található), akkor a Windows integrált hitelesítés nem működne. A probléma megoldása érdekében a System Center adatelérési szolgáltatás SQL Server-hitelesítéssel is képes csatlakozni a jelentéskészítési adatraktárhoz. Ehhez létre kell hozni egy új futtató fiókot (egyszerű fiók típusút), amelyben meg kell adni az SQL-fiók hitelesítő adatait, majd hozzá kell adni a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz, célként a felügyeleti kiszolgálót megadva.
Fontos
Alapesetben a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz az azonos nevű futtató fiók révén egy különleges fiók van hozzárendelve. Soha ne módosítsa a futtató profilhoz, jelentéskészítési SDK-hoz SQL Server hitelesítési fiókhoz társított fiókot. Ehelyett hozzon létre egy saját fiókot és egy saját futtató fiókot, majd adja hozzá a futtató fiókot a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz.
Az alábbiakban az integrált Windows-hitelesítésre és az SQL Server-hitelesítésre használt különféle fiókokban szereplő hitelesítő adatok, a futtató fiókok és a futtató profilok közötti kapcsolatot szemléltetjük.
Alapértelmezett: integrált Windows-hitelesítés
Az adatelérési és a konfigurációs szolgáltatás fiókja (az Operations Manager telepítésekor történik a megadása)
- Futtató profil: Jelentéstételi SDK – SQL Server-hitelesítési fiók
- Futtató fiók: Jelentéstételi SDK – SQL Server-hitelesítési fiók
- Fiók hitelesítő adatai: Az Operations Manager által létrehozott speciális fiók (ne módosítsa)
Nem kötelező: SQL Server-hitelesítés
- Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
- Futtató fiók: A telepítéskor megadott futtató fiók.
- A fiók hitelesítő adatai: A telepítéskor megadott fiók.
Az operatív konzol és a jelentéskészítő kiszolgáló
Az operatív konzol a 80-as porton keresztül, HTTP protokollon csatlakozik a jelentéskészítő kiszolgálóhoz. A hitelesítés Windows-hitelesítéssel történik. Az adatok titkosítása SSL-csatorna segítségével történik.
A jelentéskészítő kiszolgáló és a jelentéskészítési adatraktár
A jelentéskészítő kiszolgáló és a jelentéskészítési adatraktár között integrált Windows-hitelesítés történik. A jelentéskészítési szolgáltatás telepítésekor adatolvasó fiókként megadott fiók válik a jelentéskészítő kiszolgáló futtatási fiókjává. Ha a fiók jelszava megváltozik, ugyanazt a jelszót kell módosítania a Reporting Services Configuration Manager használatával SQL Server. A jelentéskészítő kiszolgáló és a jelentéskészítési adattárház közötti adatok nincsenek titkosítva.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: