A Unix- és Linux-számítógépek elérésére használt hitelesítő adatok megtervezésePlanning Security Credentials for Accessing Unix and Linux Computers

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Ez a témakör leírja az ügynökök telepítéséhez, karbantartásához, frissítéséhez és eltávolításához egy UNIX vagy Linux rendszerű számítógépen szükséges hitelesítő adatokat.This topic describes the credentials required to install, maintain, upgrade, and uninstall agents on a UNIX or Linux computer.

Az Operations Managerben a felügyeleti kiszolgáló két protokollt használ a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:In Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) és Secure Shell File Transfer Protocol (SFTP)Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    • Az ügynökök telepítésére, frissítésére és eltávolítására használatos.Used for installing, upgrading, and removing agents.
  • Web Services for Management (WS-Management)Web Services for Management (WS-Management)

    • Ez használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.Used for all monitoring operations and include the discovery of agents that were already installed.

A használt protokoll a felügyeleti kiszolgálón igényelt művelettől vagy információtól függ.The protocol that is used depends on the action or information that is requested on the management server. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

Az Operations Managerben a rendszergazdának már nem kell megadnia a UNIX vagy Linux rendszerű számítógép gyökérszintű jelszavát a felügyeleti kiszolgálónak.In Operations Manager, the system administrator is no longer is required to provide the root password of the UNIX or Linux computer to the management server. Egy nem rendszer-jogosultságú fiók jogosultságiszint-emeléssel felveheti egy rendszer-jogosultságú fiók identitását a UNIX vagy Linux rendszerű számítógépen.Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják.The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Azon kiemelt ügynök-karbantartási műveletek esetén, amelyek SSH-t használnak (pl. felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása.For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. A rendszer-jogosultságú WS-Management műveletekhez (pl. biztonságos naplófájlok megtekintése) hozzá lett adva a sudo jogosultságiszint-emelés (jelszó nélkül).For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

Hitelesítő adatok ügynökök telepítéséhezCredentials for installing agents

Az Operations Manager a Secure Shell (SSH) protokollt használja az ügynökök telepítéséhez, és a Web Services for Management (WS-Management) protokollt a korábban telepített ügynökök felderítéséhez.Operations Manager uses the Secure Shell (SSH) protocol to install an agent and Web Services for Management (WS-Management) to discover previously installed agents. A telepítéshez szükség van egy rendszerjogosultságú fiókra a UNIX vagy Linux rendszerű számítógépen.Installation requires a privileged account on the UNIX or Linux computer. A megcélzott számítógép hitelesítő adatait kétféleképpen lehet megadni a Számítógép- és eszközkezelés varázslóban:There are two ways to provide credentials to the targeted computer, as obtained by the Computer and Device Management Wizard:

  • Felhasználónév és jelszó megadásával.Specify a user name and password.

    Az SSH protokoll a jelszót használja az ügynök telepítéséhez, vagy a WS-Management protokollt, ha az ügynököt korábban már telepítették egy aláírt tanúsítvány segítségével.The SSH protocol uses the password to install an agent or the WS-Management protocol if the agent was already installed by using a signed certificate.

  • Felhasználónév és SSH-kulcs megadásával.Specify a user name and an SSH key. A kulcs jelszót is tartalmazhat.The key can include an optional passphrase.

Ha nem rendszerjogosultságú fiók hitelesítő adatait használja, további hitelesítő adatok megadásával a fiók rendszerjogosultságúvá tehető a UNIX vagy Linux rendszerű számítógépeken jogosultságiszint-emelés útján.If you are not using the credentials for a privileged account, you can provide additional credentials so that your account becomes a privileged account through elevation of privilege on the UNIX or Linux computer.

A telepítés csak azt követően fejezhető be, miután megtörtént az ügynök ellenőrzése.The installation is not completed until the agent is verified. Az ügynökellenőrzést a WS-Management protokoll végzi, amely a felügyeleti kiszolgálón karbantartott felhasználói hitelesítő adatokat használja, nem pedig a rendszerjogosultságú fiókot, amely az ügynök telepítéséhez használatos.Agent verification is performed by the WS-Management protocol that uses credentials maintained on the management server, separate from the privileged account that is used to install the agent. Ha az alábbi műveletek egyikét hajtotta végre, akkor meg kell adnia a felhasználónevet és a jelszót:You are required to provide a user name and password for agent verification if you have done one of the following:

  • Kulcs használatával rendszerjogosultságú fiókot adott meg.Provided a privileged account by using a key.

  • Olyan nem rendszerjogosultságú fiókot adott meg, amelyet a sudo és egy kulcs használatával emel magasabb szintre.Provided an unprivileged account to be elevated by using sudo with a key.

  • Futtassa a varázslót, és a Felderítés típusa értékeként válassza a Csak telepített UNIX-/Linux-ügynökkel rendelkező számítógépek felderítése beállítást.Ran the wizard with the Discovery Type set to Discover only computers with the UNIX/Linux agent installed.

Választhatja azt is, hogy az ügynököt és annak tanúsítványát manuálisan telepíti a UNIX vagy Linux rendszerű számítógépen, majd felderíti az adott számítógépet.Alternatively, you can install the agent, including its certificate, manually on the UNIX or Linux computer and then discover that computer. Ez az ügynökök telepítésének legbiztonságosabb módja.This method is the most secure way to install agents. További információk: Az ügynök és a tanúsítvány telepítése UNIX és Linux számítógépre parancssorból.For more information, see Install the Agent and Certificate on UNIX and Linux Computers Using the Command Line.

Hitelesítő adatok figyelési műveletekhez és ügynökök karbantartásáhozCredentials for monitoring operations and performing agent maintenance

Az Operations Manager három előre meghatározott profilt tartalmaz a UNIX és Linux rendszerű számítógépek figyelésére és az ügynökök karbantartásának elvégzésére:Operations Manager contains three predefined profiles to use in monitoring UNIX and Linux computers and performing agent maintenance:

  • UNIX/Linux műveleti fiókUNIX/Linux action account

    Erre a nem rendszerjogosultságú fiókprofilra a rendszer alapszintű állapotának és teljesítményének figyeléséhez van szükség.This profile is an unprivileged account profile that is required for basic health and performance monitoring.

  • UNIX/Linux rendszerjogosultságú fiókUNIX/Linux privileged account

    Ez a rendszerjogosultságú fiókprofil a védett erőforrások, például a naplófájlok figyeléséhez használható.This profile is a privileged account profile used for monitoring protected resources such as log files.

  • UNIX/Linux karbantartási fiókUNIX/Linux maintenance account

    Ez a profil kiemelt karbantartási műveletek elvégzéséhez használható, például ügynökök frissítéséhez és eltávolításához.This profile is used for privileged maintenance operations, such as updating and removing agents.

A UNIX és a Linux felügyeleti csomagokban az összes szabály, figyelő, feladat, helyreállítás és egyéb felügyeleticsomag-elem úgy van beállítva, hogy ezeket a profilokat használja.In the UNIX and Linux management packs, all the rules, monitors, tasks, recoveries, and other management pack elements are configured to use these profiles. Éppen ezért nem kell további profilokat meghatároznia a Futtató profilok varázslóval, hacsak azt különleges körülmények meg nem követelik.Consequently, there is no requirement to define additional profiles by using the Run As Profiles Wizard unless special circumstances dictate it. A profilok hatóköre nem összesíthető.The profiles are not cumulative in the scope. Például a UNIX/Linux karbantartási fiók profilja nem használható más profilok helyet, egyszerűen azért, mert azt egy rendszerjogosultságú fiók használatával konfigurálták.For example, the UNIX/Linux maintenance account profile cannot be used in place of the other profiles simply because it is configured by using a privileged account.

Az Operations Manager programban egy profil addig nem működőképes, amíg legalább egy Futtató fiókkal kapcsolatba nem hozták.In Operations Manager, a profile cannot function until it is associated with at least one Run As account. A UNIX vagy Linux rendszerű számítógépek eléréséhez a hitelesítő adatok konfigurálása a futtató fiókokban történik.The credentials for accessing the UNIX or Linux computers are configured in the Run As accounts. Mivel nincsenek előre meghatározott futtató fiókok a UNIX és Linux rendszerű számítógépek figyelésére, ezeket létre kell hoznia.Because there are no predefined Run As accounts for UNIX and Linux monitoring, you must create them.

Futtató fiók létrehozásához futtassa a UNIX/Linux futtató fiók varázslót. Ehhez először az Adminisztráció munkaterületen válassza a UNIX/Linux-fiókok lehetőséget.To create a Run As account, you must run the UNIX/Linux Run As Account Wizard that is available when you select UNIX/Linux Accounts in the Administration workspace. A kiválasztott futtatófiók-típus alapján a varázsló létrehoz egy futtató fiókot.The wizard creates a Run As account based on the choice of a Run As account type. Kétféle futtatófiók-típus létezik:There are two Run As account types:

  • Figyelési fiókMonitoring account

    Használja ezt a fiókot azon műveletek folyamatos állapot- és teljesítményfigyeléséhez, amelyek a WS-Management protokoll használatával kommunikálnak.Use this account for ongoing health and performance monitoring in operations that communicate by using WS-Management.

  • Ügynök-karbantartási fiókAgent maintenance account

    Ezt a fiókot ügynök-karbantartáshoz, így például frissítéshez és eltávolításhoz használhatja azokban a műveletekben, amelyek az SSH protokoll használatával kommunikálnak.Use this account for agent maintenance such as updating and uninstalling in operations that communicate by using SSH.

Ezek a futtatófiók-típusok különféle hozzáférési szintekhez konfigurálhatók a megadott hitelesítő adatok szerint.These Run As account types can be configured for different levels of access according to the credentials that you supply. A hitelesítő adatok tartozhatnak nem rendszerjogosultságú és rendszerjogosultságú fiókokhoz, vagy olyan nem rendszerjogosultságú fiókokhoz, amelyek rendszerjogosultságú szintre lesznek emelve.Credentials can be unprivileged or privileged accounts or unprivileged accounts that will be elevated to privileged accounts. A következő táblázat bemutatja a profilok, a futtató fiókok, valamint a hozzáférési szintek közötti kapcsolatot.The following table shows the relationships between profiles, Run As accounts, and levels of access.

ProfilokProfiles Futtató fiók típusaRun As account type Megengedett hozzáférési szintAllowable Access Levels
UNIX/Linux műveleti fiókUNIX/Linux action account Figyelési fiókMonitoring account - Nem rendszerjogosultságú- Unprivileged
- Rendszerjogosultságú- Privileged
- Rendszerjogosultságúra emelt nem rendszerjogosultságú- Unprivileged, elevated to privileged
UNIX/Linux rendszerjogosultságú fiókUNIX/Linux privileged account Figyelési fiókMonitoring account - Rendszerjogosultságú- Privileged
- Rendszerjogosultságúra emelt nem rendszerjogosultságú- Unprivileged, elevated to privileged
UNIX/Linux karbantartási fiókUNIX/Linux maintenance account Ügynök-karbantartási fiókAgent maintenance account - Rendszerjogosultságú- Privileged
- Rendszerjogosultságúra emelt nem rendszerjogosultságú- Unprivileged, elevated to privileged

Felhívjuk a figyelmét arra, hogy háromféle profil létezi, de csak kétféle típusú futtató fiók áll rendelkezésre.Note that there are three profiles, but only two Run As Account types.

Amikor karbantartás típusú futtató fiókot ad meg, meg kell adnia a WS-Management protokoll által használandó felhasználónevet és jelszót.When you specify a Monitoring Run As Account Type, you must specify a user name and password for use by the WS-Management protocol. Amikor ügynök-karbantartási futtatófiók-típust ad meg, meg kell határoznia, hogy az SSH protokoll használatával miként fogja a célszámítógép beszerezni a hitelesítő adatokat.When you specify an Agent Maintenance Run As Account Type, you must specify how the credentials are supplied to the targeted computer by using the SSH protocol:

  • Felhasználónév és jelszó megadásával.Specify a user name and a password.

  • Adjon meg egy felhasználónevet és egy jelszót.Specify a user name and a key. Opcionális jelszót is megadhat.You can include an optional passphrase.

Miután létrehozta a futtató fiókokat, a UNIX- és a Linux-profilokat társítania kell a létrehozott futtató fiókokkal.After you created the Run As accounts, you must edit the UNIX and Linux profiles to associate them with the Run As accounts you created. Részletes utasítások: Futtató fiókok és profilok konfigurálása UNIX- és Linux-hozzáféréshezFor detailed instructions, see How to Configure Run As Accounts and Profiles for UNIX and Linux Access

Fontos biztonsági szempontokImportant security considerations

Az Operations Manager Linux-/UNIX-ügynöke a linuxos/UNIX-os gépen a normál PAM-mechanizmussal hitelesíti a műveleti profilban és a jogosultsági profilban megadott felhasználónevet és jelszót.The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. A PAM által hitelesített jelszóval bíró összes felhasználó végezhet monitorozási feladatokat, például futtathatnak a monitorozási adatokat összegyűjtő parancssorokat vagy szkripteket.Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. Az ilyen monitorozási feladatok mindig az adott felhasználó kontextusában futnak (hacsak az adott felhasználónévhez nincs kifejezetten engedélyezve a sudo paranccsal történő jogosultságiszint-emelés), ezért az Operations Manager-ügynök nem bír szélesebb jogkörrel, mint ha az adott felhasználó bejelentkezne az adott Linux/UNIX rendszerbe.Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

Az Operations Manager-ügynök által használt PAM-hitelesítéshez viszont nem szükséges, hogy a felhasználónévhez interaktív shell legyen hozzárendelve.However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Ha a Linux-/UNIX-fiókfelügyeleti gyakorlat részét képezi az interaktív shell (az adott fiók letiltásához hasonló hatású) eltávolítása, akkor az ilyen eltávolítás nem gátolja meg, hogy a fiókkal az Operations Manager-ügynök révén bejelentkezzenek és monitorozási feladatokat végezzenek.If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. Ebben az esetben további PAM-konfigurálással kell megoldani, hogy az ily módon kvázi letiltott fiókokat az Operations Manager-ügynök se hitelesítse.In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

Hitelesítő adatok ügynökök frissítéséhez és eltávolításáhozCredentials for upgrading and uninstalling agents

A UNIX/Linux ügynökfrissítő varázsló és a UNIX/Linux ügynök eltávolítása varázsló adja meg a megcélzott számítógépek hitelesítő adatait.The UNIX/Linux Agent Upgrade Wizard and the UNIX/Linux Agent Uninstall Wizard provide credentials to their targeted computers. A varázslók először felszólítják a frissítés vagy eltávolítás céljából megcélzott számítógépek kiválasztására, majd azon beállítások megadására, amelyek meghatározzák a célszámítógépek hitelesítő adatainak megadását:The wizards first prompt you to select the targeted computers to upgrade or uninstall, followed by options on how to provide the credentials to the targeted computer:

  • A hozzárendelt létező futtató fiókok használataUse existing associated Run As Accounts

    Válassza ezt a beállítást, ha a UNIX/Linux műveleti fiókprofilhoz és a UNIX/Linux karbantartási fiókprofilhoz társított hitelesítő adatokat szeretné használni.Select this option to use the credentials associated with the UNIX/Linux action account profile and the UNIX/Linux maintenance account profile.

    A varázsló tájékoztatja arról, ha Ön vagy több kiválasztott számítógép nem rendelkezik futtató fiókkal a kért profilban. Ebben az esetben vissza kell lépnie a varázslóban, és meg kell szüntetnie azon számítógépek bejelölését, amelyekhez nincs futtató fiók társítva, vagy másik beállítást kell választania.The wizard alerts you if one or more of the selected computers do not have an associated Run As account in the required profiles, in which case you must go back and clear those computers that do not have an associated Run As account, or specify credentials.

  • Hitelesítő adatok megadásaSpecify credentials

    Válassza ezt a beállítást, ha az SSH hitelesítő adatokat felhasználónév és jelszó, vagy felhasználónév és kulcs használatával szeretné megadni.Select this option to specify Secure Shell (SSH) credentials by using a user name and password or a user name and a key. A kulcshoz jelszót is megadhat.You can optionally provide a passphrase with a key. Ha a hitelesítő adatok nem rendszerjogosultságú fiókhoz tartoznak, azokat a megcélzott számítógépeken rendszerjogosultságúra emelheti a UNIX su és sudo szintemelő program segítségével.If the credentials are not for a privileged account, you can have them elevated to a privileged account on the target computered by using the UNIX su or sudo elevation programs. A „su” programmal való szintemeléshez jelszó szükséges.The 'su' elevation requires a password. Ha a „sudo” szintemelést használja, akkor a nem rendszerjogosultságú fiókkal végrehajtott ügyfélellenőrzés során meg kell adnia a felhasználónevet és a jelszót.If you use sudo elevation, you are prompted for a user name and password for agent verification by using an unprivileged account.