UNIX および Linux コンピューターにアクセスするためのセキュリティ資格情報の計画Planning Security Credentials for Accessing Unix and Linux Computers

重要

このバージョンの Operations Manager はサポート終了に達したので、Operations Manager 2019 にアップグレードすることをお勧めします。This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

このトピックでは、UNIX コンピューターまたは Linux コンピューターに対してエージェントのインストール、維持、アップグレード、アンインストールを行うために必要な資格情報について説明します。This topic describes the credentials required to install, maintain, upgrade, and uninstall agents on a UNIX or Linux computer.

Operations Manager では、管理サーバーは次の 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。In Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    • エージェントのインストール、更新、および削除に使用します。Used for installing, upgrading, and removing agents.
  • Web Services for Management (WS-Management)Web Services for Management (WS-Management)

    • すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。Used for all monitoring operations and include the discovery of agents that were already installed.

使用されるプロトコルは、管理サーバーで求められる操作または情報によって決まります。The protocol that is used depends on the action or information that is requested on the management server. エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

Operations Manager では、システム管理者が UNIX または Linux コンピューターのルート パスワードを管理サーバーに入力する必要がなくなりました。In Operations Manager, the system administrator is no longer is required to provide the root password of the UNIX or Linux computer to the management server. 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

エージェントをインストールするための資格情報Credentials for installing agents

Operations Manager では、エージェントをインストールするのに Secure Shell (SSH) プロトコルを使用し、以前にインストール済みのエージェントを検出するのに Web Services for Management (WS-Management) を使用します。Operations Manager uses the Secure Shell (SSH) protocol to install an agent and Web Services for Management (WS-Management) to discover previously installed agents. インストールには、UNIX または Linux コンピューター上で特権を付与されたアカウントが必要です。Installation requires a privileged account on the UNIX or Linux computer. ターゲット コンピューターに資格情報を提供するには、コンピューターとデバイスの管理ウィザードで利用可能な、次の 2 とおりの方法があります。There are two ways to provide credentials to the targeted computer, as obtained by the Computer and Device Management Wizard:

  • ユーザー名とパスワードを指定する。Specify a user name and password.

    SSH プロトコルでは、エージェントをインストールするためにパスワードを使用するか、または署名付き証明書を使用してエージェントが既にインストールされていた場合には WS-Management プロトコルを使用します。The SSH protocol uses the password to install an agent or the WS-Management protocol if the agent was already installed by using a signed certificate.

  • ユーザー名と SSH キーを指定します。Specify a user name and an SSH key. このキーには、オプションのパスフレーズを含めることができます。The key can include an optional passphrase.

特権アカウントの資格情報を使用していない場合、付加的な資格情報を提供することによって UNIX または Linux コンピューター上で特権昇格によりアカウントを特権アカウントにすることができます。If you are not using the credentials for a privileged account, you can provide additional credentials so that your account becomes a privileged account through elevation of privilege on the UNIX or Linux computer.

エージェントが検証されるまで、インストールは完了しません。The installation is not completed until the agent is verified. WS-Management プロトコルにより、エージェント検証が実行されます。その際には、エージェントのインストールに使用される特権アカウントとは別個に管理サーバー上で維持されている資格情報が使用されます。Agent verification is performed by the WS-Management protocol that uses credentials maintained on the management server, separate from the privileged account that is used to install the agent. 次のいずれかに該当する場合は、エージェントの検証のためにユーザー名とパスワードを指定する必要があります。You are required to provide a user name and password for agent verification if you have done one of the following:

  • キーを使用して特権付きアカウントを指定した。Provided a privileged account by using a key.

  • キーを指定した sudo を使用することにより、昇格の対象として特権を付与されていないアカウントを指定した。Provided an unprivileged account to be elevated by using sudo with a key.

  • [検出の種類][UNIX/Linux エージェントがインストールされているコンピューターのみ] に設定された状態でウィザードを実行した。Ran the wizard with the Discovery Type set to Discover only computers with the UNIX/Linux agent installed.

別の方法として、エージェントとその証明書を、UNIX または Linux コンピューター上に手動でインストールした後、そのコンピューターを検出することも可能です。Alternatively, you can install the agent, including its certificate, manually on the UNIX or Linux computer and then discover that computer. これが、セキュリティ上最も安全なエージェントのインストール方法です。This method is the most secure way to install agents. 詳細については、「Install Agent and Certificate on UNIX and Linux Computers Using the Command Line」 (コマンド ラインを使用して UNIX および Linux コンピューターにエージェントと証明書をインストールする) をご覧ください。For more information, see Install the Agent and Certificate on UNIX and Linux Computers Using the Command Line.

オペレーションの監視とエージェントのメンテナンスの実行のための資格情報Credentials for monitoring operations and performing agent maintenance

Operations Manager には、UNIX および Linux コンピューターの監視およびエージェントのメンテナンスを行うために使用できる、次の 3 つの定義済みプロファイルが含まれています。Operations Manager contains three predefined profiles to use in monitoring UNIX and Linux computers and performing agent maintenance:

  • UNIX/Linux アクション アカウントUNIX/Linux action account

    これは、基本ヘルスとパフォーマンスの監視に必要な、特権のないアカウント プロファイルです。This profile is an unprivileged account profile that is required for basic health and performance monitoring.

  • UNIX/Linux 特権を持つアカウントUNIX/Linux privileged account

    これは、ログ ファイルなどの保護されているリソースの監視に使用される特権付きのアカウント プロファイルです。This profile is a privileged account profile used for monitoring protected resources such as log files.

  • UNIX/Linux メンテナンス アカウントUNIX/Linux maintenance account

    このプロファイルは、エージェントの更新や削除など、特権付きのメンテナンス操作に使用します。This profile is used for privileged maintenance operations, such as updating and removing agents.

UNIX および Linux 管理パックにおいて、ルール、モニター、タスク、復元、および管理パックのその他の要素は、すべてこれらのプロファイルを使用するように構成されています。In the UNIX and Linux management packs, all the rules, monitors, tasks, recoveries, and other management pack elements are configured to use these profiles. そのため、特別な状況下で必要とされない限り、実行プロファイル ウィザードを使用して追加のプロファイルを定義する必要はありません。Consequently, there is no requirement to define additional profiles by using the Run As Profiles Wizard unless special circumstances dictate it. プロファイルは、スコープ内では累積されません。The profiles are not cumulative in the scope. たとえば、特権付きのアカウントを使用することによって構成されているとしても、UNIX/Linux メンテナンス アカウントのプロファイルを他のプロファイルの代わりに使用することはできません。For example, the UNIX/Linux maintenance account profile cannot be used in place of the other profiles simply because it is configured by using a privileged account.

Operations Manager では、少なくとも 1 つの実行アカウントに関連付けられるまで、プロファイルは機能できません。In Operations Manager, a profile cannot function until it is associated with at least one Run As account. UNIX または Linux コンピューターにアクセスするための資格情報は、実行アカウントの中で構成されます。The credentials for accessing the UNIX or Linux computers are configured in the Run As accounts. UNIX および Linux の監視のための事前定義済み実行アカウントは存在しないため、それらを作成する必要があります。Because there are no predefined Run As accounts for UNIX and Linux monitoring, you must create them.

実行アカウントを作成するには、 [管理] ワークスペースで [UNIX/Linux アカウント] を選択すると使用可能になる UNIX/Linux 実行アカウント ウィザード を実行する必要があります。To create a Run As account, you must run the UNIX/Linux Run As Account Wizard that is available when you select UNIX/Linux Accounts in the Administration workspace. このウィザードにより、選択した実行アカウントの種類を基に実行アカウントが作成されます。The wizard creates a Run As account based on the choice of a Run As account type. 実行アカウントには、次の 2 種類があります。There are two Run As account types:

  • 監視アカウントMonitoring account

    このアカウントは、WS-Management を使用することにより通信を実行する操作において、進行中の正常性とパフォーマンス監視のために使用します。Use this account for ongoing health and performance monitoring in operations that communicate by using WS-Management.

  • エージェント メンテナンス アカウントAgent maintenance account

    このアカウントは、SSH を使用することによって通信を実行する操作において、更新やアンインストールなどのエージェント メンテナンスのために使用します。Use this account for agent maintenance such as updating and uninstalling in operations that communicate by using SSH.

これらの実行アカウントの種類は、提供する資格情報ごとに異なるアクセス レベルで構成できます。These Run As account types can be configured for different levels of access according to the credentials that you supply. 資格情報には、特権のないアカウント、特権付きアカウント、あるいは、特権付きアカウントに昇格される特権のないアカウントを使用できます。Credentials can be unprivileged or privileged accounts or unprivileged accounts that will be elevated to privileged accounts. 次の表に、プロファイル、実行アカウント、およびアクセス レベル間のリレーションシップを示します。The following table shows the relationships between profiles, Run As accounts, and levels of access.

ProfilesProfiles 実行アカウントの種類Run As account type 許可されるアクセス レベルAllowable Access Levels
UNIX/Linux アクション アカウントUNIX/Linux action account 監視アカウントMonitoring account - 特権なし- Unprivileged
- 特権付き- Privileged
- 特権付きに昇格される特権なし- Unprivileged, elevated to privileged
UNIX/Linux 特権を持つアカウントUNIX/Linux privileged account 監視アカウントMonitoring account - 特権付き- Privileged
- 特権付きに昇格される特権なし- Unprivileged, elevated to privileged
UNIX/Linux メンテナンス アカウントUNIX/Linux maintenance account エージェント メンテナンス アカウントAgent maintenance account - 特権付き- Privileged
- 特権付きに昇格される特権なし- Unprivileged, elevated to privileged

プロファイルは 3 種類ありますが、実行アカウントはそのうち 2 種類だけであることに注意してください。Note that there are three profiles, but only two Run As Account types.

監視実行アカウントのタイプを指定した場合、WS-Management プロトコルで使用するユーザー名とパスワードを指定する必要があります。When you specify a Monitoring Run As Account Type, you must specify a user name and password for use by the WS-Management protocol. エージェント メンテナンス実行アカウントのタイプを指定する場合、SSH プロトコルを使用することによって対象コンピューターに資格情報を提供するための方法を指定する必要があります。When you specify an Agent Maintenance Run As Account Type, you must specify how the credentials are supplied to the targeted computer by using the SSH protocol:

  • ユーザー名とパスワードを指定する。Specify a user name and a password.

  • ユーザー名とキーを指定する。Specify a user name and a key. オプションのパスフレーズを含めることができます。You can include an optional passphrase.

実行アカウントを作成した後、UNIX および Linux プロファイルを編集し、それらを、作成した実行アカウントに関連付ける必要があります。After you created the Run As accounts, you must edit the UNIX and Linux profiles to associate them with the Run As accounts you created. 詳しい手順については、「 How to Configure Run As Accounts and Profiles for UNIX and Linux Access」 (UNIX および Linux アクセス用に実行アカウントとプロファイルを構成する方法) を参照してください。For detailed instructions, see How to Configure Run As Accounts and Profiles for UNIX and Linux Access

重要なセキュリティに関する考慮事項Important security considerations

Operations Manager LINUX/UNIX エージェントでは、Linux または UNIX のコンピューターで標準の PAM (プラグ可能な認証モジュール) メカニズムを使用して、アクション プロファイルと特権プロファイルで指定されたユーザー名とパスワードを認証します。The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. パスワードが PAM で認証されたユーザー名は、監視データを収集するコマンド ラインやスクリプトの実行などの監視機能を実行できます。Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. このような監視機能は、常にそのユーザー名のコンテキストで実行されるため (sudo による昇格がそのユーザー名で明示的に有効になっている場合を除く)、Operations Manager エージェントでは、そのユーザーが Linux または UNIX システムにログインした場合に使用できる機能を超える機能は提供されません。Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

ただし、Operations Manager エージェントによって使用される PAM 認証では、ユーザー名に対話型シェルが関連付けられている必要はありません。However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Linux または UNIX アカウントの管理方法に、擬似的にアカウントを無効にする方法として、対話型シェルの削除が含まれている場合は、このような削除によって、Operations Manager エージェントへの接続や、監視機能の実行にアカウントが使用されることを防止できません。If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. このような場合、追加の PAM 構成を使用して、これら擬似的に無効になっているアカウントが Operations Manager エージェントで認証されないようにする必要があります。In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

エージェントをアップグレードおよびアンインストールするための資格情報Credentials for upgrading and uninstalling agents

UNIX/Linux エージェントのアップグレード ウィザードUNIX/Linux エージェントのアンインストール ウィザード により、ターゲット コンピューターに資格情報が提供されます。The UNIX/Linux Agent Upgrade Wizard and the UNIX/Linux Agent Uninstall Wizard provide credentials to their targeted computers. まずウィザードで、アップグレードまたはアンインストールのターゲットとなるコンピューターの選択を求めるプロンプトを表示され、次に、ターゲット コンピューターに資格情報を提供する方法のオプションが示されます。The wizards first prompt you to select the targeted computers to upgrade or uninstall, followed by options on how to provide the credentials to the targeted computer:

  • 関連付けられている既存の実行アカウントを使用するUse existing associated Run As Accounts

    このオプションは、UNIX/Linux アクション アカウント プロファイルおよび UNIX/Linux メンテナンス アカウント プロファイルに関連付けられた資格情報を使用する場合に選択します。Select this option to use the credentials associated with the UNIX/Linux action account profile and the UNIX/Linux maintenance account profile.

    選択された 1 つ以上のコンピューターの必要なプロファイル内に関連付けられている実行アカウントがない場合は、ウィザードがアラートを生成します。その場合は、前の手順に戻って関連付けられた実行アカウントのないコンピューターの選択を解除するか、資格情報を指定する必要があります。The wizard alerts you if one or more of the selected computers do not have an associated Run As account in the required profiles, in which case you must go back and clear those computers that do not have an associated Run As account, or specify credentials.

  • 資格情報の指定Specify credentials

    このオプションは、ユーザー名とパスワードまたはユーザー名とキーを使用することによって Secure Shell (SSH) の資格情報を指定する場合に選択します。Select this option to specify Secure Shell (SSH) credentials by using a user name and password or a user name and a key. 必要に応じて、パスフレーズをキーと共に指定できます。You can optionally provide a passphrase with a key. 特権付きアカウントのための資格情報がない場合は、UNIX の su または sudo 昇格プログラムを使用することによって、対象コンピューターで特権付きアカウントに昇格することができます。If the credentials are not for a privileged account, you can have them elevated to a privileged account on the target computered by using the UNIX su or sudo elevation programs. su 昇格では、パスワードが必要です。The 'su' elevation requires a password. sudo による昇格を使用する場合は、特権のないアカウントを使用することによってエージェント検証を実行するためのユーザー名とパスワードを入力するよう求めるプロンプトが出されます。If you use sudo elevation, you are prompted for a user name and password for agent verification by using an unprivileged account.