UNIX および Linux コンピューターにアクセスするためのセキュリティ資格情報の計画
重要
このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。
この記事では、UNIX または Linux コンピューターにエージェントをインストール、保守、アップグレード、アンインストールするために必要な資格情報について説明します。
Operations Manager では、管理サーバーは次の 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。
Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)
- エージェントのインストール、更新、および削除に使用します。
Web Services for Management (WS-Management)
- すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。
使用されるプロトコルは、管理サーバーで求められる操作または情報によって決まります。 エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。
Operations Manager では、システム管理者が UNIX または Linux コンピューターのルート パスワードを管理サーバーに入力する必要がなくなりました。 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。 SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。
エージェントをインストールするための資格情報
Operations Manager では、エージェントをインストールするのに Secure Shell (SSH) プロトコルを使用し、以前にインストール済みのエージェントを検出するのに Web Services for Management (WS-Management) を使用します。 インストールには、UNIX または Linux コンピューター上で特権を付与されたアカウントが必要です。 ターゲット コンピューターに資格情報を提供するには、コンピューターとデバイスの管理ウィザードで利用可能な、次の 2 とおりの方法があります。
ユーザー名とパスワードを指定する。
SSH プロトコルでは、エージェントをインストールするためにパスワードを使用するか、または署名付き証明書を使用してエージェントが既にインストールされていた場合には WS-Management プロトコルを使用します。
ユーザー名と SSH キーを指定します。 このキーには、オプションのパスフレーズを含めることができます。
特権アカウントの資格情報を使用していない場合は、UNIX または Linux コンピューターでの特権の昇格によってアカウントが特権アカウントになるように、追加の資格情報を指定できます。
エージェントが検証されるまで、インストールは完了しません。 WS-Management プロトコルにより、エージェント検証が実行されます。その際には、エージェントのインストールに使用される特権アカウントとは別個に管理サーバー上で維持されている資格情報が使用されます。 次のいずれかの操作を行った場合は、エージェント検証用のユーザー名とパスワードを指定する必要があります。
キーを使用して特権付きアカウントを指定した。
キーを指定した sudo を使用することにより、昇格の対象として特権を付与されていないアカウントを指定した。
[検出の種類] が [UNIX/Linux エージェントがインストールされているコンピューターのみ]に設定された状態でウィザードを実行した。
別の方法として、エージェントとその証明書を、UNIX または Linux コンピューター上に手動でインストールした後、そのコンピューターを検出することも可能です。 これが、セキュリティ上最も安全なエージェントのインストール方法です。 詳細については、「Install Agent and Certificate on UNIX and Linux Computers Using the Command Line」 (コマンド ラインを使用して UNIX および Linux コンピューターにエージェントと証明書をインストールする) をご覧ください。
オペレーションの監視とエージェントのメンテナンスの実行のための資格情報
Operations Manager には、UNIX および Linux コンピューターの監視およびエージェントのメンテナンスを行うために使用できる、次の 3 つの定義済みプロファイルが含まれています。
UNIX/Linux アクション アカウント
これは、基本ヘルスとパフォーマンスの監視に必要な、特権のないアカウント プロファイルです。
UNIX/Linux 特権を持つアカウント
これは、ログ ファイルなどの保護されているリソースの監視に使用される特権付きのアカウント プロファイルです。
UNIX/Linux メンテナンス アカウント
このプロファイルは、エージェントの更新や削除など、特権付きのメンテナンス操作に使用します。
UNIX および Linux 管理パックにおいて、ルール、モニター、タスク、復元、および管理パックのその他の要素は、すべてこれらのプロファイルを使用するように構成されています。 そのため、特別な状況で指示されない限り、実行プロファイル ウィザードを使用して追加のプロファイルを定義する必要はありません。 プロファイルは、スコープ内で累積されません。 たとえば、UNIX/Linux メンテナンス アカウント プロファイルは、特権アカウントを使用して構成されているため、他のプロファイルの代わりに使用することはできません。
Operations Manager では、プロファイルは少なくとも 1 つの実行アカウントに関連付けられるまで機能しません。 UNIX または Linux コンピューターにアクセスするための資格情報は、実行アカウントの中で構成されます。 UNIX および Linux の監視のための事前定義済み実行アカウントは存在しないため、それらを作成する必要があります。
実行アカウントを作成するには、 [管理] ワークスペースで [UNIX/Linux アカウント] を選択すると使用可能になる UNIX/Linux 実行アカウント ウィザード を実行する必要があります。 このウィザードにより、選択した実行アカウントの種類を基に実行アカウントが作成されます。 実行アカウントには、次の 2 種類があります。
監視アカウント
このアカウントは、WS-Management を使用することにより通信を実行する操作において、進行中の正常性とパフォーマンス監視のために使用します。
エージェント メンテナンス アカウント
このアカウントは、SSH を使用することによって通信を実行する操作において、更新やアンインストールなどのエージェント メンテナンスのために使用します。
これらの実行アカウントの種類は、提供する資格情報ごとに異なるアクセス レベルで構成できます。 資格情報には、特権のないアカウント、特権付きアカウント、あるいは、特権付きアカウントに昇格される特権のないアカウントを使用できます。 次の表に、プロファイル、実行アカウント、およびアクセス レベル間のリレーションシップを示します。
| Profiles | 実行アカウントの種類 | 許可されるアクセス レベル |
|---|---|---|
| UNIX/Linux アクション アカウント | 監視アカウント | - 特権なし - 特権付き - 特権付きに昇格される特権なし |
| UNIX/Linux 特権を持つアカウント | 監視アカウント | - 特権付き - 特権付きに昇格される特権なし |
| UNIX/Linux メンテナンス アカウント | エージェント メンテナンス アカウント | - 特権付き - 特権付きに昇格される特権なし |
注意
プロファイルは 3 つありますが、実行アカウントの種類は 2 つだけです。
監視実行アカウントのタイプを指定した場合、WS-Management プロトコルで使用するユーザー名とパスワードを指定する必要があります。 エージェント メンテナンス実行アカウントのタイプを指定する場合、SSH プロトコルを使用することによって対象コンピューターに資格情報を提供するための方法を指定する必要があります。
ユーザー名とパスワードを指定する。
ユーザー名とキーを指定する。 オプションのパスフレーズを含めることができます。
実行アカウントを作成した後、UNIX および Linux プロファイルを編集し、それらを、作成した実行アカウントに関連付ける必要があります。 詳しい手順については、「How to Configure Run As Accounts and Profiles for UNIX and Linux Access」 (UNIX および Linux アクセス用に実行アカウントとプロファイルを構成する方法) をご覧ください。
重要なセキュリティに関する考慮事項
Operations Manager LINUX/UNIX エージェントでは、Linux または UNIX のコンピューターで標準の PAM (プラグ可能な認証モジュール) メカニズムを使用して、アクション プロファイルと特権プロファイルで指定されたユーザー名とパスワードを認証します。 パスワードが PAM で認証されたユーザー名は、監視データを収集するコマンド ラインやスクリプトの実行などの監視機能を実行できます。 このような監視関数は、常にそのユーザー名のコンテキストで実行されます (sudo 昇格がそのユーザー名に対して明示的に有効になっている場合を除く)。そのため、Operations Manager エージェントは、ユーザー名が Linux/UNIX システムにサインインする場合よりも多くの機能を提供しません。
ただし、Operations Manager エージェントによって使用される PAM 認証では、ユーザー名に対話型シェルが関連付けられている必要はありません。 Linux/UNIX アカウント管理プラクティスに、アカウントを擬似的に無効にする方法として対話型シェルの削除が含まれている場合、このような削除によって、アカウントが Operations Manager エージェントへの接続や監視機能の実行に使用されるのを妨げるわけではありません。 このような場合は、追加の PAM 構成を使用して、これらの擬似無効アカウントが Operations Manager エージェントに対して認証されないようにする必要があります。
エージェントをアップグレードおよびアンインストールするための資格情報
UNIX/Linux エージェントのアップグレード ウィザード と UNIX/Linux エージェントのアンインストール ウィザード により、ターゲット コンピューターに資格情報が提供されます。 まずウィザードで、アップグレードまたはアンインストールのターゲットとなるコンピューターの選択を求めるプロンプトを表示され、次に、ターゲット コンピューターに資格情報を提供する方法のオプションが示されます。
関連付けられている既存の実行アカウントを使用する
このオプションは、UNIX/Linux アクション アカウント プロファイルおよび UNIX/Linux メンテナンス アカウント プロファイルに関連付けられた資格情報を使用する場合に選択します。
ウィザードでは、選択したコンピューターの 1 つ以上に必要なプロファイルに実行アカウントが関連付けられていない場合に警告が表示されます。その場合は、関連付けられた実行アカウントを持たないコンピューターを削除するか、資格情報を指定する必要があります。
資格情報の指定
このオプションは、ユーザー名とパスワードまたはユーザー名とキーを使用することによって Secure Shell (SSH) の資格情報を指定する場合に選択します。 必要に応じて、パスフレーズをキーと共に指定できます。 資格情報が特権アカウント用でない場合は、UNIX su または sudo 昇格プログラムを使用して、ターゲット コンピューター上の特権アカウントに昇格させることができます。 su 昇格では、パスワードが必要です。 sudo 昇格を使用する場合は、特権のないアカウントを使用して、エージェント検証用のユーザー名とパスワードの入力を求められます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示