Planejando credenciais de segurança para acessar computadores UNIX e LinuxPlanning Security Credentials for Accessing Unix and Linux Computers

Importante

Esta versão do Operations Manager atingiu o fim do suporte, recomendamos que você faça upgrade para o Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Este tópico descreve as credenciais necessárias para instalar, manter, atualizar e desinstalar agentes em um computador UNIX ou Linux.This topic describes the credentials required to install, maintain, upgrade, and uninstall agents on a UNIX or Linux computer.

No Operations Manager, o servidor de gerenciamento usa dois protocolos para se comunicar com computadores UNIX ou Linux:In Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • SSH (Secure Shell) e SFTP (Protocolo de Transferência de Arquivos do Secure Shell)Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    • Usado para instalar, atualizar e remover agentes.Used for installing, upgrading, and removing agents.
  • Serviços Web para Gerenciamento (WS-Management)Web Services for Management (WS-Management)

    • Usado para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.Used for all monitoring operations and include the discovery of agents that were already installed.

O protocolo usado varia conforme a ação ou informação solicitada ao servidor de gerenciamento.The protocol that is used depends on the action or information that is requested on the management server. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

No Operations Manager, o administrador do sistema não precisa mais fornecer a senha raiz do computador UNIX ou Linux ao servidor de gerenciamento.In Operations Manager, the system administrator is no longer is required to provide the root password of the UNIX or Linux computer to the management server. Agora, por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux.Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento.The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Para operações privilegiadas de manutenção de agente que usem SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), oferece-se suporte a su, elevação sudo e suporte à autenticação de chave de SSH (com ou sem senha).For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), adiciona-se o suporte a elevação sudo (sem senha).For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

Credenciais para instalar agentesCredentials for installing agents

O Operations Manager usa o protocolo SSH para instalar um agente e Serviços Web para Gerenciamento (WS-Management) para descobrir os agentes instalados anteriormente.Operations Manager uses the Secure Shell (SSH) protocol to install an agent and Web Services for Management (WS-Management) to discover previously installed agents. A instalação requer uma conta com privilégios no computador UNIX ou Linux.Installation requires a privileged account on the UNIX or Linux computer. Há duas maneiras de fornecer credenciais para o computador de destino, conforme obtidas pelo Assistente para Gerenciamento de Computadores e Dispositivos:There are two ways to provide credentials to the targeted computer, as obtained by the Computer and Device Management Wizard:

  • Especifique um nome de usuário e uma senha.Specify a user name and password.

    O protocolo SSH utilizará a senha para instalar um agente ou o protocolo WS-Management, se o agente já tiver sido instalado com o uso de um certificado assinado.The SSH protocol uses the password to install an agent or the WS-Management protocol if the agent was already installed by using a signed certificate.

  • Especifique um nome de usuário e uma chave SSH.Specify a user name and an SSH key. A chave pode incluir uma senha opcional.The key can include an optional passphrase.

Se você não estiver usando as credenciais de uma conta com privilégios, poderá fornecer credenciais adicionais para que sua conta se torne uma conta com privilégios por meio da elevação de privilégio no computador UNIX ou Linux.If you are not using the credentials for a privileged account, you can provide additional credentials so that your account becomes a privileged account through elevation of privilege on the UNIX or Linux computer.

A instalação só será concluída após a verificação do agente.The installation is not completed until the agent is verified. A verificação do agente é executada pelo protocolo WS-Management que usa credenciais mantidas no servidor de gerenciamento, separadas da conta com privilégios usada para instalar o agente.Agent verification is performed by the WS-Management protocol that uses credentials maintained on the management server, separate from the privileged account that is used to install the agent. Será necessário fornecer um nome de usuário e uma senha para verificação do agente se você tiver feito o seguinte:You are required to provide a user name and password for agent verification if you have done one of the following:

  • Indicado uma conta com privilégios usando uma chave.Provided a privileged account by using a key.

  • Indicado uma conta sem privilégios a ser elevada com o uso do sudo com uma chave.Provided an unprivileged account to be elevated by using sudo with a key.

  • Execute o assistente com o Tipo de Descoberta definido como Descobrir apenas computadores com o agente UNIX/Linux instalado.Ran the wizard with the Discovery Type set to Discover only computers with the UNIX/Linux agent installed.

Se desejar, você poderá instalar o agente, incluindo seu certificado, de modo manual no computador UNIX ou Linux e depois descobrir esse computador.Alternatively, you can install the agent, including its certificate, manually on the UNIX or Linux computer and then discover that computer. Essa é a maneira mais segura de instalar agentes.This method is the most secure way to install agents. Para obter mais informações, consulte Instalar agente e certificado em computadores UNIX e Linux usando a linha de comando.For more information, see Install the Agent and Certificate on UNIX and Linux Computers Using the Command Line.

Credenciais para monitorar operações e executar a manutenção do agenteCredentials for monitoring operations and performing agent maintenance

O Operations Manager contém três perfis predefinidos a serem usados para monitorar computadores UNIX e Linux e executar a manutenção do agente:Operations Manager contains three predefined profiles to use in monitoring UNIX and Linux computers and performing agent maintenance:

  • Conta de ação UNIX/LinuxUNIX/Linux action account

    Esse é um perfil de conta sem privilégios, necessário para o monitoramento da integridade básica e do desempenho.This profile is an unprivileged account profile that is required for basic health and performance monitoring.

  • Conta com privilégios UNIX/LinuxUNIX/Linux privileged account

    Esse é um perfil de conta com privilégios, usado para monitorar os recursos protegidos, como arquivos de log.This profile is a privileged account profile used for monitoring protected resources such as log files.

  • Conta de manutenção UNIX/LinuxUNIX/Linux maintenance account

    Esse perfil é usado para operações de manutenção privilegiadas, como atualizar e remover agentes.This profile is used for privileged maintenance operations, such as updating and removing agents.

Nos pacotes de gerenciamento UNIX e Linux, todas as regras, monitores, tarefas, recuperações e outros elementos são configurados para usar esses perfis.In the UNIX and Linux management packs, all the rules, monitors, tasks, recoveries, and other management pack elements are configured to use these profiles. Consequentemente, não é necessário definir perfis adicionais usando o Assistente de Perfis Executar como, a menos que circunstâncias especiais exijam isso.Consequently, there is no requirement to define additional profiles by using the Run As Profiles Wizard unless special circumstances dictate it. Os perfis não são cumulativos no escopo.The profiles are not cumulative in the scope. Por exemplo, o perfil de conta de manutenção UNIX/Linux não pode ser usado no lugar de outros perfis simplesmente porque foi configurado com o uso de uma conta com privilégios.For example, the UNIX/Linux maintenance account profile cannot be used in place of the other profiles simply because it is configured by using a privileged account.

No Operations Manager, um perfil não pode funcionar até que seja associado a pelo menos uma conta Executar como.In Operations Manager, a profile cannot function until it is associated with at least one Run As account. As credenciais para acessar os computadores UNIX ou Linux são configuradas nas contas Executar como.The credentials for accessing the UNIX or Linux computers are configured in the Run As accounts. Como não há contas Executar como predefinidas para monitoramento do UNIX e do Linux, você deve criá-las.Because there are no predefined Run As accounts for UNIX and Linux monitoring, you must create them.

Para criar uma conta Executar como, você deve executar o Assistente para Criação de Conta Executar como do UNIX/Linux disponível quando a opção Contas UNIX/Linux está selecionada no workspace Administração.To create a Run As account, you must run the UNIX/Linux Run As Account Wizard that is available when you select UNIX/Linux Accounts in the Administration workspace. O assistente cria uma conta Executar como com base na escolha de um tipo de conta Executar como.The wizard creates a Run As account based on the choice of a Run As account type. Há dois tipos de conta Executar como:There are two Run As account types:

  • Conta de monitoramentoMonitoring account

    Use essa conta para o monitoramento contínuo da integridade e do desempenho em operações que se comunicam utilizando o WS-Management.Use this account for ongoing health and performance monitoring in operations that communicate by using WS-Management.

  • Conta de manutenção do agenteAgent maintenance account

    Use essa conta para manutenção do agente, como atualização e desinstalação em operações que se comunicam com o uso de SSH.Use this account for agent maintenance such as updating and uninstalling in operations that communicate by using SSH.

Esses tipos de conta Executar como podem ser configurados para diferentes níveis de acesso, de acordo com as credenciais fornecidas.These Run As account types can be configured for different levels of access according to the credentials that you supply. As credenciais podem ser contas com ou sem privilégios ou contas sem privilégios que serão elevadas para contas com privilégios.Credentials can be unprivileged or privileged accounts or unprivileged accounts that will be elevated to privileged accounts. A tabela a seguir mostra as relações entre os perfis, as contas Executar como e os níveis de acesso.The following table shows the relationships between profiles, Run As accounts, and levels of access.

PerfisProfiles Tipo de conta Executar comoRun As account type Níveis de acesso permitidosAllowable Access Levels
Conta de ação UNIX/LinuxUNIX/Linux action account Conta de monitoramentoMonitoring account - Sem privilégios- Unprivileged
- Com privilégios- Privileged
- Sem privilégios, elevada a com privilégios- Unprivileged, elevated to privileged
Conta com privilégios UNIX/LinuxUNIX/Linux privileged account Conta de monitoramentoMonitoring account - Com privilégios- Privileged
- Sem privilégios, elevada a com privilégios- Unprivileged, elevated to privileged
Conta de manutenção UNIX/LinuxUNIX/Linux maintenance account Conta de manutenção do agenteAgent maintenance account - Com privilégios- Privileged
- Sem privilégios, elevada a com privilégios- Unprivileged, elevated to privileged

Observe que há três perfis, mas apenas dois tipos de conta Executar como.Note that there are three profiles, but only two Run As Account types.

Ao especificar um Tipo de Conta Executar como de Monitoramento, você deve especificar um nome de usuário e uma senha a serem utilizados pelo protocolo WS-Management.When you specify a Monitoring Run As Account Type, you must specify a user name and password for use by the WS-Management protocol. Quando especifica um Tipo de Conta Executar como de Manutenção do Agente, você deve especificar o modo como as credenciais são fornecidas ao computador de destino usando o protocolo SSH:When you specify an Agent Maintenance Run As Account Type, you must specify how the credentials are supplied to the targeted computer by using the SSH protocol:

  • Especifique um nome de usuário e uma senha.Specify a user name and a password.

  • Especifique um nome de usuário e uma chave.Specify a user name and a key. Você pode incluir uma senha opcional.You can include an optional passphrase.

Após a criação de contas Executar como, você deve editar os perfis UNIX e Linux para associá-los às contas desse tipo criadas.After you created the Run As accounts, you must edit the UNIX and Linux profiles to associate them with the Run As accounts you created. Para obter instruções detalhadas, consulte Como configurar contas e perfis Executar como para acesso no UNIX e LinuxFor detailed instructions, see How to Configure Run As Accounts and Profiles for UNIX and Linux Access

Considerações importantes sobre segurançaImportant security considerations

O agente Linux/UNIX do Operations Manager usa o mecanismo de PAM (Módulo de Autenticação Conectável) padrão no computador Linux ou UNIX para autenticar o nome de usuário e senha especificados no Perfil de Ação e no Perfil de Privilégio.The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. Todos os nomes de usuário com uma senha que o PAM autenticar poderão executar funções de monitoramentos, incluindo a execução de linhas de comando e scripts que coletam dados de monitoramento.Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. Essas funções de monitoramentos sempre são executadas no contexto desse nome de usuário (a menos que a elevação sudo esteja habilitada explicitamente para esse nome de usuário), portanto, o agente do Operations Manager não fornece nenhuma funcionalidade a mais do que se o nome de usuário fizesse logon no sistema Linux/UNIX.Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

No entanto, a autenticação do PAM usada pelo agente do Operations Manager não exige que o nome de usuário tenha um shell interativo associado.However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Se suas práticas de gerenciamento de conta do UNIX/Linux incluem a remoção do shell interativo como uma maneira de pseudodesabilitar uma conta, essa remoção não impede que a conta seja usada para se conectar ao agente do Operations Manager e executar funções de monitoramento.If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. Nesses casos, você deve usar a configuração adicional do PAM para garantir que essas contas pseudodesabilitadas não sejam autenticadas para o agente do Operations Manager.In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

Credenciais para atualização e desinstalação de agentesCredentials for upgrading and uninstalling agents

O Assistente para Atualização do Agente do UNIX/Linux e o Assistente para Desinstalação do Agente do UNIX/Linux fornecem credenciais para os computadores de destino.The UNIX/Linux Agent Upgrade Wizard and the UNIX/Linux Agent Uninstall Wizard provide credentials to their targeted computers. Primeiro, os assistentes solicitam que você selecione os computadores de destino para atualização ou desinstalação, em seguida, é necessário informar as opções relacionadas ao modo como as credenciais devem ser fornecidas ao computador de destino:The wizards first prompt you to select the targeted computers to upgrade or uninstall, followed by options on how to provide the credentials to the targeted computer:

  • Usar contas Executar como associadas existentesUse existing associated Run As Accounts

    Selecione essa opção para usar as credenciais associadas ao perfil de conta de ação UNIX/Linux e ao perfil de conta de manutenção UNIX/Linux.Select this option to use the credentials associated with the UNIX/Linux action account profile and the UNIX/Linux maintenance account profile.

    O assistente alertará se o seu ou mais computadores selecionados não tiverem uma conta Executar como associada nos perfis necessários; nesse caso, você deverá voltar e limpar os computadores que não tiverem uma conta Executar como associada ou especificar credenciais.The wizard alerts you if one or more of the selected computers do not have an associated Run As account in the required profiles, in which case you must go back and clear those computers that do not have an associated Run As account, or specify credentials.

  • Especificar credenciaisSpecify credentials

    Selecione essa opção para especificar as credenciais de SSH utilizando um nome de usuário e uma senha ou um nome de usuário e uma chave.Select this option to specify Secure Shell (SSH) credentials by using a user name and password or a user name and a key. Opcionalmente, você pode fornecer uma senha com uma chave.You can optionally provide a passphrase with a key. Se as credenciais não pertencerem a uma conta com privilégios, elas poderão ser elevadas a uma conta com privilégios no computador de destino com o uso dos programas de elevação UNIX su ou sudo.If the credentials are not for a privileged account, you can have them elevated to a privileged account on the target computered by using the UNIX su or sudo elevation programs. A elevação 'su' requer uma senha.The 'su' elevation requires a password. Se usar a elevação sudo, você receberá uma solicitação para informar um nome de usuário e uma senha para verificação de agente usando uma conta sem privilégios.If you use sudo elevation, you are prompted for a user name and password for agent verification by using an unprivileged account.