Планирование учетных данных для доступа к компьютерам с ОС Unix и LinuxPlanning Security Credentials for Accessing Unix and Linux Computers

Важно!

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

В этом разделе описываются учетные данные, необходимые для установки, обслуживания, обновления и удаления агентов на компьютере UNIX или Linux.This topic describes the credentials required to install, maintain, upgrade, and uninstall agents on a UNIX or Linux computer.

В Operations Manager сервер управления использует два протокола для связи с компьютером под управлением UNIX или Linux:In Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) и протокол SFTPSecure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    • Используется для установки, обновления и удаления агентов.Used for installing, upgrading, and removing agents.
  • Веб-службы для управления (WS-Management)Web Services for Management (WS-Management)

    • Используется для всех операций мониторинга и обнаружения уже установленных агентов.Used for all monitoring operations and include the discovery of agents that were already installed.

Используемый протокол зависит от действия или информации, запрошенной на сервере управления.The protocol that is used depends on the action or information that is requested on the management server. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

В Operations Manager системным администраторам больше не требуется указывать пароль учетной записи root компьютера под управлением UNIX или Linux на сервере управления.In Operations Manager, the system administrator is no longer is required to provide the root password of the UNIX or Linux computer to the management server. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux.Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления.The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее).For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

Учетные данные для установки агентовCredentials for installing agents

Operations Manager использует протокол SSH для установки агента и веб-служб для управления (WS-Management) для обнаружения ранее установленных агентов.Operations Manager uses the Secure Shell (SSH) protocol to install an agent and Web Services for Management (WS-Management) to discover previously installed agents. Для установки требуется привилегированная учетная запись на компьютере с UNIX или Linux.Installation requires a privileged account on the UNIX or Linux computer. Существует два способа указания учетных данных для целевого компьютера, полученных мастером управления компьютерами и устройствами:There are two ways to provide credentials to the targeted computer, as obtained by the Computer and Device Management Wizard:

  • Указание имени пользователя и пароля.Specify a user name and password.

    Протокол SSH использует пароль для установки агента или протокола WS-Management, если агент уже был установлен с использованием подписанного сертификата.The SSH protocol uses the password to install an agent or the WS-Management protocol if the agent was already installed by using a signed certificate.

  • Указание имени пользователя и ключа SSH.Specify a user name and an SSH key. При необходимости ключ может содержать парольную фразу.The key can include an optional passphrase.

Если вы не используете учетные данные привилегированной учетной записи, вы можете указать дополнительные учетные данные, чтобы сделать учетную запись привилегированной за счет повышения полномочий на компьютере с UNIX или Linux.If you are not using the credentials for a privileged account, you can provide additional credentials so that your account becomes a privileged account through elevation of privilege on the UNIX or Linux computer.

Установка не будет завершена до проверки агента.The installation is not completed until the agent is verified. Проверка агента выполняется протоколом WS-Management, который использует учетные данные, хранимые на сервере управления, отдельно от привилегированной учетной записи, используемой для установки агента.Agent verification is performed by the WS-Management protocol that uses credentials maintained on the management server, separate from the privileged account that is used to install the agent. Вы должны ввести имя пользователя и пароль для проверки агента, если вы выполнили одно из следующих действий:You are required to provide a user name and password for agent verification if you have done one of the following:

  • указали привилегированную учетную запись с помощью ключа;Provided a privileged account by using a key.

  • указали непривилегированную учетную запись для повышения полномочий с использованием sudo с помощью ключа;Provided an unprivileged account to be elevated by using sudo with a key.

  • запустили мастер, где в поле Тип обнаружения выбрано значение Обнаруживать только компьютеры с установленным агентом UNIX или Linux.Ran the wizard with the Discovery Type set to Discover only computers with the UNIX/Linux agent installed.

Или же вы можете установить агент, в том числе его сертификат, вручную на компьютере с UNIX ил Linux, а затем выполнить обнаружение компьютера.Alternatively, you can install the agent, including its certificate, manually on the UNIX or Linux computer and then discover that computer. Это наиболее безопасный метод установки агентов.This method is the most secure way to install agents. Дополнительные сведения см. в статье Установка агентов и сертификатов на компьютеры под управлением ОС UNIX и Linux с помощью командной строки.For more information, see Install the Agent and Certificate on UNIX and Linux Computers Using the Command Line.

Учетные данные для операций мониторинга и обслуживания агентовCredentials for monitoring operations and performing agent maintenance

Operations Manager содержит три предварительно заданных профиля для использования при мониторинге компьютеров UNIX и Linux, а также обслуживания агентов.Operations Manager contains three predefined profiles to use in monitoring UNIX and Linux computers and performing agent maintenance:

  • Учетная запись действия UNIX или LinuxUNIX/Linux action account

    Это профиль непривилегированной учетной записи, необходимый для базового мониторинга работоспособности и производительности.This profile is an unprivileged account profile that is required for basic health and performance monitoring.

  • Привилегированная учетная запись UNIX или LinuxUNIX/Linux privileged account

    Это профиль привилегированной учетной записи, используемый для мониторинга защищенных ресурсов, таких как файлы журнала.This profile is a privileged account profile used for monitoring protected resources such as log files.

  • Учетная запись обслуживания UNIX или LinuxUNIX/Linux maintenance account

    Этот профиль используется для привилегированных операций обслуживания, таких как обновление и удаление агентов.This profile is used for privileged maintenance operations, such as updating and removing agents.

В пакетах управления UNIX и Linux все правила, мониторы, задачи, операции восстановления и другие элементы пакета управления настраиваются для использования этих профилей.In the UNIX and Linux management packs, all the rules, monitors, tasks, recoveries, and other management pack elements are configured to use these profiles. Следовательно, нет необходимости в определении дополнительных профилей с помощью мастера профилей запуска от имени, если этого не требуют особые обстоятельства.Consequently, there is no requirement to define additional profiles by using the Run As Profiles Wizard unless special circumstances dictate it. Области действия профилей не суммируются.The profiles are not cumulative in the scope. Например, профиль учетной записи обслуживания UNIX или Linux нельзя использовать вместо других профилей, простому потому что он настроен с использованием привилегированной учетной записи.For example, the UNIX/Linux maintenance account profile cannot be used in place of the other profiles simply because it is configured by using a privileged account.

В Operations Manager профиль не может использоваться, пока он не будет связан по крайней мере с одной учетной записью запуска от имени.In Operations Manager, a profile cannot function until it is associated with at least one Run As account. Учетные данные для доступа к компьютерам под управлением ОС UNIX или Linux настраиваются в учетных записях запуска от имени.The credentials for accessing the UNIX or Linux computers are configured in the Run As accounts. Поскольку предварительно определенные учетные записи запуска от имени для наблюдения за компьютерами под управлением ОС UNIX и Linux отсутствуют, их необходимо создать.Because there are no predefined Run As accounts for UNIX and Linux monitoring, you must create them.

Чтобы создать учетную запись запуска от имени, необходимо запустить мастер учетной записи запуска от имени UNIX или Linux , доступный при выборе параметра Учетные записи UNIX или Linux в рабочей области Администрирование .To create a Run As account, you must run the UNIX/Linux Run As Account Wizard that is available when you select UNIX/Linux Accounts in the Administration workspace. Мастер создает учетную запись запуска от имени на основе выбранного типа учетной записи.The wizard creates a Run As account based on the choice of a Run As account type. Существует два типа учетных записей запуска от имени:There are two Run As account types:

  • Учетная запись мониторингаMonitoring account

    Используйте эту учетную запись для мониторинга работоспособности и производительности операций, взаимодействующих с помощью WS-Management.Use this account for ongoing health and performance monitoring in operations that communicate by using WS-Management.

  • Учетная запись обслуживания агентаAgent maintenance account

    Используйте эту учетную запись для обслуживания агентов, например для обновления и удаления, в операциях, взаимодействующих с помощью SSH.Use this account for agent maintenance such as updating and uninstalling in operations that communicate by using SSH.

Эти типы учетных записей запуска от имени можно настроить для различных уровней доступа в соответствии с указанными учетными данными.These Run As account types can be configured for different levels of access according to the credentials that you supply. Учетные данные могут представлять привилегированные учетные записи или непривилегированные учетные записи, которые будут повышено до привилегированных.Credentials can be unprivileged or privileged accounts or unprivileged accounts that will be elevated to privileged accounts. В приведенной ниже таблице показаны отношения между профилями, учетными записями запуска от имени и уровнями доступа.The following table shows the relationships between profiles, Run As accounts, and levels of access.

ПрофилиProfiles Тип учетной записи запуска от имениRun As account type Доступные уровни доступаAllowable Access Levels
Учетная запись действия UNIX или LinuxUNIX/Linux action account Учетная запись мониторингаMonitoring account — Непривилегированная- Unprivileged
— Привилегированная- Privileged
— Непривилегированная, повышенная до привилегированной- Unprivileged, elevated to privileged
Привилегированная учетная запись UNIX или LinuxUNIX/Linux privileged account Учетная запись мониторингаMonitoring account — Привилегированная- Privileged
— Непривилегированная, повышенная до привилегированной- Unprivileged, elevated to privileged
Учетная запись обслуживания UNIX или LinuxUNIX/Linux maintenance account Учетная запись обслуживания агентаAgent maintenance account — Привилегированная- Privileged
— Непривилегированная, повышенная до привилегированной- Unprivileged, elevated to privileged

Учтите, что существует три профиля, но всего два типа учетных записей запуска от имени.Note that there are three profiles, but only two Run As Account types.

При указании типа учетной записи запуска от имени для мониторинга необходимо ввести имя пользователя и пароль, которые будут применяться протоколом WS-Management.When you specify a Monitoring Run As Account Type, you must specify a user name and password for use by the WS-Management protocol. При указании типа учетной записи запуска от имени для обслуживания агента необходимо указать, как учетные данные передаются на целевой компьютер по протоколу SSH:When you specify an Agent Maintenance Run As Account Type, you must specify how the credentials are supplied to the targeted computer by using the SSH protocol:

  • Указание имени пользователя и пароля.Specify a user name and a password.

  • Указание имени пользователя и ключа.Specify a user name and a key. При необходимости ключ может содержать парольную фразу.You can include an optional passphrase.

После создания учетных записей запуска от имени необходимо изменить профили UNIX и Linux, чтобы связать их с созданными учетными записями запуска.After you created the Run As accounts, you must edit the UNIX and Linux profiles to associate them with the Run As accounts you created. Для получения подробных инструкций см. статью Настройка учетных записей и профилей запуска от имени для UNIX и Linux.For detailed instructions, see How to Configure Run As Accounts and Profiles for UNIX and Linux Access

Важные вопросы безопасностиImportant security considerations

Агент Operations Manager Linux/UNIX использует стандартный механизм PAM (Pluggable Authentication Module) на компьютере с ОС Linux или UNIX для проверки подлинности имени пользователя и пароля, указанных в профилях действий и прав.The Operations Manager Linux/UNIX agent uses the standard PAM (Pluggable Authentication Module) mechanism on the Linux or UNIX computer to authenticate the user name and password specified in the Action Profile and Privilege Profile. Любые имя пользователя с паролем, подлинность которых проверяет PAM, позволяют выполнять функции мониторинга, включая запуск команд и скриптов командной строки, которые собирают данные мониторинга.Any user name with a password that PAM authenticates can perform monitoring functions, including running command lines and scripts that collect monitoring data. Такие функции всегда выполняются в контексте этого имени пользователя (если повышение прав sudo явно не включено для этого имени пользователя), и агент Operations Manager не предоставляет больше возможностей, чем при входе с именем пользователя в систему Linux или UNIX.Such monitoring functions are always performed in the context of that user name (unless sudo elevation is explicitly enabled for that user name), so the Operations Manager agent provides no more capability than if the user name were to login to the Linux/UNIX system.

Но проверка подлинности PAM, которую использует агент Operations Manager, не требует интерактивной оболочки, связанной с именем пользователя.However, the PAM authentication used by the Operations Manager agent does not require that the user name have an interactive shell associated with it. Если методики управления учетной записью Linux или UNIX включают удаление интерактивной оболочки в качестве ложного отключения учетной записи, удаление не будет препятствовать использованию учетной записи для подключения к агенту Operations Manager и выполнению мониторинга.If your Linux/UNIX account management practices include removing the interactive shell as a way to pseudo-disable an account, such removal does not prevent the account from being used to connect to the Operations Manager agent and perform monitoring functions. В этих случаях следует использовать дополнительную конфигурацию PAM, чтобы отключить проверку подлинности ложно отключенных учетных записей в агенте Operations Manager.In these cases, you should use additional PAM configuration to ensure that these pseudo-disabled accounts do not authenticate to the Operations Manager agent.

Учетные данные для обновления и удаления агентовCredentials for upgrading and uninstalling agents

Мастер обновления агента UNIX и Linux и мастер удаления агента UNIX и Linux предоставляют учетные данные целевым компьютерам.The UNIX/Linux Agent Upgrade Wizard and the UNIX/Linux Agent Uninstall Wizard provide credentials to their targeted computers. Сначала мастер отображает запрос на выбор целевых компьютеров для обновления или удаления, после чего отображаются параметры указания учетных данных для целевого компьютера:The wizards first prompt you to select the targeted computers to upgrade or uninstall, followed by options on how to provide the credentials to the targeted computer:

  • Использовать существующие связанные учетные записи запуска от имениUse existing associated Run As Accounts

    Выберите этот параметр, чтобы использовать учетные данные, связанные с профилем учетной записи действия UNIX и Linux и профилем учетной записи обслуживания UNIX и Linux.Select this option to use the credentials associated with the UNIX/Linux action account profile and the UNIX/Linux maintenance account profile.

    Мастер уведомит вас, если на одном или нескольких компьютерах нет связанной учетной записи запуска от имени в необходимых профилях. Тогда вы должны вернуться и очистить компьютеры без связанной учетной записи запуска от имени или указать учетные данные.The wizard alerts you if one or more of the selected computers do not have an associated Run As account in the required profiles, in which case you must go back and clear those computers that do not have an associated Run As account, or specify credentials.

  • Указать учетные данныеSpecify credentials

    Выберите этот параметр, чтобы указать учетные данные SSH (имя пользователя и пароль или имя пользователя и ключ).Select this option to specify Secure Shell (SSH) credentials by using a user name and password or a user name and a key. При необходимости вы можете указать парольную фразу для ключа.You can optionally provide a passphrase with a key. Если учетные данные предназначены не для привилегированной учетной записи, их можно повысить до привилегированной учетной записи на целевом компьютере, используя программы su или sudo UNIX.If the credentials are not for a privileged account, you can have them elevated to a privileged account on the target computered by using the UNIX su or sudo elevation programs. Для использования программы su требуется пароль.The 'su' elevation requires a password. Если вы используете sudo, необходимо ввести имя пользователя и пароль для проверки агента с помощью непривилегированной учетной записи.If you use sudo elevation, you are prompted for a user name and password for agent verification by using an unprivileged account.