Планирование учетных данных для доступа к компьютерам с ОС Unix и Linux
Важно!
Поддержка этой версии Operations Manager завершена. Мы рекомендуем выполнить обновление до Operations Manager 2022.
В этой статье описываются учетные данные, необходимые для установки, обслуживания, обновления и удаления агентов на компьютере UNIX или Linux.
В Operations Manager сервер управления использует два протокола для связи с компьютером под управлением UNIX или Linux:
Secure Shell (SSH) и протокол SFTP
- Используется для установки, обновления и удаления агентов.
Веб-службы для управления (WS-Management)
- Используется для всех операций мониторинга и обнаружения уже установленных агентов.
Используемый протокол зависит от действия или информации, запрошенной на сервере управления. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.
В Operations Manager системным администраторам больше не требуется указывать пароль учетной записи root компьютера под управлением UNIX или Linux на сервере управления. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).
Учетные данные для установки агентов
Operations Manager использует протокол SSH для установки агента и веб-служб для управления (WS-Management) для обнаружения ранее установленных агентов. Для установки требуется привилегированная учетная запись на компьютере с UNIX или Linux. Существует два способа указания учетных данных для целевого компьютера, полученных мастером управления компьютерами и устройствами:
Указание имени пользователя и пароля.
Протокол SSH использует пароль для установки агента или протокола WS-Management, если агент уже был установлен с использованием подписанного сертификата.
Указание имени пользователя и ключа SSH. При необходимости ключ может содержать парольную фразу.
Если вы не используете учетные данные для привилегированной учетной записи, вы можете указать дополнительные учетные данные, чтобы ваша учетная запись стала привилегированной учетной записью путем повышения привилегий на компьютере UNIX или Linux.
Установка не будет завершена до тех пор, пока агент не будет проверен. Проверка агента выполняется протоколом WS-Management, который использует учетные данные, хранимые на сервере управления, отдельно от привилегированной учетной записи, используемой для установки агента. Если вы выполнили одно из следующих действий, необходимо указать имя пользователя и пароль для проверки агента.
указали привилегированную учетную запись с помощью ключа;
указали непривилегированную учетную запись для повышения полномочий с использованием sudo с помощью ключа;
запустили мастер, где в поле Тип обнаружения выбрано значение Обнаруживать только компьютеры с установленным агентом UNIX или Linux.
Или же вы можете установить агент, в том числе его сертификат, вручную на компьютере с UNIX ил Linux, а затем выполнить обнаружение компьютера. Это наиболее безопасный метод установки агентов. Дополнительные сведения см. в статье Установка агентов и сертификатов на компьютеры под управлением ОС UNIX и Linux с помощью командной строки.
Учетные данные для операций мониторинга и обслуживания агентов
Operations Manager содержит три предварительно заданных профиля для использования при мониторинге компьютеров UNIX и Linux, а также обслуживания агентов.
Учетная запись действия UNIX или Linux
Это профиль непривилегированной учетной записи, необходимый для базового мониторинга работоспособности и производительности.
Привилегированная учетная запись UNIX или Linux
Это профиль привилегированной учетной записи, используемый для мониторинга защищенных ресурсов, таких как файлы журнала.
Учетная запись обслуживания UNIX или Linux
Этот профиль используется для привилегированных операций обслуживания, таких как обновление и удаление агентов.
В пакетах управления UNIX и Linux все правила, мониторы, задачи, операции восстановления и другие элементы пакета управления настраиваются для использования этих профилей. Таким образом, не требуется определять дополнительные профили с помощью мастера профилей запуска от имени, если это не требуется в особых обстоятельствах. Профили не являются накопительными в область. Например, профиль учетной записи обслуживания UNIX/Linux нельзя использовать вместо других профилей, так как он настроен с помощью привилегированной учетной записи.
В Operations Manager профиль не может функционировать, пока он не будет связан по крайней мере с одной учетной записью запуска от имени. Учетные данные для доступа к компьютерам под управлением ОС UNIX или Linux настраиваются в учетных записях запуска от имени. Поскольку предварительно определенные учетные записи запуска от имени для наблюдения за компьютерами под управлением ОС UNIX и Linux отсутствуют, их необходимо создать.
Чтобы создать учетную запись запуска от имени, необходимо запустить мастер учетной записи запуска от имени UNIX или Linux , доступный при выборе параметра Учетные записи UNIX или Linux в рабочей области Администрирование . Мастер создает учетную запись запуска от имени на основе выбранного типа учетной записи. Существует два типа учетных записей запуска от имени:
Учетная запись мониторинга
Используйте эту учетную запись для мониторинга работоспособности и производительности операций, взаимодействующих с помощью WS-Management.
Учетная запись обслуживания агента
Используйте эту учетную запись для обслуживания агентов, например для обновления и удаления, в операциях, взаимодействующих с помощью SSH.
Эти типы учетных записей запуска от имени можно настроить для различных уровней доступа в соответствии с указанными учетными данными. Учетные данные могут представлять привилегированные учетные записи или непривилегированные учетные записи, которые будут повышено до привилегированных. В приведенной ниже таблице показаны отношения между профилями, учетными записями запуска от имени и уровнями доступа.
| Профили | Тип учетной записи запуска от имени | Доступные уровни доступа |
|---|---|---|
| Учетная запись действия UNIX или Linux | Учетная запись мониторинга | — Непривилегированная — Привилегированная — Непривилегированная, повышенная до привилегированной |
| Привилегированная учетная запись UNIX или Linux | Учетная запись мониторинга | — Привилегированная — Непривилегированная, повышенная до привилегированной |
| Учетная запись обслуживания UNIX или Linux | Учетная запись обслуживания агента | — Привилегированная — Непривилегированная, повышенная до привилегированной |
Примечание
Существует три профиля, но только два типа учетных записей запуска от имени.
При указании типа учетной записи запуска от имени для мониторинга необходимо ввести имя пользователя и пароль, которые будут применяться протоколом WS-Management. При указании типа учетной записи запуска от имени для обслуживания агента необходимо указать, как учетные данные передаются на целевой компьютер по протоколу SSH:
Указание имени пользователя и пароля.
Указание имени пользователя и ключа. При необходимости ключ может содержать парольную фразу.
После создания учетных записей запуска от имени необходимо изменить профили UNIX и Linux, чтобы связать их с созданными учетными записями запуска. Для получения подробных инструкций см. статью Настройка учетных записей и профилей запуска от имени для UNIX и Linux.
Важные вопросы безопасности
Агент Operations Manager Linux/UNIX использует стандартный механизм PAM (Pluggable Authentication Module) на компьютере с ОС Linux или UNIX для проверки подлинности имени пользователя и пароля, указанных в профилях действий и прав. Любые имя пользователя с паролем, подлинность которых проверяет PAM, позволяют выполнять функции мониторинга, включая запуск команд и скриптов командной строки, которые собирают данные мониторинга. Такие функции мониторинга всегда выполняются в контексте этого имени пользователя (если только для этого имени пользователя не включено повышение прав sudo), поэтому агент Operations Manager предоставляет не больше возможностей, чем если бы имя пользователя выполнялось для входа в систему Linux/UNIX.
Однако для проверки подлинности PAM, используемой агентом Operations Manager, не требуется, чтобы с именем пользователя была связана интерактивная оболочка. Если ваши методы управления учетными записями Linux и UNIX включают удаление интерактивной оболочки для псевдоотключения учетной записи, такое удаление не помешает использовать учетную запись для подключения к агенту Operations Manager и выполнения функций мониторинга. В таких случаях следует использовать дополнительную конфигурацию PAM, чтобы убедиться, что эти псевдо-отключенные учетные записи не проходят проверку подлинности в агенте Operations Manager.
Учетные данные для обновления и удаления агентов
Мастер обновления агента UNIX и Linux и мастер удаления агента UNIX и Linux предоставляют учетные данные целевым компьютерам. Сначала мастер отображает запрос на выбор целевых компьютеров для обновления или удаления, после чего отображаются параметры указания учетных данных для целевого компьютера:
Использовать существующие связанные учетные записи запуска от имени
Выберите этот параметр, чтобы использовать учетные данные, связанные с профилем учетной записи действия UNIX и Linux и профилем учетной записи обслуживания UNIX и Linux.
Мастер оповещает вас, если на одном или нескольких выбранных компьютерах нет связанной учетной записи запуска от имени в необходимых профилях. В этом случае необходимо вернуться и очистить компьютеры, у которых нет связанной учетной записи запуска от имени, или указать учетные данные.
Указание учетных данных
Выберите этот параметр, чтобы указать учетные данные SSH (имя пользователя и пароль или имя пользователя и ключ). При необходимости вы можете указать парольную фразу для ключа. Если учетные данные не предназначены для привилегированной учетной записи, их можно повысить до привилегированной учетной записи на целевом компьютере с помощью программ повышения прав в UNIX su или sudo. Для использования программы su требуется пароль. Если вы используете повышение прав sudo, вам будет предложено ввести имя пользователя и пароль для проверки агента с помощью непривилегированных учетных записей.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по