Funktioner som krävs för UNIX- och Linux-konton
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten, vi rekommenderar att du uppgraderar till Operations Manager 2022.
Åtkomst till UNIX- och Linux-datorer i System Center – Operations Manager använder tre Kör som-profiler. En profil är associerad med ett konto utan privilegier medan de två andra kontona är associerade med ett privilegierat konto eller ett konto utan privilegier som fått utökade privilegier med hjälp av sudo eller su.
I det enklaste fallet har ett privilegierat konto rättigheter som är likvärdiga med ett rotkonto för UNIX och Linux, medan ett konto utan privilegier har rättigheter som är likvärdiga med ett normalt användarkonto. I vissa datorversioner av UNIX och Linux, samt om du använder sudo för utökade privilegier, gäller dock att du kan tilldela fler specifika rättigheter till kontona.
I följande tabell visas de specifika funktioner som krävs av konton som har tilldelats var och en av de tre Kör som-profilerna. Dessa beskrivningar är allmänna eftersom information som exakta filsystemsökvägar kan variera mellan olika UNIX- och Linux-datorversioner.
Anteckning
I tabellen nedan visas vilka rättigheter som krävs för kontona som ska kommunicera med Operations Manager-agenten på en hanterad UNIX- eller Linux-dator. Själva agenten måste dock alltid köras under rotkontot på UNIX- eller Linux-datorn.
| UNIX- och Linux-profil | Kapacitet som krävs |
|---|---|
| Åtgärdsprofil | - Logga in UNIX- eller Linux-datorn i nätverket, autentiserad av PAM-modulerna (Pluggable Authentication Modules). Måste ha möjlighet att köra ett bakgrundsgränssnitt (inte anslutet till en TTY). Interaktiva inloggningar krävs inte. - Läsa loggfiler som angetts som ej privilegierade när en anpassad loggfilsövervakare skapades, samt kapacitet att köra /opt/microsoft/scx/bin/scxlogfilereader. – Om du vill köra alla kommandogränssnittskommandon som har angetts som oprivilegierade när en kommandoradsövervakare, regel eller uppgift skapades. - Köra /usr/bin/vmstat för uppgiften Run VMStat. |
| Privilegierad profil | - Logga in UNIX- eller Linux-datorn i nätverket, autentiserad av PAM. Måste ha möjlighet att köra ett bakgrundsgränssnitt (inte anslutet till en TTY). Interaktiva inloggningar krävs inte. När det gäller ett konto som har utökats med hjälp sudoav gäller det här kravet för kontot innan det höjs. – Om du vill köra alla kommandoradsgränssnitt som har angetts som privilegierade fullständigt när en kommandoradsövervakare, regel eller identifiering skapades. - Ha följande kapacitet för övervakning av loggfiler:- Läsa loggfilen som ska övervakas. Som standard är loggfiler som Syslog inställda på att vara skrivbara endast av roten, och konton som är tilldelade till den här profilen kan läsa dessa filer. I stället för att ge konton fullständiga rotprivilegier kan du ändra loggfilens behörigheter för att bevilja läsbehörighet till en säker grupp och konton som är medlemmar i den gruppen. Om loggfilen roteras regelbundet måste du se till att rotationsproceduren behåller gruppbehörigheterna. - Läsa alla loggfiler som har angetts som privilegierade när en anpassad loggfilsövervakare skapades. - Köra /opt/microsoft/sc/bin/scxlogfilereader. - Köra uppgifter, återställningar och diagnostik. Sådana krav måste bara vara uppfyllda om Operations Manager-operatören uttryckligen bestämmer sig för att köra dem. - I många återställningsprocesser ingår det att en demonprocess stoppas och startas. Dessa återställningar kräver möjligheten att köra tjänstkontrollgränssnitten, till exempel /et/init.d för Linux, och svcadm för Att Solaris ska kunna stoppa och starta om det. Sådana tjänstkontrollgränssnitt kräver vanligen kapacitet att köra kommandot kill mot demonprocessen och för att köra andra grundläggande UNIX- och Linux-kommandon. - Kraven på övriga uppgifter, återställningar och diagnostik beror på vad den speciella åtgärden innehåller. |
| Agentunderhållsprofil, och för konton som används för att installera agenter för inledande övervakning. | - Logga in UNIX- eller Linux-datorn i nätverket med hjälp av SSH (Secure Shell), autentiserad av PAM. Måste ha möjlighet att köra ett bakgrundsgränssnitt (inte anslutet till en TTY). Interaktiva inloggningar krävs inte. Om det gäller ett konto som fått utökade privilegier med sudo, gäller det här kravet för kontot innan det utökas. - Köra installationsprogrammet för systempaketet, till exempel rpm på Linux, för att installera Operations Manager-agenten. – Läsa och skriva följande kataloger och skapa dem och eventuella underkataloger under dem om de inte finns:- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi – Så här kör du kommandot kill mot operations manager-agentprocesserna som körs. - Starta Operations Manager-agenten. - Lägga till och ta bort en systemdemon, däribland Operations Manager-agenten, genom att använda plattformsverktyg. - Köra grundläggande UNIX- och Linux-kommandon, till exempel cat, ls, pwd, cp, mv, rm, gzip (eller motsvarande). |
Viktiga säkerhetsöverväganden
Operations Manager Linux/UNIX-agenten använder standardmekanismen PAM (Pluggable Authentication Module) på Linux- eller UNIX-datorn för att autentisera användarnamnet och lösenordet som anges i åtgärdsprofilen och behörighetsprofilen. Ett användarnamn med ett lösenord som PAM autentiserar kan utföra övervakningsfunktioner, däribland köra kommandorader och skript som samlar in övervakningsdata. Sådana övervakningsfunktioner utförs alltid i kontexten för det användarnamnet, såvida inte sudo-höjning uttryckligen är aktiverat för det användarnamnet. Operations Manager-agenten ger därför inte mer kapacitet än om användarnamnet skulle logga in på Linux/UNIX-systemet.
Pam-autentiseringen som används av Operations Manager-agenten kräver dock inte att användarnamnet har ett interaktivt gränssnitt associerat med det. Om dina Linux/UNIX-kontohanteringsrutiner omfattar borttagning av det interaktiva gränssnittet som ett sätt att pseudoinaktivera ett konto, förhindrar detta inte att kontot används för att ansluta till Operations Manager-agenten och utföra övervakningsfunktioner. I dessa fall använder du ytterligare PAM-konfiguration för att säkerställa att dessa pseudoaktiverade konton inte autentiseras till Operations Manager-agenten.
Nästa steg
Information om att autentisera och övervaka UNIX- och Linux-datorer finns i Autentiseringsuppgifter du måste ha för åtkomst till UNIX- och Linux-datorer
Information om hur du höjer ett konto utan privilegier för effektiv övervakning av UNIX- och Linux-datorer finns i avsnittet How to Configure sudo Elevation and SSH Keys (Konfigurera sudo-höjning och SSH-nycklar)
Granska Konfigurera SSL-chiffer om du behöver konfigurera om Operations Manager för att använda ett annat chiffer.