Planera autentiseringsuppgifter för åtkomst till UNIX- och Linux-datorer
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten, vi rekommenderar att du uppgraderar till Operations Manager 2022.
Det här avsnittet beskriver de autentiseringsuppgifter som krävs för att installera, underhålla, uppgradera och avinstallera agenter på en UNIX- eller Linux-dator.
I Operations Manager använder hanteringsservern två protokoll för att kommunicera med UNIX- eller Linux-datorn:
Secure Shell (SSH) och Secure Shell File Transfer Protocol (SFTP)
- Används för installation, uppgradering och borttagning av agenter.
WS-Management (Web Services for Management)
- Används för alla övervakningsåtgärder och inkluderar identifiering av agenter som redan har installerats.
Protokollet som används beror på vilken åtgärd eller information som begärs på hanteringsservern. Alla åtgärder, till exempel agentunderhåll, övervakare, regler, uppgifter och återställningar, konfigureras med fördefinierade profiler enligt kraven för ett konto med eller utan privilegier.
I Operations Manager behöver systemadministratören inte längre ange rotlösenordet på UNIX- eller Linux-datorn till hanteringsservern. Nu kan ett konto utan privilegier få utökade privilegier och anta identiteten av ett privilegierat konto på UNIX- eller Linux-datorn. Processen med utökade privilegier utförs av UNIX-programmen su (superuser) och sudo, som använder autentiseringsuppgifterna som hanteringsservern tillhandahåller. För privilegierade agentunderhållsåtgärder som använder SSH (till exempel identifiering, distribuering, uppgraderingar, avinstallation och agentåterställning) finns det stöd för su- och sudo-höjning samt för SSH-nyckelautentisering (med eller utan lösenfras). För privilegierade WS-Management-åtgärder (till exempel visning av säkra loggfiler) läggs stöd för sudo-höjning (utan lösenord) till.
Autentiseringsuppgifter för att installera agenter
I Operations Manager används SSH-protokollet (Secure Shell) för att installera en agent och WS-Management-protokollet (Web Services for Management) för att identifiera tidigare installerade agenter. För installationen krävs ett konto med privilegier för UNIX- eller Linux-datorn. Det finns två sätt att uppge autentiseringsuppgifterna för måldatorn, som erhålls av guiden Hantera datorer och enheter:
Ange ett användarnamn och lösenord.
SSH-protokollet använder lösenordet för att installera en agent eller WS-Management-protokollet om agenten redan har installerats med ett signerat certifikat.
Ange ett användarnamn och en SSH-nyckel. Nycken kan innehålla en valfri lösenfras.
Om du inte använder autentiseringsuppgifterna för ett privilegierat konto kan du ange ytterligare autentiseringsuppgifter så att ditt konto blir ett privilegierat konto genom utökade privilegier på UNIX- eller Linux-datorn.
Installationen kan inte slutföras förrän agenten har verifierats. Agentverifieringen utförs av WS-Management-protokollet som använder autentiseringsuppgifterna som finns på hanteringsservern, skilt från det konto med privilegier som används för att installera agenten. Du uppmanas att ange ett användarnamn och lösenord för agentverifiering om du har gjort något av följande:
Angett ett konto med privilegier genom att använda en nyckel.
Angett ett konto utan privilegier som ska utökas genom att använda sudo med en nyckel.
Kör guiden med Identifieringstyp inställt på Identifiera bara datorer med installerad UNIX-/Linux-agent.
Ett annat alternativt är att manuellt installera agenten tillsammans med certifikatet på UNIX- eller Linux-datorn och sedan identifiera den datorn. Det här är det säkraste sättet att installera agenter. Mer information finns i Installera agenten och certifikatet på UNIX- och Linux-datorer med hjälp av kommandoraden.
Autentiseringsuppgifter för att övervaka åtgärder och utföra agentunderhåll
Operations Manager innehåller tre fördefinierade profiler som kan användas för att övervaka UNIX- och Linux-datorer och utföra agentunderhåll:
UNIX-/Linux-åtgärdskonto
En kontoprofil utan privilegier för grundläggande hälsotillstånds- och prestandaövervakning.
UNIX-/Linux-konto med privilegier
En kontoprofil med privilegier som används för att övervaka skyddade resurser som loggfiler.
UNIX-/Linux-underhållskonto
En profil för underhållsåtgärder som kräver privilegier, till exempel uppdatering och borttagning av agenter.
I UNIX- och Linux-hanteringspaketen är alla regler, övervakare, återställningar och andra hanteringspaketobjekt konfigurerade för att använda de här profilerna. Du behöver därför inte definiera fler profiler med guiden Kör som-profiler, om inte några särskilda omständigheter kräver detta. Profilerna är inte utbytbara i omfånget. Exempelvis kan inte UNIX-/Linux-underhållskontoprofilen användas i stället för de övriga profilerna bara för att den har konfigurerats med ett konto med privilegier.
I Operations Manager fungerar inte en profil förrän den har kopplats till minst ett Kör som-konto. Autentiseringsuppgifterna för åtkomst till UNIX- eller Linux-datorerna konfigureras i Kör som-kontona. Eftersom det inte finns några fördefinierade Kör som-konton för UNIX- och Linux-övervakning måste du skapa dem själv.
När du skapar ett Kör som-konto måste du köra guiden UNIX-/Linux Kör som-konto som är tillgänglig när du väljer UNIX-/Linux-konton på arbetsytan Administration. Guiden skapar ett Kör som-konto baserat på valet av Kör som-kontotyp. Det finns två typer av Kör som-konton:
Övervakningskonto
Använd det här kontot för pågående övervakning av hälsotillstånd och prestanda för åtgärder som kommunicerar med WS-Management.
Agentunderhållskonto
Använd det här kontot för agentunderhåll som uppdatering och avinstallation för åtgärder som kommunicerar med SSH.
Kör som-kontotyperna kan konfigureras för olika åtkomstnivåer beroende på vilka autentiseringsuppgifter du anger. Autentiseringsuppgifterna kan vara konton med eller utan privilegier, eller konton utan privilegier som kan utökas till konton med privilegier. Följande tabell visar hur profiler, Kör som-konton och åtkomstnivåer hänger samman.
| Profiler | Kör som-kontotyp | Åtkomstnivåer som kan tillåtas |
|---|---|---|
| UNIX-/Linux-åtgärdskonto | Övervakningskonto | - Oprivilegierad - Privilegierad - Oprivilegierad, upphöjd till privilegierad |
| UNIX-/Linux-konto med privilegier | Övervakningskonto | - Privilegierad - Oprivilegierad, upphöjd till privilegierad |
| UNIX-/Linux-underhållskonto | Agentunderhållskonto | - Privilegierad - Oprivilegierad, upphöjd till privilegierad |
Observera att det finns tre profiler men bara två typer av Kör som-konton.
När du anger ett övervakningskonto av Kör som-kontotyp måste du ange ett användarnamn och lösenord som ska användas med WS-Management-protokollet. När du anger ett agentunderhållskonto av Kör som-kontotyp måste du ange hur autentiseringsuppgifterna ska överföras till måldatorn med SSH-protokollet:
Ange ett användarnamn och lösenord.
Ange ett användarnamn och en nyckel. Du kan ta med en valfri lösenfras.
När du har skapat Kör som-konton måste du redigera UNIX- och Linux-profilerna och koppla ihop dem med de Kör som-konton du har skapat. Mer information finns i avsnittet Konfigurera kör som-konton och -profiler för åtkomst via UNIX och Linux
Viktiga säkerhetsöverväganden
Operations Manager Linux/UNIX-agenten använder den standardmässiga PAM-mekanismen (Pluggable Authentication Module) på Linux eller UNIX-datorn för att autentisera användarnamnet och lösenordet som angavs under åtgärdsprofilen och behörighetsprofilen. Ett användarnamn med ett lösenord som PAM autentiserar kan utföra övervakningsfunktioner, däribland köra kommandorader och skript som samlar in övervakningsdata. Sådana övervakningsfunktioner används alltid i samband med att användarnamnet (om sudo-höjning uttryckligen har aktiverats för användarnamnet), så att Operations Manager-agenten inte innehåller fler funktioner än om användarnamnet skulle användas för att logga in på Linux/UNIX-system.
Dock kräver inte den PAM-autentisering som används av Operations Manager-agenten att användarnamnet har ett interaktivt gränssnitt som är kopplat till det. Om dina Linux/UNIX-kontohanteringsrutiner omfattar borttagning av det interaktiva gränssnittet som ett sätt att pseudoinaktivera ett konto, förhindrar detta inte att kontot används för att ansluta till Operations Manager-agenten och utföra övervakningsfunktioner. I dessa fall bör du använda ytterligare PAM-konfiguration så att dessa pseudoinaktiverade konton inte autentiserar till Operations Manager-agenten.
Autentiseringsuppgifter för att uppgradera och avinstallera agenter
Guiden för att uppgradera UNIX-/Linux-agent och guiden för att avinstallera UNIX-/Linux-agent tillhandahåller autentiseringsuppgifter för sina måldatorer. Först måste du välja de måldatorer som ska uppgraderas eller avinstalleras och därefter ange alternativ för hur måldatorn ska förses med autentiseringsuppgifter:
Använd befintliga associerade Kör som-konton
Välj det här alternativet om du vill använda de autentiseringsuppgifter som är kopplade till UNIX-/Linux-åtgärdskontoprofilen och UNIX-/Linux-underhållskontoprofilen.
Guiden visar en varning om en eller flera av de valda datorerna inte har något tillhörande Kör som-konto i de begärda profilerna. I så fall måste du gå tillbaka och rensa de datorer som inte har något tillhörande Kör som-konto eller ange autentiseringsuppgifter.
Ange autentiseringsuppgifter
Välj det här alternativet om du vill ange SSH-autentiseringsuppgifter genom att använda ett användarnamn och lösenord eller ett användarnamn och en nyckel. Du kan ange en lösenfras med en nyckel om du vill. Om autentiseringsuppgifterna inte avser ett konto med privilegier kan du utöka dem till ett konto med privilegier på måldatorn genom att använda UNIX-utökningsprogrammen su eller sudo. Ett lösenord krävs för su-höjning. Om du använder sudo uppmanas du att ange ett användarnamn och lösenord för agentverifiering genom att använda ett konto utan privilegier.