Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Požadované funkce pro účty systémů UNIX a Linux

Matt Goedtel|Poslední aktualizace: 21.03.2017
|
1 Přispěvatel

Platí pro: System Center 2016 – Operations Manager

Pro přístup k počítačům se systémy UNIX a Linux se v nástroji System Center 2016 – Operations Manager používají tři profily Spustit jako. Jeden profil je přidružený k neprivilegovanému účtu, zatímco ostatní dva účty jsou přidružené k privilegovanému účtu nebo neprivilegovanému účtu, pro nějž byla zvýšena oprávnění pomocí příkazu sudo nebo su.

V nejjednodušším případě má privilegovaný účet rovnocenné možnosti jako kořenový účet systému UNIX a Linux, zatímco neprivilegovaný účet má rovnocenné možnosti jako běžný uživatelský účet. Avšak v případě některých verzí systémů UNIX a Linux můžete účtům přiřadit další specifické možnosti, jestliže použijete příkaz sudo ke zvýšení oprávnění. Pro účely těchto konkrétních přiřazení slouží následující tabulka obsahující specifické možnosti požadované účty, které jsou přiřazené ke každému z těchto tří profilů Spustit jako. Tyto popisy jsou poměrně obecné, protože informace, jako například přesné systémové cesty k souborům, se mohou v různých verzích systémů UNIX a Linux lišit.

Poznámka

V následující tabulce se popisují požadované možnosti pro účty určené ke komunikaci s agentem Operations Manageru ve spravovaném počítači se systémem UNIX nebo Linux. Samotný agent se ale vždycky musí na počítači se systémem UNIX nebo Linux spustit pomocí kořenového účtu.

Profil pro systém UNIX a LinuxPožadované možnosti
Profil akce– Přihlášení počítače se systémem UNIX nebo Linux k síti s ověřením pomocí modulů PAM (Pluggable Authentication Module). Musí umožňovat spouštění prostředí na pozadí (bez připojení k zařízení TTY). Není požadováno interaktivní přihlašování.
– Čtení jakéhokoli protokolu, který se po vytvoření vlastního monitorování souboru protokolu zadal jako neprivilegovaný. Dále možnost spouštět /opt/microsoft/scx/bin/scxlogfilereader.
– Neomezené spouštění jakéhokoli příkazu příkazového řádku zadaného, který se po vytvoření monitorování, pravidla nebo úlohy příkazového řádku zadal jako neprivilegovaný
– Spouštění /usr/bin/vmstat pro úlohu Run VMStat
Privilegovaný profilPřihlášení počítače se systémem UNIX nebo Linux k síti s ověřením pomocí modulů PAM. Musí umožňovat spouštění prostředí na pozadí (bez připojení k zařízení TTY). Není požadováno interaktivní přihlašování. V případě účtu se zvýšeným oprávněním pomocí příkazu sudo platí tento požadavek pro účet před zvýšením jeho oprávnění. – Úplné spouštění jakéhokoli příkazového řádku, který se po vytvoření monitorování, pravidla nebo zjišťování pomocí příkazového řádku zadal jako privilegovaný. – Následující možnosti monitorování souboru protokolu:

– Čtení souboru protokolu určeného k monitorování

Ve výchozím nastavení jsou soubory protokolu, například syslog, obvykle nastavené pro čtení jen pomocí kořenového účtu a účty přiřazené k tomuto profilu musí být schopny dané soubory číst. Namísto udělení oprávnění kořenového účtu těmto účtům lze změnit oprávnění souboru protokolu tak, aby udělovala oprávnění pro čtení pro zabezpečenou skupinu. Účty lze nastavit jako členy této skupiny. Pokud je soubor protokolu pravidelně střídán, postup střídání musí zachovávat oprávnění skupiny. – Čtení jakéhokoli souboru protokolu zadaného při vytvoření vlastního monitorování souboru protokolu jako privilegovaný – Spouštění /opt/microsoft/scx/bin/scxlogfilereader – Spouštění úloh, obnovy a diagnostiky. Tyto požadavky je nutné splnit, jenom když se uživatel Operations Manageru rozhodne je spustit.

– Mnoho postupů obnovy zahrnuje zastavení a restartování procesu démona. Tato obnovení vyžadují možnost spouštět rozhraní pro řízení služby (třeba /etc/init.d pro Linux a svcadm pro Solaris), aby bylo možné službu zastavit a restartovat. Taková rozhraní pro řízení služeb obvykle vyžadují možnost spouštět příkaz kill pro proces démon a jiné základní příkazy systému UNIX a Linux. – Požadavky pro jiné úlohy, obnovení a diagnostiky závisí na podrobnostech konkrétní akce.
Profily údržby agenta a pro účty používané k instalaci agentů pro počáteční monitorování– Přihlášení počítače se systémem UNIX nebo Linux k síti pomocí protokolu Secure Shell (SSH) s ověřením pomocí modulů PAM. Musí umožňovat spouštění prostředí na pozadí (bez připojení k zařízení TTY). Není požadováno interaktivní přihlašování. V případě účtu se zvýšeným oprávněním pomocí příkazu sudo platí tento požadavek pro účet před zvýšením jeho oprávnění. – Spouštění instalačního programu systémových balíčků, třeba rpm pro Linux, aby se mohl nainstalovat agent Operations Manageru. – Čtení a zápis v následujících adresářích, jejich vytvoření a vytvoření jakýchkoli jejich podadresářů, pokud neexistují:

- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi – Spouštění příkazu kill pro spuštěné procesy agenta Operations Manageru – Spouštění agenta Operations Manageru – Přidání a odebrání systémového procesu démon, včetně agenta Operations Manageru, pomocí nástrojů platformy – Spouštění základních příkazů systému UNIX a Linux, třeba cat, ls, pwd, cp, mv, rm, gzip (nebo obdobných).

Důležité informace související se zabezpečením

Agent systému Linux/UNIX Operations Manageru používá k ověření uživatelského jména a hesla zadaných v profilu akce a profilu oprávnění na počítači Linux nebo UNIX standardní mechanismus PAM (Pluggable Authentication Module). Jakékoli uživatelské jméno s heslem, které PAM ověří, může provádět funkce monitorování, včetně spouštění příkazových řádků a skriptů shromažďujících data monitorování. Tyto funkce monitorování se vždy provádějí v kontextu daného uživatelského jména (pokud pro dané uživatelské jméno není explicitně povoleno zvýšení oprávnění sudo), aby agent Operations Manageru neposkytoval více než v případě přihlášení uživatelského jména k systému Linux/UNIX.

Ověřování PAM používané agentem Operations Manageru ale nevyžaduje, aby mělo uživatelské jméno přiřazené interaktivní prostředí. Pokud postupy správy účtu systému Linux/UNIX zahrnují odebrání interaktivního prostředí jako způsob pseudozakázání účtu, nebude takové odebrání bránit použití účtu pro připojení k agentovi Operations Manageru a provádění funkcí monitorování. V těchto případech byste měli použít další konfiguraci PAM k zajištění toho, aby se tyto pseudozakázané účty neověřovaly pro agenta Operations Manageru.

Další kroky

© 2017 Microsoft