Table of contents
TOC
Réduire la table des matières
Développer la table des matières

Planification des informations d’identification de sécurité pour accéder à des ordinateurs Unix et Linux

Matt Goedtel|Dernière mise à jour: 21/03/2017
|
1 Contributeur

S’applique à : System Center 2016 - Operations Manager

Cette rubrique décrit les informations d’identification nécessaires pour installer, maintenir, mettre à niveau et désinstaller des agents sur un ordinateur UNIX ou Linux.

Dans Operations Manager, le serveur d’administration utilise deux protocoles pour communiquer avec l’ordinateur UNIX ou Linux :

  • SSH (Secure Shell) et SFTP (Secure Shell File Transfer Protocol)

    • Utilisé pour l'installation, la mise à niveau et la suppression des agents.
  • Web Services for Management (WS-Management)

    • Utilisé pour toutes les opérations d'analyse et inclut la détection d'agents déjà installés.

Le protocole utilisé dépend de l'action ou des informations demandées sur le serveur d'administration. Toutes les actions, telles que la maintenance des agents, les analyses, les règles, les tâches et les restaurations, sont configurées pour utiliser des profils prédéfinis en fonction de leurs besoins pour un compte non privilégié ou privilégié.

Dans Operations Manager, l’administrateur système n’est plus obligé de fournir le mot de passe racine de l’ordinateur UNIX ou Linux au serveur d’administration. Désormais, par élévation, un compte non privilégié peut endosser l'identité d'un compte privilégié sur l'ordinateur UNIX ou Linux. Le processus d'élévation est effectué à l'aide des programmes su (superutilisateur) ou sudo UNIX qui utilisent les informations d'identification fournies par le serveur d'administration. Pour les opérations de maintenance de l'agent privilégiées qui ont recours à SSH (telles que la détection, le déploiement, les mises à niveau, la désinstallation et la récupération d'agent), la prise en charge de l'élévation su et sudo su et de l'authentification par clé SSH (avec ou sans phrase secrète) est fournie. Pour les opérations privilégiées de WS-Management (telles que l'affichage des fichiers journaux sécurisés), la prise en charge de l'élévation sudo (sans mot de passe) est ajoutée.

Informations d'identification pour installer des agents

Operations Manager utilise le protocole SSH (Secure Shell) pour installer un agent et Web Services for Management (WS-Management) pour détecter les agents installés précédemment. L'installation nécessite un compte privilégié sur l'ordinateur UNIX ou Linux. Il existe deux moyens de fournir des informations d'identification à l'ordinateur ciblé, tels qu'obtenus par l' Assistant Gestion des ordinateurs et des périphériques:

  • Spécifier un nom d'utilisateur et un mot de passe.

    Le protocole SSH utilise le mot de passe pour installer un agent ou le protocole WS-Management si l'agent a déjà été installé à l'aide d'un certificat signé.

  • Spécifier un nom d'utilisateur et une clé SSH. La clé peut inclure un mot de passe facultatif.

Si vous n'utilisez pas les informations d'identification pour un compte privilégié, vous pouvez fournir des informations d'identification supplémentaires pour que votre compte devienne un compte privilégié grâce à l'élévation de privilège sur l'ordinateur UNIX ou Linux.

L'installation est incomplète tant que l'agent n'est pas vérifié. La vérification de l'agent est effectuée par le protocole WS-Management qui utilise les informations d'identification conservées sur le serveur d'administration, séparé du compte privilégié utilisé pour installer l'agent. Vous devez fournir un nom d'utilisateur et un mot de passe pour la vérification de l'agent si vous avez effectué l'une des opérations suivantes :

  • Fourni un compte privilégié à l'aide d'une clé.

  • Fourni un compte non privilégié à élever à l'aide de sudo avec une clé.

  • Exécuté l'Assistant avec le Type de détection défini sur Détecter uniquement les ordinateurs avec l'agent UNIX/Linux installé.

Vous pouvez également installer l'agent, y compris son certificat, manuellement sur l'ordinateur UNIX ou Linux, puis détecter cet ordinateur. Cette méthode est la plus sûre pour installer des agents. Pour plus d'informations, consultez Installer un agent et un certificat sur des ordinateurs UNIX et Linux à l'aide de la ligne de commande.

Informations d'identification pour l'analyse des opérations et la maintenance de l'agent

Operations Manager contient trois profils prédéfinis à utiliser pour l'analyse des ordinateurs UNIX et Linux et pour effectuer la maintenance de l'agent :

  • Compte d'action UNIX/Linux

    Ce profil est un profil de compte non privilégié requis pour l'analyse de base de l'intégrité et des performances.

  • Compte privilégié UNIX/Linux

    Ce profil est un profil de compte privilégié utilisé pour analyser les ressources protégées telles que les fichiers journaux.

  • Compte de maintenance UNIX/Linux

    Ce profil est utilisé pour les opérations de maintenance privilégiées, telles que la mise à jour et la suppression des agents.

Dans les packs d'administration UNIX et Linux, toutes les règles, analyses, tâches, récupérations et autres éléments du pack d'administration sont configurés pour utiliser ces profils. Par conséquent, il n'est pas nécessaire de définir des profils supplémentaires à l'aide de l'Assistant Profil d'identification sauf si des circonstances particulières l'exigent. Les profils ne sont pas cumulatifs dans l'étendue. Par exemple, le profil du compte de maintenance UNIX/Linux ne peut pas être utilisé à la place des autres profils simplement parce qu'il est configuré à l'aide d'un compte privilégié.

Dans Operations Manager, un profil ne peut pas fonctionner tant qu'il n'est pas associé à au moins un compte d'identification. Les informations d'identification pour accéder aux ordinateurs UNIX ou Linux sont configurées dans les comptes d'identification. Dans la mesure où il n'existe aucun compte d'identification prédéfini pour l'analyse UNIX et Linux, vous devez en créer.

Pour créer un compte d'identification, vous devez exécuter l' Assistant Créer un compte d'identification UNIX/Linux disponible lorsque vous sélectionnez Comptes UNIX/Linux dans l'espace de travail Administration . L'Assistant crée un compte d'identification en fonction du type de compte d'identification choisi. Il existe deux types de compte d'identification :

  • Compte d'analyse

    Utilisez ce compte pour l'analyse continue de l'intégrité et des performances dans les opérations qui communiquent à l'aide de WS-Management.

  • Compte de maintenance d'agent

    Utilisez ce compte pour la maintenance de l'agent, telle que la mise à jour et la désinstallation dans les opérations qui communiquent à l'aide de SSH.

Ces types de compte d'identification peuvent être configurés pour différents niveaux d'accès selon les informations d'identification que vous fournissez. Les informations d'identification peuvent être des comptes non privilégiés ou privilégiés, ou bien des comptes non privilégiés qui seront élevés en comptes privilégiés. Le tableau suivant montre les relations entre les profils, les comptes d'identification et les niveaux d'accès.

ProfilsType de compte d'identificationNiveaux d'accès autorisés
Compte d'action UNIX/LinuxCompte d'analyse- Sans privilège
- Privilégié
- Sans privilège, élevé à privilégié
Compte privilégié UNIX/LinuxCompte d'analyse- Privilégié
- Sans privilège, élevé à privilégié
Compte de maintenance UNIX/LinuxCompte de maintenance d'agent- Privilégié
- Sans privilège, élevé à privilégié

Notez qu'il existe trois profils, mais seulement deux types de compte d'identification.

Lorsque vous spécifiez un type de compte d'identification d'analyse, vous devez spécifier un nom d'utilisateur et un mot de passe que le protocole WS-Management utilisera. Lorsque vous spécifiez un type de compte d'identification de maintenance d'agent, vous devez spécifier la façon dont les informations d'identification sont fournies à l'ordinateur ciblé en utilisant le protocole SSH :

  • Spécifiez un nom d'utilisateur et un mot de passe.

  • Spécifiez un nom d'utilisateur et une clé. Vous pouvez inclure un mot de passe facultatif.

Une fois que vous avez créé les comptes d'identification, vous devez modifier les profils UNIX et Linux pour les associer aux comptes d'identification que vous avez créés. Pour obtenir des instructions détaillées, consultez How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Comment configurer des comptes et des profils d’identification pour l’accès UNIX et Linux).

Considérations importantes relatives à la sécurité

L’agent Operations Manager Linux/UNIX utilise le mécanisme standard PAM (Pluggable Authentication Module) sur l’ordinateur Linux ou UNIX pour authentifier le nom d’utilisateur et le mot de passe spécifiés dans les profils Action et Privilège. Vous pouvez utiliser toute combinaison nom d’utilisateur/mot de passe authentifiée par PAM pour effectuer des fonctions d’analyse, notamment l’exécution de lignes de commande et de scripts qui collectent des données d’analyse. Ces fonctions d’analyse sont toujours effectuées dans le contexte de ce nom d’utilisateur (sauf si l’élévation sudo est explicitement activée pour ce nom d’utilisateur). L’agent Operations Manager ne fournit donc pas plus de fonctionnalités que si vous utilisiez le nom d’utilisateur pour vous connecter au système Linux/UNIX.

Toutefois, l’authentification PAM utilisée par l’agent Operations Manager n’exige pas que le nom d’utilisateur soit associé à un interpréteur de commandes interactif. Si, dans le cadre de la gestion de vos comptes Linux/UNIX, vous avez pour habitude de supprimer l’interpréteur de commandes interactif pour pseudo-désactiver un compte, ceci ne vous empêche pas d’utiliser le compte pour vous connecter à l’agent Operations Manager et effectuer des fonctions d’analyse. Si vous procédez de la sorte, utilisez une configuration PAM supplémentaire pour vérifier que ces comptes pseudo-désactivés ne s’authentifient pas auprès de l’agent Operations Manager.

Informations d'identification pour mettre à niveau et désinstaller des agents

L' Assistant de mise à niveau de l'agent UNIX/Linux et l' Assistant de désinstallation de l'agent UNIX/Linux fournissent des informations d'identification à leurs ordinateurs ciblés. Les Assistants vous invitent à sélectionner les ordinateurs ciblés à mettre à niveau ou à désinstaller, puis à choisir les options sur la façon de fournir les informations d'identification à l'ordinateur ciblé :

  • Utiliser les comptes d'identification associés existants

    Sélectionnez cette option pour utiliser les informations d'identification associées au profil du compte d'action UNIX/Linux et le profil du compte de maintenance UNIX/Linux.

    L'Assistant vous alerte si un ou plusieurs ordinateurs sélectionnés n'ont pas de compte d'identification associé dans les profils nécessaires, auquel cas vous devez revenir en arrière et effacer les ordinateurs sans compte d'identification associé, ou spécifier des informations d’identification.

  • Spécifier les informations d'identification

    Sélectionnez cette option pour spécifier des informations d'identification SSH (Secure Shell) en utilisant un nom d'utilisateur et un mot de passe ou un nom d'utilisateur et une clé. Vous pouvez éventuellement fournir un mot de passe avec une clé. Si les informations d'identification ne sont pas destinées à un compte privilégié, vous pouvez les élever à un compte privilégié sur l'ordinateur ciblé à l'aide des programmes d'élévation su ou sudo d'UNIX. L'élévation « su » nécessite un mot de passe. Si vous utilisez l'élévation sudo, vous êtes invité à fournir un nom d'utilisateur et un mot de passe pour la vérification de l'agent à l'aide d'un compte non privilégié.

© 2017 Microsoft