Hitelesítés és adattitkosítás Windows rendszerű számítógépeken
Hatókör: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
A System Center 2012 – Operations Manager rendszer több komponensből áll, ezek a felügyeleti kiszolgáló, az átjárókiszolgáló, a jelentéskészítő kiszolgáló, az operatív adatbázis, a jelentéskészítési adatraktár, az ügynök, a webkonzol és az operatív konzol. Ebben a szakaszban a hitelesítés módját tárgyaljuk, valamint összefoglaljuk, hogy mely csatornákon zajlik titkosított adatforgalom.
Tanúsítványalapú hitelesítés
Ha az Operations Manager ügynöke és felügyeleti kiszolgálója két különböző, egymással megbízhatósági kapcsolatban nem álló erdőbe vagy munkacsoportba tartozik, akkor tanúsítványalapú hitelesítést kell használni. Az alábbi szakaszokban az ilyen jellegű helyzeteket tárgyaljuk, valamint ismertetjük, hogyan lehet a Windows-alapú hitelesítésszolgáltatóktól beszerezni, majd telepíteni a szükséges tanúsítványokat.
Azonos megbízhatósági tartományba tartozó ügynökök és felügyeleti kiszolgáló közötti kommunikáció biztosítása
Az ügynök és a felügyeleti kiszolgáló Windows-hitelesítéssel végzik el egymás kölcsönös hitelesítését, mielőtt a felügyeleti kiszolgáló fogadná az ügynök által küldött adatokat. A Kerberos protokoll 5-ös verziója a hitelesítés alapértelmezett eszköze. Annak érdekében, hogy használni lehessen a Kerberos-alapú kölcsönös hitelesítést, az ügynököknek és a felügyeleti kiszolgálónak azonos Active Directory-tartományba kell tartozniuk. Ha egy ügynök és a felügyeleti kiszolgáló eltérő tartományba tartozik, teljes megbízhatósági kapcsolatot kell létesíteni a tartományok között. Ebben az esetben a kölcsönös hitelesítés végrehajtása után az ügynök és a felügyeleti kiszolgáló közötti adatcsatornán titkosítva zajlik az adatforgalom. A hitelesítés és a titkosítás megvalósulásához nincs szükség felhasználói beavatkozásra.
Eltérő megbízhatósági tartományba tartozó ügynökök és felügyeleti kiszolgáló közötti kommunikáció biztosítása
Lehetőség van olyan rendszer telepítésére, amelyben az ügynökök más tartományba (B tartomány) tartoznak, mint a felügyeleti kiszolgáló (A tartomány), és nincs kétirányú megbízhatóság a tartományok között. Mivel a tartományok között nincs megbízhatóság, az egyik tartományba tartozó ügynökök nem tudnak Kerberos protokollal hitelesíteni a másik tartományba tartozó felügyeleti kiszolgálónál. Az Operations Manager különböző tartományokba tartozó összetevői közötti kölcsönös hitelesítés azonban ilyenkor is megtörténik.
Az ilyen jellegű helyzetekben a megoldást az átjárókiszolgáló telepítése jelenti, amelyet abban a tartományban kell elhelyezni, ahol az ügynökök találhatók, majd az átjárókiszolgálóra és a felügyeleti kiszolgálóra egyaránt telepíteni kell a kölcsönös hitelesítéshez és az adattitkosításhoz szükséges tanúsítványokat. Az átjárókiszolgáló használatának előnye, hogy csak egy tanúsítványra van szükség a B tartományban, és csak egy portot kell megnyitni a tűzfalon, ahogy azt az alábbi ábra is szemlélteti.
.jpeg "Tartományokon átívelő megbízhatóság")
Tartomány és munkacsoport közötti kommunikáció
Előfordulhat, hogy az adott környezetben a tűzfalon belül található néhány munkacsoportos gépre telepített ügynök. A munkacsoportba tartozó ügynökök nem tudnak Kerberos protokollal hitelesíteni a tartományba tartozó felügyeleti kiszolgálónál. A megoldás a megfelelő tanúsítványok telepítése mind az ügynököt futtató számítógépre, mind arra a felügyeleti kiszolgálóra, amelyhez az ügynök csatlakozik, ahogy azt az alábbi ábra szemlélteti.
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Ilyenkor kézzel kell telepíteni az ügynököt. |
.jpeg "Tartomány és munkacsoport közötti megbízhatóság")
Az ügynököt futtató számítógépen és a felügyeleti kiszolgálón is az alábbi lépéseket kell végrehajtani, ugyanazt a hitelesítésszolgáltatót (CA) használva:
Tanúsítványok kérése a CA-tól.
A tanúsítványkérelmek jóváhagyása a CA-n.
A kibocsátott tanúsítványok telepítése a számítógépek tanúsítványtárolójába.
Az Operations Manager konfigurálása a MOMCertImport eszközzel.
Az átjárókiszolgálók is ugyanezekkel a lépésekkel telepíthetők, azzal az eltéréssel, hogy a jelen esetben nincs szükség az átjáró-jóváhagyási eszköz futtatására.
A tanúsítványok telepítésének ellenőrzése
Ha megfelelően telepítette a tanúsítványt, a következő esemény jelenik meg az Operations Manager eseménynaplójában.
Típus |
Forrás |
Eseményazonosító |
Általános |
|---|---|---|---|
Információs |
OpsMgr-összekötő |
20053 |
Az OpsMgr-összekötő sikeresen betöltötte a megadott hitelesítési tanúsítványt. |
Tanúsítvány telepítésekor futtatni kell a MOMCertImport eszközt. A MOMCertImport eszköz a futtatásakor beírja az importálásra megadott tanúsítvány sorozatszámát a beállításjegyzék alábbi alkulcsába.
.jpeg "System_CAPS_caution"){kind=icon} Figyelem! |
|---|
A beállításjegyzék nem megfelelő módosítása súlyosan károsíthatja a rendszert. A beállításjegyzék módosítása előtt készítsen biztonsági mentést a számítógépen található fontos információkról. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
A felügyeleti kiszolgálók, az átjárókiszolgálók és az ügynökök közötti hitelesítés és adattitkosítás
Az Operations Manager említett összetevői közötti kommunikáció első lépése a kölcsönös hitelesítés. Ha a kommunikációs csatorna mindkét végpontján rendelkezésre áll a megfelelő tanúsítvány, akkor a kölcsönös hitelesítés tanúsítványalapon történik; ellenkező esetben a két fél a Kerberos protokoll 5-ös verzióját használja. Ha két összetevő eltérő tartományban található, amelyek nem állnak megbízhatósági kapcsolatban, akkor a hitelesítést tanúsítványokkal kell elvégezni.
A normál kommunikáció, így az események és a riasztások elküldése, valamint a felügyeleti csomagok telepítése ezen a csatornán történik. Az alábbi ábrán arra látható példa, hogy az egyik ügynökön keletkező riasztás hogyan kerül el a felügyeleti kiszolgálóhoz. Az ügynök és az átjárókiszolgáló között a Kerberos biztonsági csomag segítségével történik az adatok titkosítása, ugyanis az átjárókiszolgáló és az ügynök azonos tartományba tartoznak. Az átjárókiszolgáló visszafejti a riasztást, majd újratitkosítja a felügyeleti kiszolgálóval folytatott kommunikáció során használt tanúsítvánnyal. A felügyeleti kiszolgáló, miután megkapta a riasztást, visszafejti az üzenetet, majd újratitkosítja a Kerberos protokoll segítségével, és elküldi a felügyeleti kiszolgálónak, ahol az visszafejti a riasztást.
A felügyeleti kiszolgáló és az ügynök közötti kommunikációban időnként hitelesítő adatok is szerepelhetnek, például a konfigurációs adatok és a feladatok továbbításakor. Az ügynök és a felügyeleti kiszolgáló közötti adatcsatorna egy további titkosítási réteget jelent a normál csatornatitkosításon felül. Felhasználói beavatkozásra nincs szükség.
A felügyeleti kiszolgáló és az operatív konzol, a webkonzol-kiszolgáló és a jelentéskészítő kiszolgáló
A felügyeleti kiszolgáló és az operatív konzol, a webkonzol-kiszolgáló és a jelentéskészítő kiszolgáló közötti hitelesítés és adattitkosítás a Windows Communication Foundation (WCF) technológiával történik. Az első hitelesítési kísérlet a felhasználó hitelesítő adataival történik. A két szereplő először Kerberos protokollt próbál használni. Ha a Kerberos protokoll nem működik, újabb kísérletet tesznek NTLM protokollal. Ha a hitelesítés továbbra is sikertelen, a rendszer felszólítja a felhasználót a hitelesítő adatok megadására. Miután megtörtént a hitelesítés, a két fél közötti adatfolyam továbbítása Kerberos protokoll, illetve NTLM használatakor SSL segítségével titkosítva történik.
A jelentéskészítő kiszolgáló és a felügyeleti kiszolgáló esetében a hitelesítés végrehajtása után adatkapcsolat jön létre a felügyeleti kiszolgáló és az SQL Server Jelentéskészítő kiszolgáló között. Ennek során kizárólag Kerberos protokoll használható; ebből fakadóan a felügyeleti kiszolgálónak és a jelentéskészítő kiszolgálónak azonos megbízhatósági tartományban kell lennie. A WCF technológiát a következő MSDN-cikk tárgyalja részletesen: What Is Windows Communication Foundation (Mi a Windows Communication Foundation).
A felügyeleti kiszolgáló és a jelentéskészítési adatraktár
A felügyeleti kiszolgáló és a jelentéskészítési adatraktár között két kommunikációs csatorna létesül:
A felügyeleti kiszolgálón futó állapotfigyelő szolgáltatás (System Center Management szolgáltatás) által indított figyelési gazdafolyamat.
A felügyeleti kiszolgálón futó System Center adatelérési szolgáltatás
A figyelési gazdafolyamat és a jelentéskészítési adatraktár
Az állapotfigyelő szolgáltatás által indított figyelési gazdafolyamat (amely az összegyűjtött eseményeknek és teljesítményszámlálóknak az adatraktárba történő beírásáért felelős) alapesetben integrált Windows-hitelesítést használ, miközben a futtatása a jelentéskészítési összetevő telepítésekor megadott adatíró fiókkal történik. A fiók hitelesítő adatait a rendszer biztonságos módon tárolja az Adatraktár műveleti fiókja nevű futtató fiókban. Ez a futtató fiók tagja az Adatraktárfiók nevű futtató profilnak (ez utóbbi van hozzárendelve a tényleges gyűjtési szabályokhoz).
Ha a jelentéskészítési adatraktár és a felügyeleti kiszolgáló eltérő megbízhatósági tartományba tartozik (például két eltérő tartományban vannak, és a tartományok között nincs megbízhatóság), akkor az integrált Windows-hitelesítés nem működik. A probléma megoldása érdekében a figyelési gazdafolyamat SQL Server-hitelesítéssel is képes csatlakozni a jelentéskészítési adatraktárhoz. Ehhez létre kell hozni egy új futtató fiókot (egyszerű fiók típusút), amelyben meg kell adni az SQL-fiók hitelesítő adatait, majd hozzá kell adni Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz, célként a felügyeleti kiszolgálót megadva.
.jpeg "System_CAPS_important") Fontos! |
|---|
Alapesetben Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz az azonos nevű futtató fiók révén egy különleges fiók van hozzárendelve. Soha ne módosítsa Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz rendelt fiókot. Ehelyett hozzon létre egy saját fiókot és egy saját futtató fiókot, majd adja hozzá a futtató fiókot Az adatraktár SQL Server-hitelesítési fiókja nevű futtató profilhoz. |
Az alábbiakban az integrált Windows-hitelesítésre és az SQL Server-hitelesítésre használt különféle fiókokban szereplő hitelesítő adatok, a futtató fiókok és a futtató profilok közötti kapcsolatot szemléltetjük.
Alapértelmezés: Integrált Windows-hitelesítés
Futtató profil: Adatraktárfiók
Futtató fiók: Adatraktár műveleti fiókja
Hitelesítő adatok: Adatíró fiók (a telepítéskor történik a megadása)
Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
Futtató fiók: Adatraktár – SQL Server-hitelesítési fiók
Hitelesítő adatok: Az Operations Manager által létrehozott különleges fiók (nem szabad megváltoztatni)
Opcionális: SQL Server-hitelesítés
Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
Futtató fiók: Az Ön által létrehozott futtató fiók.
Hitelesítő adatok: Az Ön által létrehozott fiók.
A System Center adatelérési szolgáltatás és a jelentéskészítési adatraktár
Alapesetben a System Center adatelérési szolgáltatás – amelynek feladata az adatok kiolvasása a jelentéskészítési adatraktárból, majd elérhetővé tétele a jelentések paramétereit tartalmazó területen – integrált Windows-hitelesítést használ, miközben az Operations Manager telepítésekor az adatelérési és a konfigurációs szolgáltatáshoz megadott fiók nevében fut.
Ha a jelentéskészítési adatraktár és a felügyeleti kiszolgáló eltérő megbízhatósági tartományba tartozik (például két eltérő tartományban vannak, és a tartományok között nincs megbízhatóság), akkor az integrált Windows-hitelesítés nem működik. A probléma megoldása érdekében a System Center adatelérési szolgáltatás SQL Server-hitelesítéssel is képes csatlakozni a jelentéskészítési adatraktárhoz. Ehhez létre kell hozni egy új futtató fiókot (egyszerű fiók típusút), amelyben meg kell adni az SQL-fiók hitelesítő adatait, majd hozzá kell adni a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz, célként a felügyeleti kiszolgálót megadva.
| Fontos! |
|---|
Alapesetben a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz az azonos nevű futtató fiók révén egy különleges fiók van hozzárendelve. Soha ne módosítsa a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz rendelt fiókot. Ehelyett hozzon létre egy saját fiókot és egy saját futtató fiókot, majd adja hozzá a futtató fiókot a Jelentéskészítő SDK SQL Server-hitelesítési fiókja nevű futtató profilhoz. |
Az alábbiakban az integrált Windows-hitelesítésre és az SQL Server-hitelesítésre használt különféle fiókokban szereplő hitelesítő adatok, a futtató fiókok és a futtató profilok közötti kapcsolatot szemléltetjük.
Alapértelmezés: Integrált Windows-hitelesítés
Az adatelérési és a konfigurációs szolgáltatás fiókja (az Operations Manager telepítésekor történik a megadása)
Futtató profil: Jelentéstételi SDK – SQL Server-hitelesítési fiók
Futtató fiók: Jelentéstételi SDK – SQL Server-hitelesítési fiók
Hitelesítő adatok: Az Operations Manager által létrehozott különleges fiók (nem szabad megváltoztatni)
Opcionális: SQL Server-hitelesítés
Futtató profil: Adatraktár – SQL Server-hitelesítési fiók
Futtató fiók: Az Ön által létrehozott futtató fiók.
Hitelesítő adatok: Az Ön által létrehozott fiók.
Az operatív konzol és a jelentéskészítő kiszolgáló
Az operatív konzol a 80-as porton keresztül, HTTP protokollon csatlakozik a jelentéskészítő kiszolgálóhoz. A hitelesítés integrált Windows-hitelesítéssel történik. Az adatok titkosítása SSL-csatorna segítségével történik. További információk az operatív konzol és a jelentéskészítő kiszolgáló közötti SSL-csatornáról: Az operatív konzol SSL használatára, amikor csatlakozik a jelentéskészítő kiszolgáló konfigurálása.
A jelentéskészítő kiszolgáló és a jelentéskészítési adatraktár
A jelentéskészítő kiszolgáló és a jelentéskészítési adatraktár között integrált Windows-hitelesítés történik. A jelentéskészítési szolgáltatás telepítésekor adatolvasó fiókként megadott fiók válik a jelentéskészítő kiszolgáló futtatási fiókjává. Ha meg kell változtatni a fiók jelszavát, akkor az SQL Server részeként elérhető Reporting Services Konfigurációkezelő eszközben is el kell végezni ugyanezt a módosítást. A jelszó megváltoztatásával kapcsolatos további információk: A jelentéskészítő kiszolgáló végrehajtási fiók jelszavának módosítása. A jelentéskészítő kiszolgáló és a jelentéskészítési adatraktár közötti adatforgalom nincs titkosítva.