• Cikk

A UNIX- és Linux-fiókok szükséges képességei

 

Közzétett: 2016. március

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A UNIX és a Linux rendszerű számítógépek elérésére a System Center 2012 – Operations Manager három futtató profilt használ. Az egyik profil egy normál jogosultsági szintű fiókkal van összerendelve, míg a másik kettőhöz vagy magas jogosultsági szintű fiók, vagy olyan fiók tartozik, amely a sudo vagy a su paranccsal jogosultságemelést hajt végre.

A legegyszerűbb esetben a magas jogosultsági szintű fiók jogosultságai egyenértékűek a UNIX és Linux rendszerek root fiókjának jogosultságaival, míg a normál jogosultsági szintű fiók képességei a normál felhasználókéval egyeznek meg. Egyes UNIX- és Linux-verzióknál azonban, ha a jogosultságemelés a sudo segítségével történik, akkor pontosabban meghatározott jogosultságokat is lehet rendelni a fiókokhoz. Az ilyen hozzárendelések támogatása érdekében összefoglaltuk az alábbi táblázatban, hogy a három futtató profilhoz társított fiókoknak milyen jogosultságokkal kell rendelkezniük. A leírások részben általános jellegűek, hiszen a pontos értékek, például a fájlrendszerbeli elérési utak eltérők lehetnek a különböző UNIX- és Linux-verziók esetében.

System_CAPS_noteMegjegyzés

Az alábbi táblázat összefoglalja, hogy az egyes fiókoknak milyen jogosultságokkal kell rendelkezniük ahhoz, hogy kommunikálhassanak a felügyelt UNIX vagy Linux rendszerű számítógépen futó Operations Manager ügynökkel. Magának az ügynöknek mindig a UNIX vagy Linux rendszerű számítógép root fiókjának nevében kell futnia.

UNIX- és Linux-profil

Szükséges jogosultságok

Műveleti profil

  • Bejelentkezés a UNIX vagy Linux rendszerű számítógépre a hálózaton keresztül, Pluggable Authentication Module (PAM) alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség.

  • Egyéni naplófájlra alapuló figyelő létrehozása esetén jogosultság bármely normál jogosultsági szintű naplófájl olvasására, valamint jogosultság a /opt/microsoft/scx/bin/scxlogfilereader futtatására.

  • Parancssori figyelő, szabály vagy feladat létrehozása esetén jogosultság bármely normál jogosultsági szintűként megjelölt parancshéjbeli parancs teljes futtatására.

    Megjegyzés A UNIX és Linux felületparancsokat a rendszer a /tmp könyvtárba menti, végrehajtja, majd eltávolítja a /tmp könyvtárból. A /tmp könyvtár végrehajtási jogosultságokat igényel a UNIX és Linux felületparancsok használatához.

  • A /usr/bin/vmstat parancs futtatása a Run VMStat feladat számára.

Magas jogosultsági szintű profil

  • Bejelentkezés a UNIX vagy Linux rendszerű számítógépre a hálózaton keresztül, PAM-alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség. A sudo paranccsal jogosultságemelést végző fiók esetében ez a követelmény a fióknak a jogosultságemelés előtti jogosultságaira vonatkozik.

  • Parancssori figyelő, szabály vagy felderítés létrehozása esetén jogosultság bármely magas jogosultsági szintűként megjelölt parancshéjbeli parancs teljes futtatására.

    Megjegyzés A UNIX és Linux felületparancsokat a rendszer a /tmp könyvtárba menti, végrehajtja, majd eltávolítja a /tmp könyvtárból. A /tmp könyvtár végrehajtási jogosultságokat igényel a UNIX és Linux felületparancsok használatához.

  • A következő naplófájl-figyelési képességek:

    • A figyelni kívánt naplófájl olvasása.

      Alapesetben a naplófájlok (például a Syslog) tartalmát csak a root olvashatja. Az ehhez a profilhoz rendelt fiókoknak tudniuk kell olvasni ezeket a fájlokat. Ahelyett, hogy a fiókoknak teljes root jogosultságot adna, érdemes inkább a naplófájlokra vonatkozó engedélyeket módosítani: olvasási jogot adni egy biztonságos csoportnak, majd a csoport tagjává tenni a fiókot. Fontos, hogy ha a naplófájlt a rendszer időnként felülírja, akkor a naplófájl újrahasznosítását végző mechanizmusnak meg kell őriznie a csoport jogosultságait.

    • Egyéni naplófájlra alapuló figyelő létrehozása esetén jogosultság bármely magas jogosultsági szintű naplófájl olvasására.

    • Jogosultság a /opt/microsoft/scx/bin/scxlogfilereader futtatására.

  • Feladatok, helyreállítási és diagnosztikai műveletek futtatása. Ezeket a követelményeket csak akkor kell teljesíteni, ha az Operations Manager-kezelő futtatni szeretne ilyen műveleteket.

    • Számos helyreállítási műveletnek része valamilyen démonfolyamat leállítása és újraindítása. Az ilyen helyreállítási műveletek végrehajtásához, illetve a leállítások és az újraindítások elvégzéséhez szükség van a szolgáltatásvezérlési felület (pl. Linux esetében /etc/init.d, Solaris esetében svcadm) elérésére. A szolgáltatásvezérlési felület használatához általában szükség van a kill parancs, valamint további alapszintű UNIX- és Linux-parancsok futtatásának jogára – ezekkel a parancsokkal történik a démonfolyamatok vezérlése.

    • Az egyéb feladatok, helyreállítási és diagnosztikai műveletek végrehajtásához szükséges jogosultságok az adott feladattól vagy művelettől függenek.

Ügynök-karbantartási profil és az ügynök telepítésére használt fiókok.

  • Bejelentkezés a UNIX vagy Linux rendszerű számítógépre Secure Shell (SSH) hálózati protokollon keresztül, PAM-alapú hitelesítéssel. Jogosultnak kell lennie háttérben futó (TTY-kapcsolat nélküli) rendszerhéj futtatására. Interaktív bejelentkezésre nincs szükség. A sudo paranccsal jogosultságemelést végző fiók esetében ez a követelmény a fióknak a jogosultságemelés előtti jogosultságaira vonatkozik.

  • A rendszer csomagtelepítő programjának futtatása (Linux esetében pl. rpm), az Operations Manager-ügynök telepítése céljából.

  • A következő könyvtárak olvasása és írása, valamint a könyvtárak és alkönyvtáraik létrehozása, ha még nem léteznek:

    • /opt

    • /opt/microsoft

    • /opt/microsoft/scx

    • /etc/opt/microsoft/scx

    • /var/opt/microsoft/scx

  • A kill parancs futtatása a futó Operations Manager-ügynökfolyamatokra vonatkozóan.

  • Az Operations Manager-ügynök elindítása.

  • Rendszerdémon hozzáadása és eltávolítása, ideértve az Operations Manager-ügynököt is, az adott platformon rendelkezésre álló eszközökkel.

  • Alapszintű UNIX- és Linux-parancsok futtatása, pl. cat, ls, pwd, cp, mv, rm, gzip (illetve az ezekkel egyenértékű parancsok).