Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Funzionalità richieste per account UNIX e Linux

Matt Goedtel|Ultimo aggiornamento: 21/03/2017
|
1 Collaboratore

Si applica a: System Center 2016 - Operations Manager

L'accesso ai computer UNIX e Linux in System Center 2016 - Operations Manager usa tre profili RunAs. Un profilo è associato a un account senza privilegi, mentre gli altri due account sono associati a un account con privilegi o a un account senza privilegi che è stato elevato utilizzando sudo o su.

Nel caso più semplice, un account con privilegi ha funzionalità analoghe a un account radice UNIX e Linux, mentre un account senza privilegi ha funzionalità equivalenti a un account utente standard. Tuttavia, con alcune versioni computer di UNIX e Linux, e quando si utilizza sudo per l'elevazione privilegi, è possibile assegnare funzionalità più specifiche agli account. A supporto di queste assegnazioni specifiche, nella tabella seguente vengono elencate le funzionalità specifiche in base agli account che sono assegnati a ognuno dei tre profili RunAs. Queste descrizioni sono abbastanza generiche perché informazioni, quali percorsi esatti del file system, possono variare tra diverse versioni di computer UNIX e Linux.

Nota

La tabella seguente descrive le funzionalità account necessarie per comunicare con l'agente di Operations Manager in un computer gestito UNIX o Linux, ma è necessario che l'agente venga sempre eseguito nell'account radice nel computer UNIX o Linux.

Profilo UNIX e LinuxFunzionalità richieste
Profilo azione- Per collegare il computer UNIX o Linux alla rete con autenticazione modulare. Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari.
- Per leggere qualsiasi file di registro per cui non sono specificati privilegi quando è stato creato un monitoraggio file di registro personalizzato, più la capacità di eseguire /opt/microsoft/scx/bin/scxlogfilereader.
- Per eseguire completamente qualsiasi comando della shell dei comandi specificato senza privilegi al momento della creazione tramite riga di comando di monitoraggi, regole o attività.
- Per eseguire /usr/bin/vmstat per l'attività Run VMStat.
Profilo con privilegi- Per collegare il computer UNIX o Linux alla rete con autenticazione modulare. Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari. Nel caso di un account elevato utilizzando sudo, questo requisito viene applicato all'account prima che venga elevato. - Per eseguire completamente qualsiasi riga della shell dei comandi specificata senza privilegi al momento della creazione tramite riga di comando di monitoraggi, regole o individuazioni. - Per avere le funzionalità di monitoraggio del file di log seguenti:

- Per leggere il file di log da controllare.

Per impostazione predefinita, i file di registro, come ad esempio Syslog, sono in genere impostati per essere leggibili solo tramite radice e gli account assegnati a questo profilo devono essere in grado di leggere questi file. Anziché concedere agli account i privilegi radice completi, è possibile modificare le autorizzazioni del file di registro per garantire l'accesso in lettura a un gruppo protetto e agli account membro di quel gruppo. Notare che se il file di registro viene ruotato periodicamente, è necessario verificare che la procedura di rotazione mantenga le autorizzazioni del gruppo. - Per leggere qualsiasi file di log specificato con privilegi quando è stato creato un monitoraggio del file di log. - Per eseguire /opt/microsoft/sc/bin/scxlogfilereader. - Per eseguire attività, ripristino e diagnostica. È necessario soddisfare questi requisiti solo se l'operatore Operations Manager decide di eseguirli esplicitamente.

- Molte attività di ripristino includono l'interruzione e il riavvio di un processo daemon. Queste attività di ripristino richiedono la capacità di eseguire le interfacce di controllo del servizio (ad esempio, /et/init.d per Linux e svcadm per Solaris) per interromperlo e riavviarlo. Queste interfacce di controllo del servizio richiedono in genere la capacità di eseguire il comando kill nel processo daemon ed eseguire altri comandi di base UNIX e Linux. - I requisiti per altre attività, ripristini e diagnostica dipendono dai dettagli dell'operazione specifica.
Profilo di manutenzione dell'agente e per gli account utilizzati per installare gli agenti per il monitoraggio iniziale.- Per collegare il computer UNIX o Linux alla rete usando Secure Shell (SSH) con autenticazione modulare. Deve avere la possibilità di eseguire una shell in background (non connessa a un TTY). Gli accessi interattivi non sono necessari. Nel caso di un account elevato utilizzando sudo, questo requisito viene applicato all'account prima che venga elevato. - Per eseguire il programma di installazione del pacchetto del sistema, ad esempio rpm in Linux, per installare l'agente di Operations Manager. - Per leggere e scrivere le directory seguenti e crearle insieme alle sottodirectory se non sono presenti:

- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi - Per eseguire il comando kill nei processi agente di Operations Manager in esecuzione. - Per avviare la shell di Operations Manager. - Per aggiungere e rimuovere un daemon di sistema, incluso l'agente di Operations Manager, usando gli strumenti della piattaforma. - Per eseguire i comandi di base UNIX e Linux, ad esempio cat, ls, pwd, cp, mv, rm, gzip (o equivalenti).

Considerazioni importanti sulla sicurezza

L'agente Linux/UNIX di Operations Manager usa il meccanismo PAM (Pluggable Authentication Module) standard nel computer Linux o UNIX per autenticare il nome utente e la password specificati nel profilo di azione e nel profilo di privilegio. Qualsiasi nome utente con una password autenticata da PAM può eseguire funzioni di monitoraggio, compresa l'esecuzione di righe di comando e script che raccolgono i dati di monitoraggio. Tali funzioni di monitoraggio vengono sempre eseguite nel contesto di quel nome utente (a meno che l'elevazione sudo sia abilitata in modo esplicito per quel nome utente), in modo che l'agente di Operations Manager non controlli altre funzionalità a parte quelle richieste quando il nome utente deve accedere al sistema Linux/UNIX.

Tuttavia, l'autenticazione PAM usata dall'agente di Operations Manager non richiede che al nome utente sia associata una shell interattiva. Se le procedure di gestione dell'account Linux/UNIX includono la rimozione della shell interattiva come una pseudo-disabilitazione di un account, tale rimozione non impedisce l'uso dell'account per la connessione all'agente di Operations Manager e l'esecuzione di funzioni di monitoraggio. In questi casi è consigliabile usare una configurazione aggiuntiva di PAM per garantire che gli account pseudo-disabilitati non eseguano l'autenticazione per l'agente di Operations Manager.

Passaggi successivi

© 2017 Microsoft