Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Pianificazione delle credenziali di sicurezza per l'accesso a computer UNIX e Linux

Matt Goedtel|Ultimo aggiornamento: 21/03/2017
|
1 Collaboratore

Si applica a: System Center 2016 - Operations Manager

Questo argomento descrive le credenziali necessarie per installare, gestire, aggiornare e disinstallare gli agenti in un computer UNIX o Linux.

In Operations Manager il server di gestione usa due protocolli per comunicare con un computer UNIX o Linux:

  • SSH (Secure Shell) e SFTP (Secure Shell File Transfer Protocol)

    • Utilizzato per l'installazione, l'aggiornamento e la rimozione di agenti.
  • Web Services for Management (WS-Management)

    • Utilizzato per tutte le operazioni di monitoraggio e l'individuazione degli agenti già installati.

Il protocollo utilizzato dipende dall'operazione o dalle informazioni richieste sul server di gestione. Tutte le operazioni, quali la manutenzione degli agenti, i monitoraggi, le regole, le attività e i ripristini, sono configurate per utilizzare i profili predefiniti in base all'account richiesto, ossia con o senza privilegi.

In Operations Manager non è più necessario che l'amministratore di sistema fornisca la password radice del computer UNIX o Linux al server di gestione. Tramite il processo di elevazione, un account senza privilegi può ora assumere l'identità di un account con privilegi sul computer UNIX o Linux. Il processo di elevazione viene eseguito dall'account su (utente con privilegi avanzati) UNIX e dai programmi sudo che utilizzano le credenziali fornite dal server di gestione. Per le operazioni di manutenzione agente con privilegi in cui viene utilizzato SSH (quali l'individuazione, la distribuzione, gli aggiornamenti, la disinstallazione e il ripristino agente) viene fornito supporto per su, l'elevazione sudo e l'autenticazione tramite codice SSH (con o senza passphrase). Per le operazioni di WS-Management con privilegi, (ad esempio la visualizzazione dei file di registro protetti), viene aggiunto supporto per l'elevazione sudo (senza password).

Credenziali per l'installazione degli agenti

Operations Manager usa il protocollo SSH (Secure Shell) per installare un agente e Web Services for Management (WS-Management) per individuare agenti installati in precedenza. L'installazione richiede un account con privilegi sul computer UNIX o Linux. Sono disponibili due metodi per fornire le credenziali al computer di destinazione ottenute tramite Gestione guidata dispositivi e computer:

  • Specificare un nome utente e una password.

    Il protocollo SSH utilizza la password per installare un agente oppure, se un agente è già stato installato utilizzando un certificato firmato, viene utilizzato il protocollo WS-Management.

  • Specificare un nome utente e una chiave SSH. La chiave può includere una passphrase facoltativa.

Se non vengono utilizzate le credenziali di un account con privilegi, è possibile fornire ulteriori credenziali in modo da trasformare il proprio account in un account con privilegi tramite l'elevazione dei privilegi nel computer UNIX o Linux.

L'installazione non viene completata finché l'agente non viene verificato. La verifica dell'agente viene eseguita dal protocollo WS-Management utilizzando le credenziali mantenute nel server di gestione, distinte dall'account con privilegi utilizzato per installare l'agente. È necessario specificare un nome utente e una password per la verifica dell'agente se è stata eseguita una delle seguenti operazioni:

  • È stato fornito un account con privilegi utilizzando una chiave.

  • È stato fornito un account senza privilegi da elevare utilizzando sudo con una chiave.

  • È stata eseguita la procedura guidata con l'opzione Tipo di individuazione impostata su Individua solo i computer con l'agente UNIX/Linux installato.

In alternativa, è possibile installare manualmente l'agente, compreso il certificato, nel computer UNIX o Linux e quindi individuare il computer. Questo metodo è il modo più sicuro per l'installazione di agenti. Per altre informazioni, vedere Installazione dell'agente e del certificato in computer UNIX e Linux tramite la riga di comando.

Credenziali per le operazioni di monitoraggio e manutenzione degli agenti

Operations Manager contiene tre profili predefiniti per il monitoraggio di computer UNIX e Linux e la manutenzione degli agenti:

  • Account azione UNIX/Linux

    Si tratta di un profilo di account senza privilegi necessario per il monitoraggio delle prestazioni e dell'integrità di base.

  • Account con privilegi UNIX/Linux

    Si tratta di un profilo di account con privilegi utilizzato per il monitoraggio di risorse protette quali i file di registro.

  • Account di manutenzione UNIX/Linux

    Questo account viene utilizzato per le operazioni di manutenzione con privilegi quali l'aggiornamento e la rimozione di agenti.

Nei Management Pack per Unix/Linux, tutte le regole, i monitoraggi, le attività, i ripristini e gli altri elementi dei Management Pack sono configurati per l'utilizzo di questi profili. Non è necessario quindi definire profili aggiuntivi utilizzando Creazione guidata profili RunAs, a meno che particolari circostanze non lo richiedano. I profili non sono cumulativi nell'ambito. Ad esempio, il profilo dell'account di manutenzione UNIX/Linux non può essere utilizzato al posto di altri profili semplicemente perché è stato configurato con un account con privilegi.

In Operations Manager, un profilo non può funzionare fino a quando non è associato ad almeno un account RunAs. Le credenziali per l'accesso a computer UNIX o Linux vengono configurate negli account RunAs. Poiché non sono disponibili account RunAs predefiniti per il monitoraggio di UNIX e Linux, è necessario crearli.

Per creare un account RunAs è necessario eseguire la Creazione guidata account RunAs UNIX/Linux che è disponibile quando si seleziona Account UNIX/Linux nell'area di lavoro Amministrazione . La procedura guidata consente di creare un account RunAs in base alla scelta di un tipo di account RunAs. Esistono due tipi di account RunAs:

  • Account di monitoraggio

    Utilizzare questo account per il monitoraggio continuato delle prestazioni e dell'integrità nelle operazioni che comunicano utilizzando WS-Management.

  • Account di manutenzione agente

    Utilizzare questo account per le operazioni di manutenzione degli agenti quali l'aggiornamento e la disinstallazione nelle operazioni che comunicano utilizzando SSH.

I tipi di account RunAs possono essere configurati per diversi livelli di accesso in base alle credenziali fornite. Le credenziali possono essere utilizzate in account con o senza privilegi oppure in account senza privilegi che verranno elevati ad account con privilegi. Nella tabella che segue vengono illustrate le relazioni tra profili, account RunAs e livelli di accesso.

ProfiliTipo di account RunAsLivelli di accesso consentito
Account azione UNIX/LinuxAccount di monitoraggio- Senza privilegi
- Con privilegi
- Senza privilegi, elevato ad account con privilegi
Account con privilegi UNIX/LinuxAccount di monitoraggio- Con privilegi
- Senza privilegi, elevato ad account con privilegi
Account di manutenzione UNIX/LinuxAccount di manutenzione agente- Con privilegi
- Senza privilegi, elevato ad account con privilegi

Si noti che esistono tre profili, ma solo due tipi di account RunAs.

Quando si specifica un tipo di account RunAs di monitoraggio, è necessario specificare un nome utente e una password da utilizzare per il protocollo WS-Management. Quando si specifica un tipo di account RunAs di manutenzione agente, è necessario specificare in che modo le credenziali vengono fornite ai computer di destinazione utilizzando il protocollo SSH:

  • Specificare un nome utente e una password.

  • Specificare un nome utente e una chiave. È possibile includere una passphrase facoltativa.

Dopo aver creato gli account RunAs, è necessario modificare i profili UNIX e Linux per associarli agli account RunAs creati. Per istruzioni dettagliate, vedere How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Come configurare account e profili RunAs per l'accesso a UNIX e Linux).

Considerazioni importanti sulla sicurezza

L'agente Linux/UNIX di Operations Manager usa il meccanismo PAM (Pluggable Authentication Module) standard nel computer Linux o UNIX per autenticare il nome utente e la password specificati nel profilo di azione e nel profilo di privilegio. Qualsiasi nome utente con una password autenticata da PAM può eseguire funzioni di monitoraggio, compresa l'esecuzione di righe di comando e script che raccolgono i dati di monitoraggio. Tali funzioni di monitoraggio vengono sempre eseguite nel contesto di quel nome utente (a meno che l'elevazione sudo sia abilitata in modo esplicito per quel nome utente), in modo che l'agente di Operations Manager non controlli altre funzionalità a parte quelle richieste quando il nome utente deve accedere al sistema Linux/UNIX.

Tuttavia, l'autenticazione PAM usata dall'agente di Operations Manager non richiede che al nome utente sia associata una shell interattiva. Se le procedure di gestione dell'account Linux/UNIX includono la rimozione della shell interattiva come una pseudo-disabilitazione di un account, tale rimozione non impedisce l'uso dell'account per la connessione all'agente di Operations Manager e l'esecuzione di funzioni di monitoraggio. In questi casi è consigliabile usare una configurazione aggiuntiva di PAM per garantire che gli account pseudo-disabilitati non eseguano l'autenticazione per l'agente di Operations Manager.

Credenziali per l'aggiornamento e la disinstallazione degli agenti

Aggiornamento guidato dell'agente UNIX/Linux e Disinstallazione guidata dell'agente UNIX/Linux offrono le credenziali per i computer di destinazione. Nelle procedure guidate viene chiesto all'utente innanzitutto di selezionare i computer di destinazione da aggiornare o disinstallare e poi le opzioni per fornire le credenziali al computer di destinazione:

  • Usare account Run As associati ed esistenti

    Selezionare questa opzione per utilizzare le credenziali associate al profilo dell'account azione UNIX/Linux e al profilo dell'account di manutenzione UNIX/Linux.

    La procedura guidata avvisa l'utente se uno o più dei computer selezionati non hanno un account RunAs associato nei profili richiesti, nel qual caso è necessario tornare indietro e deselezionare tali computer oppure specificare le credenziali.

  • Specificare le credenziali

    Selezionare questa opzione per specificare le credenziali di Secure Shell (SSH) utilizzando un nome utente e una password oppure un nome utente e una chiave. Facoltativamente, è possibile fornire una passphrase con una chiave. Se le credenziali non appartengono a un account con privilegi, è possibile elevarle a un account con privilegi sui computer di destinazione utilizzando su UNIX oppure i programmi di elevazione sudo. Per l'elevazione 'su' è richiesta una password. Se si utilizza l'elevazione sudo, viene richiesto un nome utente e una password per la verifica dell'agente utilizzando un account senza privilegi.

© 2017 Microsoft