Table of contents
TOC
目次を折りたたむ
目次を展開する

UNIX および Linux アカウントに必要な機能

Matt Goedtel|最終更新日: 2017/03/21
|
1 投稿者

適用対象: System Center 2016 - Operations Manager

System Center 2016 - Operations Manager で UNIX および Linux コンピューターにアクセスするには、3 つの実行プロファイルが使用されます。 1 つのプロファイルは特権のないアカウントに関連付けられ、その他の&2; つのアカウントは特権付きアカウントに関連付けられるか、あるいは sudo または suを使用して昇格した特権のないアカウントに関連付けられています。

最もシンプルなケースでは、特権付きアカウントには UNIX および Linux ルート アカウントと同等の権限があり、特権のないアカウントには通常のユーザー アカウントと同等の権限があります。 ただし、UNIX および Linux の特定のコンピューター バージョンで、 sudo を使用して特権アカウントに昇格することで、より多くの特定の権限をアカウントに割り当て可能な場合があります。 このような特定の割り当てをサポートするために、次の表では&3; つの実行プロファイルそれぞれに割り当てられたアカウントに必要となる特定の機能の一覧を示します。 正確なファイル システム パスなどの情報は、UNIX および Linux コンピューターのバージョンごとに異なるため、ここでは比較的一般的な内容に触れます。

メモ

次の表は、管理された UNIX または Linux コンピューター上の Operations Manager エージェントと通信するためにアカウントに必要な権限を説明しますが、エージェント自体は UNIX または Linux コンピューターのルート アカウントのもとで常に実行されている必要があります。

UNIX と Linux のプロファイル必要な権限
アクション プロファイル- UNIX または Linux コンピューターを Pluggable Authentication Modules (PAM) により認証されたネットワークに記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。
- カスタム ログ ファイル モニターが作成されたときに、特権なしと指定されたログ ファイルを読み取るには、さらに /opt/microsoft/scx/bin/scxlogfilereader を実行する権限が必要です。
- コマンド ライン モニター、ルール、またはタスクが作成されたときに特権なしと指定されたコマンド シェル コマンドを完全に実行する権限。
- Run VMStat タスクの /usr/bin/vmstat を実行する権限。
権限のあるプロファイル- UNIX または Linux コンピューターを PAM により認証されたネットワークに記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。 sudoを使って昇格したアカウントの場合は、この要件は昇格前のアカウントに適用します。 - コマンド ライン モニター、ルール、または検出が作成されたときに特権ありと指定されたシェル コマンド ラインを完全に実行する権限。 - 次のログ ファイル監視権限が必要です。

- 監視されるログ ファイルを読み取る権限。

既定で、Syslog のようなログファイルの読み取りは通常はルートのみが可能に設定されているため、このプロファイルに割り当てられたアカウントはファイルの読み取りが可能である必要があります。 アカウントに完全なルート特権を与える代わりに、ログ ファイル権限を、読み取りアクセス権をセキュアなグループおよびそのグループのメンバーを形成するアカウントに与えるように変更できます。 ログ ファイルが定期的に交代する場合は、交代手順にグループの権限が維持されるように確認するように留意してください。 - カスタム ログ ファイル モニターが作成されたときに、特権ありと指定されたログ ファイルを読み取る権限。 - /opt/microsoft/sc/bin/scxlogfilereader を実行する権限。 - タスク、復元、および診断を実行する権限。 Operations Manager オペレーターが実行しようと明示的に判断したときにのみ、これらの要件を満たす必要があります。

- 多くの復元には、デーモン プロセスの停止および再開が含まれます。 これらの復元は、デーモン プロセスを停止および再開するために、サービス コントロール インターフェイス (Linux では /et/init.d 、Solaris では svcadm ) を実行する権限を必要とします。 このようなサービス コントロール インターフェイスは、一般的にデーモン プロセスに対して kill コマンドを実行し、その他の基本的な UNIX および Linux コマンドを実行する権限を必要とします。 - その他のタスク、復元、診断の要件は、特定の操作の詳細により異なります。
エージェント メンテナンス プロファイル、および最初の監視をインストールするエージェントに使用したアカウント- UNIX または Linux コンピューターを PAM により認証されたネットワークに SSH (Secure Shell) を使用して記録する権限。 バックグラウンド シェル (TTY に接続していない) を実行する権限が必要です。 対話型ログオンは不要です。 sudoを使って昇格したアカウントの場合は、この要件は昇格前のアカウントに適用します。 - Linux 上の rpm などのシステム パッケージ インストール プログラムを、Operations Manager エージェントをインストールするために実行する権限。 - 次のディレクトリの読み取りと書き込み、および、存在しない場合はディレクトリおよび下位のサブディレクトリを作成する権限。

- /opt - /opt/microsoft - /opt/microsoft/scx - /etc/opt/microsoft/scx - /var/opt/microsoft/scx - /opt/omi - /etc/opt/omi - /var/opt/omi - 実行中の Operations Manager エージェント プロセスに対して kill コマンドを実行する権限。 - Operations Manager エージェントを起動する権限。 - Operations Manager エージェントを含むシステム デーモンを、そのためのプラット フォーム ツールを使用して追加および削除する権限。 catlspwdcpmvrmgzip (または同等) などの、基本的な UNIX および Linux コマンドを実行する権限。

重要なセキュリティに関する考慮事項

Operations Manager LINUX/UNIX エージェントでは、Linux または UNIX のコンピューターで標準の PAM (プラグ可能な認証モジュール) メカニズムを使用して、アクション プロファイルと特権プロファイルで指定されたユーザー名とパスワードを認証します。 パスワードが PAM で認証されたユーザー名は、監視データを収集するコマンド ラインやスクリプトの実行などの監視機能を実行できます。 このような監視機能は、常にそのユーザー名のコンテキストで実行されるため (sudo による昇格がそのユーザー名で明示的に有効になっている場合を除く)、Operations Manager エージェントでは、そのユーザーが Linux または UNIX システムにログインした場合に使用できる機能を超える機能は提供されません。

ただし、Operations Manager エージェントによって使用される PAM 認証では、ユーザー名に対話型シェルが関連付けられている必要はありません。 Linux または UNIX アカウントの管理方法に、擬似的にアカウントを無効にする方法として、対話型シェルの削除が含まれている場合は、このような削除によって、Operations Manager エージェントへの接続や、監視機能の実行にアカウントが使用されることを防止できません。 このような場合、追加の PAM 構成を使用して、これら擬似的に無効になっているアカウントが Operations Manager エージェントで認証されないようにする必要があります。

次のステップ

© 2017 Microsoft