Table of contents
TOC
目次を折りたたむ
目次を展開する

UNIX および Linux コンピューターにアクセスするためのセキュリティ資格情報の計画

Matt Goedtel|最終更新日: 2017/03/21
|
1 投稿者

適用対象: System Center 2016 - Operations Manager

このトピックでは、UNIX コンピューターまたは Linux コンピューターに対してエージェントのインストール、維持、アップグレード、アンインストールを行うために必要な資格情報について説明します。

Operations Manager では、管理サーバーは次の&2; つのプロトコルを使用して UNIX または Linux コンピューターと通信します。

  • Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)

    • エージェントのインストール、更新、および削除に使用します。
  • Web Services for Management (WS-Management)

    • すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。

使用されるプロトコルは、管理サーバーで求められる操作または情報によって決まります。 エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。

Operations Manager では、システム管理者が UNIX または Linux コンピューターのルート パスワードを管理サーバーに入力する必要がなくなりました。 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。 SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。

エージェントをインストールするための資格情報

Operations Manager では、エージェントをインストールするのに Secure Shell (SSH) プロトコルを使用し、以前にインストール済みのエージェントを検出するのに Web Services for Management (WS-Management) を使用します。 インストールには、UNIX または Linux コンピューター上で特権を付与されたアカウントが必要です。 ターゲット コンピューターに資格情報を提供するには、コンピューターとデバイスの管理ウィザードで利用可能な、次の&2; とおりの方法があります。 ****

  • ユーザー名とパスワードを指定する。

    SSH プロトコルでは、エージェントをインストールするためにパスワードを使用するか、または署名付き証明書を使用してエージェントが既にインストールされていた場合には WS-Management プロトコルを使用します。

  • ユーザー名と SSH キーを指定します。 このキーには、オプションのパスフレーズを含めることができます。

特権アカウントの資格情報を使用していない場合、付加的な資格情報を提供することによって UNIX または Linux コンピューター上で特権昇格によりアカウントを特権アカウントにすることができます。

エージェントが検証されるまで、インストールは完了しません。 WS-Management プロトコルにより、エージェント検証が実行されます。その際には、エージェントのインストールに使用される特権アカウントとは別個に管理サーバー上で維持されている資格情報が使用されます。 次のいずれかに該当する場合は、エージェントの検証のためにユーザー名とパスワードを指定する必要があります。

  • キーを使用して特権付きアカウントを指定した。

  • キーを指定した sudo を使用することにより、昇格の対象として特権を付与されていないアカウントを指定した。

  • [検出の種類][UNIX/Linux エージェントがインストールされているコンピューターのみ]に設定された状態でウィザードを実行した。

別の方法として、エージェントとその証明書を、UNIX または Linux コンピューター上に手動でインストールした後、そのコンピューターを検出することも可能です。 これが、セキュリティ上最も安全なエージェントのインストール方法です。 詳細については、「Install Agent and Certificate on UNIX and Linux Computers Using the Command Line」 (コマンド ラインを使用して UNIX および Linux コンピューターにエージェントと証明書をインストールする) をご覧ください。

オペレーションの監視とエージェントのメンテナンスの実行のための資格情報

Operations Manager には、UNIX および Linux コンピューターの監視およびエージェントのメンテナンスを行うために使用できる、次の&3; つの定義済みプロファイルが含まれています。

  • UNIX/Linux アクション アカウント

    これは、基本ヘルスとパフォーマンスの監視に必要な、特権のないアカウント プロファイルです。

  • UNIX/Linux 特権を持つアカウント

    これは、ログ ファイルなどの保護されているリソースの監視に使用される特権付きのアカウント プロファイルです。

  • UNIX/Linux メンテナンス アカウント

    このプロファイルは、エージェントの更新や削除など、特権付きのメンテナンス操作に使用します。

UNIX および Linux 管理パックにおいて、ルール、モニター、タスク、復元、および管理パックのその他の要素は、すべてこれらのプロファイルを使用するように構成されています。 そのため、特別な状況下で必要とされない限り、実行プロファイル ウィザードを使用して追加のプロファイルを定義する必要はありません。 プロファイルは、スコープ内では累積されません。 たとえば、特権付きのアカウントを使用することによって構成されているとしても、UNIX/Linux メンテナンス アカウントのプロファイルを他のプロファイルの代わりに使用することはできません。

Operations Manager では、少なくとも&1; つの実行アカウントに関連付けられるまで、プロファイルは機能できません。 UNIX または Linux コンピューターにアクセスするための資格情報は、実行アカウントの中で構成されます。 UNIX および Linux の監視のための事前定義済み実行アカウントは存在しないため、それらを作成する必要があります。

実行アカウントを作成するには、 [管理] ワークスペースで [UNIX/Linux アカウント] を選択すると使用可能になる UNIX/Linux 実行アカウント ウィザード を実行する必要があります。 このウィザードにより、選択した実行アカウントの種類を基に実行アカウントが作成されます。 実行アカウントには、次の&2; 種類があります。

  • 監視アカウント

    このアカウントは、WS-Management を使用することにより通信を実行する操作において、進行中の正常性とパフォーマンス監視のために使用します。

  • エージェント メンテナンス アカウント

    このアカウントは、SSH を使用することによって通信を実行する操作において、更新やアンインストールなどのエージェント メンテナンスのために使用します。

これらの実行アカウントの種類は、提供する資格情報ごとに異なるアクセス レベルで構成できます。 資格情報には、特権のないアカウント、特権付きアカウント、あるいは、特権付きアカウントに昇格される特権のないアカウントを使用できます。 次の表に、プロファイル、実行アカウント、およびアクセス レベル間のリレーションシップを示します。

プロファイル実行アカウントの種類許可されるアクセス レベル
UNIX/Linux アクション アカウント監視アカウント- 特権なし
- 特権付き
- 特権付きに昇格される特権なし
UNIX/Linux 特権を持つアカウント監視アカウント- 特権付き
- 特権付きに昇格される特権なし
UNIX/Linux メンテナンス アカウントエージェント メンテナンス アカウント- 特権付き
- 特権付きに昇格される特権なし

プロファイルは&3; 種類ありますが、実行アカウントはそのうち&2; 種類だけであることに注意してください。

監視実行アカウントのタイプを指定した場合、WS-Management プロトコルで使用するユーザー名とパスワードを指定する必要があります。 エージェント メンテナンス実行アカウントのタイプを指定する場合、SSH プロトコルを使用することによって対象コンピューターに資格情報を提供するための方法を指定する必要があります。

  • ユーザー名とパスワードを指定する。

  • ユーザー名とキーを指定する。 オプションのパスフレーズを含めることができます。

実行アカウントを作成した後、UNIX および Linux プロファイルを編集し、それらを、作成した実行アカウントに関連付ける必要があります。 詳しい手順については、「How to Configure Run As Accounts and Profiles for UNIX and Linux Access」 (UNIX および Linux アクセス用に実行アカウントとプロファイルを構成する方法) をご覧ください。

重要なセキュリティに関する考慮事項

Operations Manager LINUX/UNIX エージェントでは、Linux または UNIX のコンピューターで標準の PAM (プラグ可能な認証モジュール) メカニズムを使用して、アクション プロファイルと特権プロファイルで指定されたユーザー名とパスワードを認証します。 パスワードが PAM で認証されたユーザー名は、監視データを収集するコマンド ラインやスクリプトの実行などの監視機能を実行できます。 このような監視機能は、常にそのユーザー名のコンテキストで実行されるため (sudo による昇格がそのユーザー名で明示的に有効になっている場合を除く)、Operations Manager エージェントでは、そのユーザーが Linux または UNIX システムにログインした場合に使用できる機能を超える機能は提供されません。

ただし、Operations Manager エージェントによって使用される PAM 認証では、ユーザー名に対話型シェルが関連付けられている必要はありません。 Linux または UNIX アカウントの管理方法に、擬似的にアカウントを無効にする方法として、対話型シェルの削除が含まれている場合は、このような削除によって、Operations Manager エージェントへの接続や、監視機能の実行にアカウントが使用されることを防止できません。 このような場合、追加の PAM 構成を使用して、これら擬似的に無効になっているアカウントが Operations Manager エージェントで認証されないようにする必要があります。

エージェントをアップグレードおよびアンインストールするための資格情報

UNIX/Linux エージェントのアップグレード ウィザードUNIX/Linux エージェントのアンインストール ウィザード により、ターゲット コンピューターに資格情報が提供されます。 まずウィザードで、アップグレードまたはアンインストールのターゲットとなるコンピューターの選択を求めるプロンプトを表示され、次に、ターゲット コンピューターに資格情報を提供する方法のオプションが示されます。

  • 関連付けられている既存の実行アカウントを使用する

    このオプションは、UNIX/Linux アクション アカウント プロファイルおよび UNIX/Linux メンテナンス アカウント プロファイルに関連付けられた資格情報を使用する場合に選択します。

    選択された&1; つ以上のコンピューターの必要なプロファイル内に関連付けられている実行アカウントがない場合は、ウィザードがアラートを生成します。その場合は、前の手順に戻って関連付けられた実行アカウントのないコンピューターの選択を解除するか、資格情報を指定する必要があります。

  • 資格情報の指定

    このオプションは、ユーザー名とパスワードまたはユーザー名とキーを使用することによって Secure Shell (SSH) の資格情報を指定する場合に選択します。 必要に応じて、パスフレーズをキーと共に指定できます。 特権付きアカウントのための資格情報がない場合は、UNIX の su または sudo 昇格プログラムを使用することによって、対象コンピューターで特権付きアカウントに昇格することができます。 su 昇格では、パスワードが必要です。 sudo による昇格を使用する場合は、特権のないアカウントを使用することによってエージェント検証を実行するためのユーザー名とパスワードを入力するよう求めるプロンプトが出されます。

© 2017 Microsoft