Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

UNIX 및 Linux 컴퓨터 액세스에 필요한 보안 자격 증명 계획

Matt Goedtel|마지막 업데이트: 2017-03-21
|
1 기고자

적용 대상: System Center 2016 - Operations Manager

이 항목에서는 UNIX 또는 Linux 컴퓨터에서 에이전트를 설치, 유지 관리, 업그레이드 및 제거하는 데 필요한 자격 증명에 대해 설명합니다.

Operations Manager에서 관리 서버는 다음과 같은 두 가지 프로토콜을 사용하여 UNIX 또는 Linux 컴퓨터와 통신합니다.

  • SSH(Secure Shell) 및 SFTP(Secure Shell File Transfer Protocol)

    • 에이전트 설치, 업그레이드 및 제거에 사용됩니다.
  • WS-Management(관리용 웹 서비스)

    • 모든 모니터링 작업에 사용되며, 이미 설치되어 있는 에이전트의 검색을 포함합니다.

관리 서버에서 요청되는 작업 또는 정보에 따라 사용되는 프로토콜입니다. 에이전트 유지 관리, 모니터, 규칙, 작업 및 복구와 같은 모든 작업은 권한 없는 계정 또는 특권 계정에 대한 요구 사항에 따라 미리 정의된 프로필을 사용하도록 구성됩니다.

Operations Manager에서, 관리 서버에 UNIX 또는 Linux 컴퓨터의 루트 암호를 제공하는 데 더 이상 시스템 관리자 권한이 필요하지 않습니다. 이제는 권한 상승을 통해 권한 없는 계정이 UNIX 또는 Linux 컴퓨터에서 특권 계정의 ID를 사용할 수 있습니다. 권한 상승 프로세스는 관리 서버가 제공하는 자격 증명을 사용하는 UNIX su(superuser) 및 sudo 프로그램을 통해 수행됩니다. SSH(예: 검색, 배포, 업그레이드, 제거 및 에이전트 복구)를 사용하는 특권 수준의 에이전트 유지 관리 작업, su 지원, sudo 권한 상승 및 SSH 키 지원을 위해 인증(암호가 있든 없든)이 제공됩니다. 특권 수준의 WS-Management 작업(예: 보안 로그 파일 보기)을 위해 sudo 권한 상승을 위한 지원(암호 없음)이 추가됩니다.

에이전트 설치에 사용되는 자격 증명

Operations Manager는 SSH(Secure Shell) 프로토콜을 사용하여 에이전트와 WS-Management(관리용 웹 서비스)를 설치하면서 이전에 설치된 에이전트를 검색합니다. 설치하려면 UNIX 또는 Linux 컴퓨터에 대한 특권 계정이 있어야 합니다. 컴퓨터 및 장치 관리 마법사를 통해 가져온 자격 증명을 대상 컴퓨터에 제공하는 방법은 다음과 같이 두 가지입니다.

  • 사용자 이름 및 암호를 지정합니다.

    SSH 프로토콜은 암호를 사용하여 에이전트를 설치하거나 에이전트가 이미 서명된 인증서로 설치되어 있는 경우 WS-Management 프로토콜을 사용합니다.

  • 사용자 이름 및 SSH 키를 지정합니다. 키에는 선택적으로 암호를 포함할 수 있습니다.

특권 수준의 계정에 대한 자격 증명을 사용하지 않는 경우 UNIX 또는 Linux 컴퓨터에 대한 권한 상승을 통해 계정이 특권 계정이 되도록 추가 자격 증명을 제공할 수 있습니다.

에이전트가 확인될 때까지 설치는 완료되지 않습니다. 에이전트 확인은 에이전트를 설치하는 데 사용되는 특권 계정과 별개로, 관리 서버에서 유지 관리되는 자격 증명을 사용하는 WS-Management 프로토콜을 통해 수행됩니다. 다음 중 하나를 수행한 경우 에이전트 확인을 위해 사용자 이름 및 암호를 제공해야 합니다.

  • 키를 사용하여 특권 계정을 제공했습니다.

  • 키와 sudo를 사용하여 권한을 상승할 특권 계정을 제공했습니다.

  • 검색 유형UNIX/Linux 에이전트가 설치된 컴퓨터만 검색으로 설정하고 마법사를 실행했습니다.

또는 UNIX나 Linux 컴퓨터에서 에이전트를 인증서와 함께 수동으로 설치한 후 해당 컴퓨터를 검색할 수 있습니다. 이 방법은 에이전트를 가장 안전하게 설치할 수 있는 방법입니다. 자세한 내용은 명령줄을 사용하여 UNIX 및 Linux 컴퓨터에 에이전트 및 인증서 설치를 참조하세요.

모니터링 작업 및 성능 에이전트 유지 관리를 위한 자격 증명

Operations Manager에는 UNIX 및 Linux 컴퓨터를 모니터링하고 에이전트 유지 관리를 수행하는 데 사용할 수 있는 미리 정의된 프로필이&3;개 포함되어 있습니다.

  • UNIX/Linux 작업 계정

    이 프로필은 기본 상태 및 성능 모니터링에 필요한 권한 없는 계정 프로필입니다.

  • UNIX/Linux 특권 계정

    이 프로필은 로그 파일과 같이 보호된 리소스를 모니터링하는 데 사용되는 특권 계정 프로필입니다.

  • UNIX/Linux 유지 관리 계정

    이 프로필은 에이전트 업데이트 및 제거 같은 특권 유지 관리 작업에 사용됩니다.

UNIX 및 Linux 관리 팩에서 모든 규칙, 모니터, 작업, 복구 및 기타 관리 팩 요소는 이러한 프로필을 사용하도록 구성됩니다. 결과적으로 특수한 상황에 따라 필요하지 않는 한 실행 계정 프로필 마법사를 사용하여 추가 프로필을 정의하지 않아도 됩니다. 프로필은 범위에서 누적되지 않습니다. 예를 들어 UNIX/Linux 유지 관리 계정 프로필은 특권 계정으로 구성되므로 이 프로필을 단순히 다른 프로필 대신 사용할 수 없습니다.

Operations Manager에서는 프로필이 하나 이상의 실행 계정에 연결되어 있어야만 작동할 수 있습니다. UNIX 또는 Linux 컴퓨터에 액세스하는 데 필요한 자격 증명은 실행 계정으로 구성됩니다. UNIX 및 Linux 모니터링의 경우 미리 정의된 실행 계정이 없으므로 이러한 계정을 만들어야 합니다.

실행 계정을 만들려면 관리 작업 영역에서 UNIX/Linux 실행 을 선택한 경우에만 UNIX/Linux 실행 계정 만들기 마법사 를 실행해야 합니다. 이 마법사는 선택된 실행 계정 유형에 따라 실행 계정을 만듭니다. 실행 계정 유형으로는 두 가지가 있습니다.

  • 모니터링 계정

    WS-Management를 사용하여 통신하는 작업에서 지속적인 상태 및 성능 모니터링에 이 계정을 사용합니다.

  • 에이전트 유지 관리 계정

    SSH를 사용하여 통신하는 작업에서 업데이트 및 제거와 같은 에이전트 유지 관리에 이 계정을 사용합니다.

이러한 실행 계정 유형은 사용자가 제공하는 자격 증명에 따라 서로 다른 액세스 수준으로 구성할 수 있습니다. 자격 증명은 권한 없는 계정 또는 특권 계정이거나 특권 계정으로 상승될 권한 없는 계정이 될 수 있습니다. 다음 표에서는 프로필, 실행 계정 및 액세스 수준 간의 관계를 보여 줍니다.

프로필실행 계정 유형허용 가능한 액세스 수준
UNIX/Linux 작업 계정모니터링 계정- 권한 없는 계정
- 특권 계정
- 특권 계정으로 상승되는 권한 없는 계정
UNIX/Linux 특권 계정모니터링 계정- 특권 계정
- 특권 계정으로 상승되는 권한 없는 계정
UNIX/Linux 유지 관리 계정에이전트 유지 관리 계정- 특권 계정
- 특권 계정으로 상승되는 권한 없는 계정

3가지 프로필이 있지만 실행 계정 유형은 두 개만 있습니다.

모니터링 실행 계정 유형을 지정하는 경우 WS-Management 프로토콜에 사용할 사용자 이름 및 암호를 지정해야 합니다. 에이전트 유지 관리 실행 계정 유형을 지정한 경우 SSH 프로토콜을 사용하여 대상 컴퓨터에 자격 증명을 제공하는 방법을 지정해야 합니다.

  • 사용자 이름 및 암호를 지정합니다.

  • 사용자 이름 및 키를 지정합니다. 키에는 선택적으로 암호화를 포함할 수 있습니다.

실행 계정을 만든 후 생성된 실행 계정과 연결되도록 UNIX 및 Linux 프로필을 편집해야 합니다. 자세한 지침은 UNIX 및 Linux의 실행 계정 및 프로필을 구성하는 방법을 참조하세요.

중요 보안 고려 사항

Operations Manager Linux/UNIX 에이전트는 Linux 또는 UNIX 컴퓨터에서 표준 PAM(플러그 가능 인증 모듈) 메커니즘을 사용하여 작업 프로필 및 특권 수준의 프로필에 지정된 사용자 이름과 암호를 인증합니다. PAM에서 인증하는 암호를 사용하는 모든 사용자 이름은 모니터링 데이터를 수집하는 스크립트 및 명령줄 실행 등의 모니터링 기능을 수행할 수 있습니다. 해당 사용자 이름에 대해 sudo 권한 상승이 명시적으로 사용되는 경우가 아니면 이러한 모니터링 기능은 항상 해당 사용자 이름의 컨텍스트에서 수행되므로 Operations Manager 에이전트는 사용자 이름이 Linux/UNIX 시스템에 로그인한 경우보다 더 많은 기능을 제공하지 않습니다.

그러나 Operations Manager 에이전트에서 사용하는 PAM 인증에는 사용자 이름이 대화형 셸과 연결되어 있을 필요가 없습니다. Linux/UNIX 계정을 관리할 때 계정을 의사(pseudo) 해제하는 방법으로 대화형 셸을 제거하는 작업이 포함되는 경우, 이렇게 제거한다고 해서 해당 계정을 Operations Manager 에이전트에 연결하고 모니터링 기능을 수행하는 데 사용하지 못하게 되는 것은 아닙니다. 이러한 경우 추가 PAM 구성을 사용하여 이러한 의사(pseudo) 해제된 계정이 Operations Manager 에이전트를 인증하지 않는지 확인해야 합니다.

에이전트 업그레이드 및 제거용 자격 증명

UNIX/Linux 에이전트 업그레이드 마법사UNIX/Linux 에이전트 제거 마법사 는 대상 컴퓨터에 자격 증명을 제공합니다. 마법사는 먼저 업그레이드 또는 제거할 대상 컴퓨터를 선택하라는 메시지를 표시한 후 대상 컴퓨터에 자격 증명을 제공하는 방법에 대한 옵션을 제공합니다.

  • 연결된 기존 실행 계정 사용

    UNIX/Linux 작업 계정 프로필 및 UNIX/Linux 유지 관리 계정 프로필에 연결된 자격 증명을 사용하려면 이 옵션을 선택합니다.

    선택한 컴퓨터 중 한 대 이상에서 필요한 프로필에 연결된 실행 계정을 포함하지 않은 경우 마법사에서 경고를 표시합니다. 이 경우, 돌아가서 연결된 실행 계정이 없는 해당 컴퓨터의 선택을 취소하거나 자격 증명을 지정해야 합니다.

  • 자격 증명 지정

    사용자 이름 및 암호나 사용자 이름 및 키를 사용하여 SSH(보안 셸) 자격 증명을 지정하려면 이 옵션을 선택합니다. 선택적으로 키와 암호를 제공할 수 있습니다. 자격 증명이 특권 계정용이 아닌 경우 UNIX su 또는 sudo 권한 상승 프로그램을 사용하여 대상 컴퓨터에서 특권 계정으로 권한을 상승시킬 수 있습니다. 'su' 권한 상승을 사용하려면 암호를 제공해야 합니다. sudo 권한 상승을 사용하는 경우 권한 없는 계정을 사용하여 에이전트 확인을 위한 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다.

© 2017 Microsoft