Delen via

  • Artikel

Vereiste mogelijkheden voor UNIX- en Linux-Accounts

 

Gepubliceerd: maart 2016

Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Voor toegang tot UNIX- en Linux-computers in System Center 2012 – Operations Manager worden drie Run As-profielen gebruikt. Eén profiel is gekoppeld aan een onbevoegd account terwijl de andere twee accounts zijn gekoppeld aan een bevoegd account of een onbevoegd account dat met sudo of su is uitgebreid.

In het meest eenvoudige geval heeft een bevoegd account de mogelijkheden die gelijk zijn aan die van een UNIX- en Linux-hoofdaccount, terwijl een onbevoegd account de mogelijkheden heeft die gelijk zijn aan die van een normaal gebruikersaccount. Bij een aantal computerversies van UNIX en Linux, en wanneer u sudo gebruikt voor uitbreiding van bevoegdheden, kunt u specifiekere mogelijkheden aan accounts toewijzen. Ter ondersteuning van dergelijke specifieke toewijzingen toont de volgende tabel de specifieke mogelijkheden die vereist zijn voor accounts die aan elk van de drie Run As-profielen zijn gekoppeld. Deze beschrijvingen zijn enigszins algemeen omdat gegevens, zoals de exacte bestandssysteempaden, tussen de verschillende UNIX- en Linux-computerversies kunnen variëren.

Notitie

De volgende tabel beschrijft de vereiste mogelijkheden voor accounts om met de Operations Manager-agent op een beheerde UNIX- of Linux-computer te communiceren. De agent zelf moet echter altijd worden uitgevoerd onder het hoofdaccount van de UNIX- of Linux-computer.

UNIX- en Linux-profiel

Vereiste mogelijkheden

Actieprofiel

  • Om de UNIX- of Linux-computer bij het netwerk aan te melden, waarbij de verificatie wordt uitgevoerd door de PAM (Pluggable Authentication Modules). Moet de mogelijkheid hebben om een achtergrondshell uit te voeren (geen verbinding met een TTY). Interactieve aanmeldingen zijn niet vereist.

  • Een logbestand lezen dat als onbevoegd is opgegeven toen een aangepaste logbestandsmonitor werd gemaakt, plus de mogelijkheid om /opt/microsoft/scx/bin/scxlogfilereader uit te voeren.

  • Om volledig elke opdrachtshellopdracht uit te voeren die als onbevoegd is opgegeven toen een opdrachtregelmonitor, -regel of -taak werd gemaakt.

    Opmerking Shell-opdrachten voor UNIX en Linux worden opgeslagen in de map /tmp, uitgevoerd en vervolgens verwijderd uit de map /tmp. Voor de map /tmp zijn bevoegdheden voor uitvoeren vereist om de UNIX- en Linux shell-opdrachten te gebruiken.

  • /usr/bin/vmstat uitvoeren voor de taak Run VMStat.

Bevoegd profiel

  • Om de UNIX- of Linux-computer bij het het netwerk aan te melden, waarbij de verificatie wordt uitgevoerd door de PAM (Pluggable Authentication Modules). Moet de mogelijkheid hebben om een achtergrondshell uit te voeren (geen verbinding met een TTY). Interactieve aanmeldingen zijn niet vereist. Bij een account dat met sudo is uitgebreid, is deze vereiste van toepassing op het account voordat dit werd uitgebreid.

  • Om volledig elke shellopdrachtregel uit te voeren die als bevoegd is opgegeven toen een opdrachtregelmonitor, -regel of -taak werd gemaakt.

    Opmerking Shell-opdrachten voor UNIX en Linux worden opgeslagen in de map /tmp, uitgevoerd en vervolgens verwijderd uit de map /tmp. Voor de map /tmp zijn bevoegdheden voor uitvoeren vereist om de UNIX- en Linux shell-opdrachten te gebruiken.

  • Om de volgende mogelijkheden voor logboekbestandbewaking te hebben:

    • Om het logboekbestand te lezen dat moet worden bewaakt.

      Logboekbestanden zoals Syslog hebben meestal de instelling dat ze alleen te lezen zijn door de hoofdmap en accounts die aan dit profiel zijn gekoppeld, moeten in staat zijn om deze bestanden te lezen. In plaats van accounts volledige bevoegdheden om de hoofdmap te lezen te geven, kunnen de bevoegdheden voor het logboekbestand zo worden gewijzigd dat leestoegang wordt verleend aan een beveiligde groep en accounts lid worden gemaakt van deze groep. Als het logboekbestand periodiek wordt geroteerd, moet u ervoor zorgen dat de bevoegdheden van de groep door de rotatieprocedure worden onderhouden.

    • Om een logboekbestand te lezen dat is opgegeven als bevoegd toen een aangepaste logboekbestandmonitor werd gemaakt.

    • Om /opt/microsoft/scx/bin/scxlogfilereader uit te voeren.

  • Om taken, herstelbewerkingen en diagnostische procedures uit te voeren. Aan deze vereisten hoeft alleen te worden voldaan als de Operations Manager-operator expliciet besluit om deze taken, herstelbewerkingen en diagnostische procedures uit te voeren.

    • Het stoppen en opnieuw starten van een daemon-proces maakt deel uit van veel herstelbewerkingen. Deze herstelbewerkingen moeten de mogelijkheid hebben om de servicebeheerinterfaces (zoals /etc/init.d voor Linux en svcadm voor Solaris) uit te voeren zodat daemon-processen kunnen worden gestopt en opnieuw kunnen worden gestart. Bij dergelijke servicebeheerinterfaces is doorgaans de mogelijkheid vereist om de opdracht kill uit te kunnen voeren met betrekking tot het daemon-proces en om andere UNIX- en Linux-basisopdrachten uit te kunnen voeren.

    • De vereisten voor andere taken, herstelbewerkingen en diagnostische procedures zijn afhankelijk van de details van de desbetreffende actie.

Agentonderhoudsprofiel en voor accounts die worden gebruikt om agents te installeren voor initiële bewaking.

  • Om de UNIX- of Linux-computer bij het netwerk aan te melden met behulp van SSH (Secure Shell), waarbij de verificatie wordt uitgevoerd door de PAM (Pluggable Authentication Modules). Moet de mogelijkheid hebben om een achtergrondshell uit te voeren (geen verbinding met een TTY). Interactieve aanmeldingen zijn niet vereist. Bij een account dat met sudo is uitgebreid, is deze vereiste van toepassing op het account voordat dit werd uitgebreid.

  • Om het installatieprogramma van het systeempakket, rpm op Linux, uit te voeren om de Operations Manager-agent te installeren.

  • Om de volgende mappen te lezen en hiernaar te schrijven en om deze mappen en eventuele onderliggende submappen te maken als deze niet bestaan:

    • /opt

    • /opt/microsoft

    • /opt/microsoft/scx

    • /etc/opt/microsoft/scx

    • /var/opt/microsoft/scx

  • Om de opdracht kill uit te voeren met betrekking op de Operations Manager-agentprocessen die worden uitgevoerd.

  • Om de Operations Manager-agent te starten.

  • Om een systeem-daemon toe te voegen en te verwijderen, inclusief de Operations Manager-agent, met behulp van platformhulpprogramma's.

  • Om UNIX- en Linux-basisopdrachten, zoals cat, ls, pwd, cp, mv, rm en gzip (of gelijksoortige opdrachten) uit te voeren.