Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Beveiligingsreferenties plannen voor toegang tot UNIX- en Linux-computers

Matt Goedtel|Laatst bijgewerkt: 21-3-2017
|
1 Inzender

Van toepassing op: System Center 2016 - Operations Manager

Dit onderwerp beschrijft de vereiste referenties voor het installeren, onderhouden, bijwerken en verwijderen van agents op een UNIX- of Linux-computer.

In Operations Manager gebruikt de beheerserver twee protocollen om met de UNIX- of Linux-computer te communiceren:

  • Secure Shell (SSH) en Secure Shell File Transfer Protocol (SFTP)

    • Gebruikt voor het installeren, upgraden en verwijderen van agents.
  • Webservicebeheer (WS-Management)

    • Gebruikt voor alle bewakingsbewerkingen, inclusief de detectie van reeds geïnstalleerde agents.

Welk protocol wordt gebruikt, hangt af van de actie of gegevens waarom op de beheerserver wordt gevraagd. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, worden geconfigureerd om voorgedefinieerde profielen te gebruiken overeenkomstig hun behoefte aan een niet-beschermd of beschermd account.

In Operations Manager hoeft de systeembeheerder niet langer het hoofdwachtwoord van de UNIX- of Linux-computer op te geven aan de beheerserver. Nu kan door uitbreiding van bevoegdheden een niet-beschermd account de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het proces van uitbreiding van bevoegdheden wordt uitgevoerd door de UNIX-programma's su (superuser) en sudo, die gebruikmaken van de referenties die worden geleverd door de beheerserver. Voor beschermde agentonderhoudsbewerkingen die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, installatie ongedaan maken en agentherstel), wordt ondersteuning van su, sudo-uitbreiding en ondersteuning voor SSH-sleutelverificatie geboden. Voor beschermde WS-Management-bewerkingen (zoals het bekijken van beveiligde logbestanden), wordt ondersteuning toegevoegd voor sudo-uitbreiding (zonder wachtwoord).

Referenties voor de installatie van agents

Operations Manager gebruikt het SSH-protocol (Secure Shell) om een agent te installeren en WS-Management (Web Services for Management) om agents die in een eerder stadium zijn geïnstalleerd, te detecteren. Voor de installatie is een bevoegd account op de UNIX- of Linux-computer vereist. Er zijn twee manieren om referenties aan de doelcomputer door te geven, die zijn verkregen met de wizard Computer- en apparaatbeheer:

  • Geef een gebruikersnaam en wachtwoord op.

    Het SSH-protocol gebruikt het wachtwoord om een agent of het protocol WS-Management te installeren als de agent al is geïnstalleerd door gebruik te maken van een getekend certificaat.

  • Geef een gebruikersnaam en een SSH-sleutel op. De sleutel kan een optionele wachtwoordzin bevatten.

Als u de referenties niet voor een bevoegd account gebruikt, kunt u aanvullende referenties opgeven zodat uw account een bevoegd account wordt door uitbreiding van de bevoegdheden op de UNIX- of Linux-computer.

De installatie wordt pas voltooid nadat de agent is geverifieerd. Agentverificatie wordt uitgevoerd door het protocol WS-Management dat referenties gebruikt die op de beheerserver worden onderhouden, los van het bevoegde account dat wordt gebruikt om de agent te installeren. U moet een gebruikersnaam en wachtwoord voor agentverificatie opgeven als u een van de volgende handelingen hebt verricht:

  • U hebt een bevoegd account opgegeven met behulp van een sleutel.

  • U hebt een onbevoegd account opgegeven dat moet worden uitgebreid met een sudo-uitbreiding met een sleutel.

  • U hebt de wizard uitgevoerd met Alleen computers waarop de UNIX-/Linux-agent is geïnstalleerd als Detectietype.

U kunt de agent, inclusief het bijbehorende certificaat, ook handmatig op de UNIX- of Linux-computer installeren en vervolgens de betreffende computer detecteren. Dit is de veiligste manier om agents te installeren. Zie Agent en certificaat op UNIX- en Linux-computers installeren met de opdrachtregel voor meer informatie.

Referenties voor het bewaken van bewerkingen en het uitvoeren van agentonderhoud

Operations Manager bevat drie voorgedefinieerde profielen die moeten worden gebruikt voor het bewaken van UNIX- en Linux-computers en het uitvoeren van agentonderhoud:

  • Actieaccount voor UNIX/Linux

    Dit profiel is een niet-bevoegd accountprofiel dat voor basisstatus en -prestaties vereist is.

  • Bevoegd account voor UNIX/Linux

    Dit profiel is een bevoegd accountprofiel dat wordt gebruikt om beveiligde bronnen zoals logboekbestanden te bewaken

  • Onderhoudsaccount voor UNIX/Linux

    Dit profiel wordt gebruikt voor bevoegde onderhoudsbewerkingen, zoals het bijwerken en verwijderen van agents.

In de management packs voor UNIX en Linux worden alle regels, monitors, taken, herstelbewerkingen en andere elementen van management packs zo geconfigureerd dat deze profielen worden gebruikt. U hoeft daarom geen extra profielen met de wizard Run As-profielen te maken tenzij er speciale omstandigheden gelden. De profielen zijn niet cumulatief binnen het bereik. Zo kunt u niet het profiel Onderhoudsaccount voor UNIX/Linux in plaats van de andere profielen gebruiken alleen omdat dit profiel is geconfigureerd met een bevoegd account.

Een profiel in Operations Manager werkt alleen als het profiel is gekoppeld aan ten minste één Run As-account. De referenties voor de toegang tot UNIX- of Linux-computers worden geconfigureerd in de Run As-accounts. Omdat er geen voorgedefinieerde Run As-accounts voor UNIX- en Linux-bewaking zijn, moet u ze zelf maken.

Als u een Uitvoeren als-account wilt maken, moet u de wizard Uitvoeren als-account voor UNIX/Linux uitvoeren die beschikbaar is wanneer u UNIX-/Linux-accounts in de werkruimte Beheer selecteert. De wizard maakt een Run As-account op basis van de selectie van een Run As-accounttype. Er zijn twee Run As-accounttypen:

  • Bewakingsaccount

    Dit account gebruikt u voor voortdurende status- en prestatiebewaking in bewerkingen waarbij met behulp van WS-Management wordt gecommuniceerd.

  • Agentonderhoudsaccount

    Dit account gebruikt u voor agentonderhoud zoals het updaten en het ongedaan maken van de installatie van de agent in bewerkingen waarbij met SSH wordt gecommuniceerd.

U kunt Run As-accounttypen voor verschillende toegangsniveaus configureren op basis van de referenties die u opgeeft. Referenties kunnen niet-bevoegde of bevoegde accounts zijn, of niet-bevoegde accounts die naar bevoegde accounts worden uitgebreid. In de volgende tabellen ziet u de relaties tussen profielen, Run As-accounts en toegangsniveaus.

ProfielenRun As-accounttypeToegestane toegangsniveaus
Actieaccount voor UNIX/LinuxBewakingsaccount- Niet-gemachtigd
- Gemachtigd
- Niet-gemachtigd, uitgebreid naar gemachtigd
Bevoegd account voor UNIX/LinuxBewakingsaccount- Gemachtigd
- Niet-gemachtigd, uitgebreid naar gemachtigd
Onderhoudsaccount voor UNIX/LinuxAgentonderhoudsaccount- Gemachtigd
- Niet-gemachtigd, uitgebreid naar gemachtigd

Zoals u ziet zijn er drie profielen, maar slechts twee Run As-accounttypen.

Wanneer u een Run As-accounttype Bewakingsaccount opgeeft, moet u een gebruikersnaam en wachtwoord opgeven die door het protocol WS-Management worden gebruikt. Wanneer u een Run As-accounttype Agentonderhoudsaccount opgeeft, moet u opgeven hoe de referenties aan de doelcomputer worden doorgegeven met gebruikmaking van het SSH-protocol:

  • Geef een gebruikersnaam en wachtwoord op.

  • Geef een gebruikersnaam en sleutel op. U kunt een optionele wachtwoordzin opnemen.

Nadat u de Run As-accounts hebt gemaakt, moet u de UNIX- en Linux-profielen bewerken om deze te koppelen aan de Run As-accounts die u hebt gemaakt. Zie Uitvoeren als-accounts en -profielen maken voor UNIX- en Linux-toegang voor gedetailleerde instructies.

Belangrijke beveiligingsoverwegingen

De Linux-/UNIX-agent van Operations Manager maakt gebruik van het standaard PAM-mechanisme (Pluggable Authentication Module) op de Linux- of UNIX-computer om de gebruikersnaam en het wachtwoord in het Action Profile en Privilege Profile te verifiëren. Elke gebruikersnaam met een wachtwoord dat door PAM wordt geverifieerd, kan bewakingsfuncties uitvoeren, zoals het uitvoeren van opdrachtregels en scripts voor het verzamelen van gegevens. Dergelijke bewakingsfuncties worden altijd uitgevoerd in de context van die gebruikersnaam, tenzij sudo-uitbreiding expliciet is ingeschakeld voor die gebruikersnaam. Hierdoor biedt de Operations Management-agent niet meer mogelijkheden dan wanneer de gebruikersnaam zou worden aangemeld bij het Linux-/UNIX-systeem.

Voor de PAM-verificatie van de Operations Management-agent hoeft de gebruikersnaam niet te zijn gekoppeld aan een interactieve shell. Als u in het kader van de beheeractiviteiten voor uw Linux-/UNIX-accounts de interactieve shell verwijdert om een account ogenschijnlijk uit te schakelen, voorkomt dit niet dat het account kan worden gebruikt om verbinding te maken met de Operations Manager-agent en bewakingsfuncties uit te voeren. In die gevallen moet u een aanvullende PAM-configuratie gebruiken om ervoor te zorgen dat de ogenschijnlijk uitgeschakelde accounts niet kunnen worden geverifieerd voor verbinding met de Operations Manager-agent.

Referenties voor het upgraden van agents en het ongedaan maken van de installatie van agents

De wizard Upgrade uitvoeren van UNIX/Linux-agent en de wizard UNIX/Linux-agent verwijderen geven referenties aan de bijbehorende doelcomputers door. De wizards vragen u eerst om de doelcomputers te selecteren die u wilt upgraden of verwijderen en vervolgens voorzien ze in opties voor het doorgeven van referenties aan de doelcomputer:

  • Werken met bestaande gekoppelde Uitvoeren als-accounts

    Selecteer deze optie als u de referenties wilt gebruiken die aan het profiel voor het actie-account voor UNIX/Linux en aan het profiel voor het agentonderhoudsaccount voor UNIX/Linux zijn gekoppeld.

    De wizard waarschuwt u als een of meerdere van de geselecteerde computers geen gekoppeld Uitvoeren als-account in de vereiste profielen hebben. In dat geval moet u teruggaan en de computers wissen waaraan geen Uitvoeren als-account is gekoppeld of referenties opgeven.

  • Referenties opgeven

    Selecteer deze optie als u SSH-referenties (Secure Shell) wilt opgeven met een gebruikersnaam en een wachtwoord of een gebruikersnaam en een sleutel. U kunt desgewenst een wachtwoordzin met een sleutel opgeven. Als de referenties niet voor een bevoegd account zijn, kunt u deze naar een bevoegd account op de doelcomputer uitbreiden met behulp van de sudo-uitbreiding voor UNIX of sudo-uitbreidingsprogramma's. Voor de 'su'-uitbreiding is een wachtwoord vereist. Als u sudo-uitbreiding gebruikt, moet u een gebruikersnaam en wachtwoord voor agentverificatie opgeven met een niet-bevoegd account.

© 2017 Microsoft