本文件已封存並已停止維護。

UNIX 和 Linux 作業系統的驗證與資料加密

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

透過 Operations Manager 2007 R2,您可以將代理程式部署至安裝 UNIX 或 Linux 的電腦。在這種環境中,您無法使用 Kerberos 驗證。因此,管理伺服器和安裝 UNIX 或 Linux 的電腦之間會使用憑證。在這種情況下,憑證是由管理伺服器自行簽署 (雖然您可以使用協力廠商憑證,但這種憑證並非必要項目)。

部署代理程式的方法有兩種。您可以使用探索精靈,也可以手動安裝代理程式。在這兩種方法中,手動安裝代理程式是比較安全的選擇。使用探索精靈將代理程式推入安裝 UNIX 或 Linux 的電腦時,表示您信任部署目標電腦確實是您想使用的電腦。使用探索精靈部署代理程式時,如果您是部署到公用網路或 DMZ 電腦,必須承擔較大的風險。在安全性指南的這個章節中,我們將討論如何手動將代理程式部署到安裝 UNIX 或 Linux 的電腦。

當您使用探索精靈來部署代理程式時,探索精靈會執行下列功能:

 

部署

探索精靈會將代理程式套件複製到安裝 UNIX 或 Linux 的電腦,然後再開始進行安裝程序。

憑證簽署

Operations Manager 會從代理程式擷取憑證、簽署憑證、將憑證重新部署到代理程式,然後重新啟動代理程式。

探索

探索精靈會探索電腦,並測試憑證是否有效。如果探索精靈確認可以探索電腦,而憑證也有效,探索精靈會將新探索到的電腦新增到 Operations Manager 資料庫。

手動部署代理程式時,您會執行通常由探索精靈處理的前兩個步驟,也就是部署和憑證簽署。接著,您會使用探索精靈將電腦新增到 Operations Manager 資料庫。

如果系統上有現有的憑證,安裝代理程式時會重複使用這些憑證,不會建立新的憑證。在您解除安裝代理程式時,不會自動刪除憑證。您必須手動刪除 /etc/opt/microsoft/scx/ssl 資料夾中列出的憑證。若要在安裝時重新產生憑證,您必須在安裝代理程式之前移除這個資料夾。

本指南的附錄 B - UNIX 與 Linux 代理程式的雜湊值清單中提供代理程式二進位檔的雜湊值。

如需如何手動部署代理程式的相關指示,請參閱 Operations Manager 2007 R2 Operations Guide (Operations Manager 2007 R2 操作指南) 中的<Manually Installing Cross-platform Agents>(手動安裝跨平台代理程式) 主題 (http://go.microsoft.com/fwlink/?LinkID=146211),然後使用下列程序來安裝憑證。

UNIX 與 Linux 防火牆考量

如果安裝的 UNIX 或 Linux 電腦上已有防火牆,您必須開啟連接埠 1270 (輸入)。這個連接埠號碼無法設定。如果您要將代理程式部署在安全性較低的環境,並使用探索精靈來部署與簽署憑證,則必須開啟 SSH 連接埠。SSH 連接埠號碼可以設定。依預設,SSH 會使用輸入 TCP 連接埠 22。

 
顯示: