Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются учетные данные, необходимые для установки, обслуживания, обновления и удаления агентов на компьютере UNIX или Linux.
В Operations Manager сервер управления использует два протокола для взаимодействия с компьютером UNIX или Linux:
Secure Shell (SSH) и протокол SFTP
- Используется для установки, обновления и удаления агентов.
Веб-службы для управления (WS-Management)
- Используется для всех операций мониторинга и обнаружения уже установленных агентов.
Используемый протокол зависит от действия или информации, запрошенной на сервере управления. Все действия, такие как обслуживание агента, мониторинг, правила, задачи и восстановление, настраиваются для использования предварительно заданных профилей в зависимости от необходимости использования непривилегированного или привилегированного аккаунта.
В Operations Manager системный администратор больше не требуется для предоставления корневого пароля компьютера UNIX или Linux серверу управления. За счет повышения привилегий непривилегированная учетная запись может принять на себя привилегированную учетную запись на компьютере с операционной системой UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).
Учетные данные для установки агентов
Operations Manager использует протокол Secure Shell (SSH) для установки агента и веб-служб для управления (WS-Management) для обнаружения ранее установленных агентов. Для установки требуется привилегированная учетная запись на компьютере с UNIX или Linux. Существует два способа указания учетных данных для целевого компьютера, полученных мастером управления компьютерами и устройствами:
Указание имени пользователя и пароля.
Протокол SSH использует пароль для установки агента или протокола WS-Management, если агент уже был установлен с использованием подписанного сертификата.
Указание имени пользователя и ключа SSH. При необходимости ключ может содержать парольную фразу.
Если вы не используете учетные данные для привилегированной учетной записи, вы можете предоставить дополнительные учетные данные, чтобы ваша учетная запись стала привилегированной учетной записью через повышение привилегий на компьютере UNIX или Linux.
Установка не завершается до тех пор, пока агент не будет проверен. Проверка агента выполняется протоколом WS-Management, который использует учетные данные, хранимые на сервере управления, отдельно от привилегированной учетной записи, используемой для установки агента. Если вы выполнили одно из следующих действий, необходимо указать имя пользователя и пароль для проверки агента.
указали привилегированную учетную запись с помощью ключа;
предоставлена непривилегированная учетная запись для увеличения прав с использованием sudo и ключа.
запустили мастер, где в поле Тип обнаружения выбрано значение Обнаруживать только компьютеры с установленным агентом UNIX или Linux.
Или же вы можете установить агент, в том числе его сертификат, вручную на компьютере с UNIX или Linux, а затем обнаружить этот компьютер. Это наиболее безопасный метод установки агентов. Дополнительные сведения см. в разделе "Установка агента и сертификата" на компьютерах UNIX и Linux с помощью командной строки.
Учетные данные для операций мониторинга и обслуживания агента
Operations Manager содержит три предопределенных профиля для мониторинга компьютеров UNIX и Linux и выполнения обслуживания агента:
Учетная запись действий UNIX/Linux
Это профиль непривилегированной учетной записи, необходимый для базового мониторинга работоспособности и производительности.
Привилегированная учетная запись UNIX или Linux
Это профиль привилегированной учетной записи, используемый для мониторинга защищенных ресурсов, таких как файлы журнала.
Учетная запись обслуживания UNIX или Linux
Этот профиль используется для привилегированных операций обслуживания, таких как обновление и удаление агентов.
В пакетах управления UNIX и Linux все правила, мониторы, задачи, операции восстановления и другие элементы пакета управления настраиваются для использования этих профилей. Таким образом, нет необходимости определять дополнительные профили с помощью Мастера профилей запуска, если это не диктуют особые обстоятельства. Профили не суммируются в масштабе. Например, профиль учетной записи обслуживания UNIX/Linux не может использоваться вместо других профилей, так как он настроен с помощью привилегированной учетной записи.
В Operations Manager профиль не может функционировать, пока он не связан хотя бы с одной учетной записью Run As. Учетные данные для доступа к компьютерам UNIX или Linux настраиваются в учетных записях Run As. Поскольку предварительно определенные учетные записи запуска от имени для наблюдения за компьютерами под управлением ОС UNIX и Linux отсутствуют, их необходимо создать.
Чтобы создать учетную запись запуска от имени, необходимо запустить мастер учетной записи запуска от имени UNIX или Linux , доступный при выборе параметра Учетные записи UNIX или Linux в рабочей области Администрирование . Мастер создает учетную запись запуска от имени на основе выбранного типа учетной записи. Существует два типа учетных записей запуска от имени:
Учетная запись мониторинга
Используйте эту учетную запись для мониторинга работоспособности и производительности операций, взаимодействующих с помощью WS-Management.
Учетная запись обслуживания агента
Используйте эту учетную запись для работ с агентами, например, для их обновления и удаления, в операциях, взаимодействующих с помощью SSH.
Эти типы учетных записей запуска от имени можно настроить для различных уровней доступа в соответствии с указанными учетными данными. Учетные данные могут представлять собой непривилегированные или привилегированные учетные записи, либо непривилегированные учетные записи, которые будут повышены до уровня привилегированных. В следующей таблице показаны отношения между профилями, учетными записями "Запуск от имени" и уровнями доступа.
| Профили | Тип учетной записи «Запуск от имени» | Доступные уровни доступа |
|---|---|---|
| Учетная запись действий UNIX/Linux | Учетная запись мониторинга | — Непривилегированный — Привилегированная — Непривилегированный, повышен до привилегированного |
| Привилегированная учетная запись UNIX или Linux | Учетная запись мониторинга | — Привилегированная — Непривилегированный, повышен до привилегированного |
| Учетная запись обслуживания UNIX или Linux | Учетная запись обслуживания агента | — Привилегированная — Непривилегированный, повышен до привилегированного |
Примечание.
Существует три профиля, но только два типа учетной записи запуска от имени.
При указании типа учетной записи для мониторинга необходимо ввести имя пользователя и пароль, которые будут использоваться протоколом WS-Management. При указании типа учетной записи для запуска задачи обслуживания агента необходимо определить передачу учетных данных на целевой компьютер по протоколу SSH.
Указание имени пользователя и пароля.
Указание имени пользователя и ключа. При необходимости ключ может содержать парольную фразу.
После создания учетных записей "Запуск от имени" вам необходимо изменить профили UNIX и Linux, чтобы связать их с созданными вами учетными записями "Запуск от имени". Подробные инструкции см. в статье «Настройка учетных записей и профилей запуска от имени для доступа к UNIX и Linux»
Важные вопросы безопасности
Агент Operations Manager Linux/UNIX использует стандартный механизм PAM (подключаемый модуль проверки подлинности) на компьютере Linux или UNIX для проверки подлинности имени пользователя и пароля, указанного в профиле действий и привилегиях. Любое имя пользователя с паролем, прошедшим проверку подлинности PAM, может выполнять функции мониторинга, включая выполнение командных строк и скриптов, которые собирают данные мониторинга. Такие функции мониторинга всегда выполняются в контексте этого имени пользователя (если для этого имени пользователя явно не включено повышение прав sudo), поэтому агент Operations Manager не предоставляет больше возможностей, чем если имя пользователя должно было войти в систему Linux/UNIX.
Однако проверка подлинности PAM, используемая агентом Operations Manager, не требует, чтобы имя пользователя было связано с ним интерактивной оболочкой. Если методы управления учетными записями Linux и UNIX включают удаление интерактивной оболочки в качестве способа псевдо-отключения учетной записи, такое удаление не препятствует использованию учетной записи для подключения к агенту Operations Manager и выполнению функций мониторинга. В этих случаях следует использовать дополнительную конфигурацию PAM, чтобы убедиться, что эти псевдоотключенные учетные записи не проходят аутентификацию агентом Operations Manager.
Учетные данные для обновления и удаления агентов
Мастер обновления агента UNIX и Linux и Мастер удаления агента UNIX и Linux предоставляют учетные данные целевым компьютерам. Сначала мастер предлагает выбрать целевые компьютеры для обновления или удаления, а затем предлагает параметры указания учетных данных для этих компьютеров:
Использование существующих связанных учетных записей запуска от имени
Выберите этот параметр, чтобы использовать учетные данные, связанные с профилем учетной записи действия UNIX и Linux и профилем учетной записи обслуживания UNIX и Linux.
Мастер предупреждает вас, если у одного или нескольких выбранных компьютеров нет связанной учетной записи запуска от имени в необходимых профилях, в этом случае необходимо вернуться и очистить эти компьютеры, у которых нет связанной учетной записи запуска от имени или указать учетные данные.
Указание учетных данных
Выберите этот параметр, чтобы указать учетные данные SSH (имя пользователя и пароль или имя пользователя и ключ). При необходимости вы можете указать парольную фразу для ключа. Если учетные данные не предназначены для привилегированной учетной записи, их можно повысить до привилегированной учетной записи на целевом компьютере с помощью программ повышения привилегий unix su или sudo. Для повышения прав доступа su требуется пароль. Если вы используете повышение прав sudo, вам будет предложено указать имя пользователя и пароль для проверки агента с использованием непривилегированной учетной записи.