- Kerberos Authentication Support for Unix and Linux computers
- Operations Manager Unix and Linux Kerberos Support by Activity
- Prerequisites
- Enable or disable Kerberos Authentication on a management or a gateway server
- Verify Kerberos Authentication via Console
- Verify Kerberos Authentication from the Command Line
- Kerberos
- Содержание
- Kerberos
- Обзор
- Операционные системы Astra Linux
- Поддержка аутентификации Kerberos для компьютеров под управлением UNIX и Linux
- Поддержка Kerberos для компьютеров UNIX и Linux в Operations Manager
- Предварительные требования
- Включение или отключение проверки подлинности Kerberos на сервере управления или сервере шлюза
- Проверка аутентификации Kerberos с помощью консоли
- Проверка аутентификации Kerberos с помощью командной строки
Kerberos Authentication Support for Unix and Linux computers
This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.
System Center Operations Manager version 1801 and later communicates with UNIX and Linux computers using the Secure Shell (SSH) protocol and Web Services for Management (WS-Management). Agent actions such as agent install, uninstall, and update occur over SSH and require a privileged account. Agent discovery and Monitoring utilize WS-Management and only require a low privileged account.
Operations Manager can now support Kerberos authentication wherever the WS-Management protocol is used by the Management Server to communicate with UNIX and Linux computers. Adding Kerberos support for UNIX and Linux computers provides greater security by allowing the Management Server to no longer need to enable basic authentication for Windows Remote Management (WinRM).
Do not disable basic authentication for WinRM, if you are not using Windows Kerberos authentication.
Operations Manager Unix and Linux Kerberos Support by Activity
| Activity | Protocol | Support for Kerberos |
|---|---|---|
| Agent Install | SSH | No |
| Agent Uninstall | SSH | No |
| Agent Update | SSH | No |
| Agent Recovery | SSH | No |
| Agent Monitoring | WS-Man | Yes |
| Agent Discovery | WS-Man | Yes |
Prerequisites
UNIX and Linux Monitoring with Operations Manager is supported on a number of operating systems.
The following subset of those operating systems now support WS-Management communication over Kerberos: (Only the most recently released version of each distribution will be supported.)
| Operating System | Version |
|---|---|
| Red Hat Enterprise Linux Server | 6 |
| Red Hat Enterprise Linux Server | 7 |
| CentOS | 6 |
| CentOS | 7 |
| UBUNTU Server | 14 |
| UBUNTU Server | 15 |
UNIX or Linux agent must be domain joined.
Run as accounts must be configured to use domain-based accounts that are associated with the appropriate Unix/Linux Run As Profile.
Enabling Kerberos authentication assumes all UNIX and Linux agents communicating with the management server support Kerberos. Mixed mode authentication where some agents use basic authentication and others leverage Kerberos is not supported.
Enable or disable Kerberos Authentication on a management or a gateway server
Use the following procedure to enable/disable Kerberos authentication on a management server or a gateway server.
Open the Operations console with an account that is a member of the Operations Manager Administrators role.
Select Management Server State or Gateway Server State, as below:
- For Management Servers, select Monitoring >Operations Manager >Management Server >Management Server State >Management Server State.
- For Gateway Management Servers, Select Monitoring >Operations Manager >Management Server >Management Server State >Gateway Management Server State.
In the right-hand task pane, select Enable Linux Authentication Type.
This task will enable/disable Kerberos authentication for Linux monitoring on the management server or gateway server.
Click Run.
The task sets the registry entry Authentication at the following location:
HKLM:\Software\Microsoft\Microsoft Operations Manager\3.0\Setup\Linux Auth to Kerberos.
Repeat the above steps on all management servers that communicate with UNIX or Linux agents.
Verify Kerberos Authentication via Console
To validate that Kerberos authentication is working successfully from the Operations Manager console:
Click Monitoring > UNIX/Linux Computers > Select a UNIX or Linux computer
In the right-hand Task pane, select Memory Information.
Confirm that the task runs successfully.
Verify Kerberos Authentication from the Command Line
To validate Kerberos authentication between a management server and a UNIX or Linux agent from the command line, perform the following:
Launch a command prompt as administrator from the management server, and run the script below while substituting the applicable information for servername, username, and password.
Verify the output indicates the command was successful.
Источник
Kerberos
Содержание
Kerberos
Kerberos это система сетевой аутентифиации, основанная на принципах доверия третьей стороне. Другие две стороны — это пользователь и сервис, на котором он хочет авторизоваться. Не все сервисы и приложения могут использовать Kerberos, но те, которые могут, приближают сетевое окружение на один шаг к технологии единого входа (Single Sign On — SSO).
Этот раздел раскрывает установку и настройку сервера Kerberos, а также некоторые примеры клиентских настроек.
Обзор
Если вы новичок в Kerberos, есть несколько терминов, которые хорошо понять до установки сервера Kerberos. Большинство терминов связаны с вещами, которые могут быть вам знакомы по другим окружениям:
Учетная запись (Principal): любые пользователи, компьютеры или сервисы, предоставляемые серверами, должны быть определены как учетные записи Kerberos .
Требования (Instances): используются для сервисных и специальных административных учетных записей.
Области (Realms): уникальная область управления, обеспечиваемая установкой Kerberos. Представляйте ее себе как домен или группу ваших компьютеров и пользователей, ей принадлежащих. По умолчанию Ubuntu использует имя DNS домена в верхнем регистре (EXAMPLE.COM) в качестве имени области.
Центр распространения ключей (KDC): состоит из трех частей: базы данных всех учетных записей, сервера аутентификации и сервера предоставления билетов. Для каждой области должен быть хотя бы один KDC.
Билет для получения билета (TGT): изданный сервером аутентификации, TGT зашифровывается на пароле пользователя, который известен только пользователю и KDC.
Сервер распространения билетов (TGS): выпускает сервисные билеты для клиентов по запросу.
Билеты (Tickets): подтверждение идентичности двух учетных записей. Одна учетная запись — пользователь, а другая — сервис, запрашиваемый этим пользователем. Билеты устанавливают секретный ключ, используемый для защищенного соединения во время авторизованной сессии.
Файлы ключей (Keytab Files): файлы, извлеченные из базы учетных записей KDC и содержащие ключ шифрования для сервиса или компьютера.
Чтобы сложить все вместе: Область содержит как минимум один KDC, лучше больше для обеспечения безотказности, которые содержат базу данных учетных записей. Когда пользователь под учетной записью заходит на рабочую станцию, которая настроена на Kerberos аутентификацию, KDC выпускает билет для получения билетов (TGT). Если пользователь предоставляет совпадающие параметры, он считается аутентифицированным и может запрашивать билеты для сервисов, поддерживающих Kerberos, на сервере распространения билетов (TGS). Сервисные билеты позволяют пользователю аутентифицироваться на сервисах без ввода имени и пароля.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Поддержка аутентификации Kerberos для компьютеров под управлением UNIX и Linux
Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.
System Center Operations Manager версии 1801 и более поздних версий взаимодействует с компьютерами с UNIX и Linux с использованием протокола SSH и веб-служб для управления (WS-Management). Все действия с агентами, например установка, обновление и удаление агентов, выполняются через SSH и для них нужна привилегированная учетная запись. Обнаружение и мониторинг агентов выполняются через WS-Management и для них достаточно учетной записи низкого уровня.
Теперь Operations Manager поддерживает аутентификацию Kerberos во всех сценариях, где сервер управления взаимодействует с компьютерами UNIX и Linux по протоколу WS-Management. Поддержка аутентификации Kerberos для компьютеров UNIX и Linux повышает безопасность, поскольку серверу управления теперь не нужно использовать обычную аутентификацию для службы удаленного управления Windows (WinRM).
Не отключайте обычную проверку подлинности для WinRM, если не используете проверку подлинности Kerberos Windows.
Поддержка Kerberos для компьютеров UNIX и Linux в Operations Manager
| Действие | Протокол | Поддержка аутентификации Kerberos |
|---|---|---|
| Установка агента | SSH | Нет |
| Удаление агента | SSH | Нет |
| Обновление агента | SSH | Нет |
| Восстановление агента | SSH | Нет |
| Мониторинг с использованием агента | WS-Man | Да |
| Обнаружение агента | WS-Man | Да |
Предварительные требования
Мониторинг UNIX и Linux с помощью Operations Manager поддерживается для нескольких операционных систем.
В настоящее время взаимодействие WS-Management по протоколу Kerberos поддерживается для следующих операционных систем (только для самой свежей версии каждого дистрибутива).
| Операционная система | Версия |
|---|---|
| Red Hat Enterprise Linux Server | 6 |
| Red Hat Enterprise Linux Server | 7 |
| CentOS | 6 |
| CentOS | 7 |
| UBUNTU Server | 14 |
| UBUNTU Server | 15 |
Агенты UNIX или Linux должны быть присоединены к домену.
Для учетных записей запуска от имени следует настроить использование доменных учетных записей, которые связаны с соответствующим профилем Unix/Linux запуска от имени.
Включение аутентификации Kerberos возможно лишь в том случае, если все взаимодействующие с сервером управления агенты компьютеров UNIX и Linux поддерживают протокол Kerberos. Смешанный режим аутентификации, при котором часть агентов используют обычную аутентификацию, а другая часть использует аутентификацию Kerberos, не поддерживается.
Включение или отключение проверки подлинности Kerberos на сервере управления или сервере шлюза
Используйте следующую процедуру, чтобы включить или отключить проверку подлинности Kerberos на сервере управления или сервере шлюза.
Откройте консоль управления от имени учетной записи, которая включена в роль «Администраторы» для Operations Manager.
Выберите значение для параметра Management Server State (Состояние сервера управления) или Gateway Server State (Состояние сервера шлюза), как показано ниже:
- Для серверов управления выберите элементы Мониторинг >Operations Manager >Сервер управления >Management Servers State >Management Server State (Состояние серверов управления > Состояние сервера управления).
- Для серверов управления шлюзами выберите Мониторинг >Operations Manager >Сервер управления >Management Servers State >Gateway Management Server State (Состояние серверов управления > Состояние сервера управления шлюзом).
В области задач справа выберите Enable Linux Authentication Type (Включить проверку подлинности Linux).
Эта задача позволяет включить или отключить проверку подлинности Kerberos для мониторинга Linux на сервере управления или сервере шлюза.
Нажмите кнопку Запустить.
Эта задача устанавливает параметр реестра Authentication, расположенный по следующему адресу:
HKLM:\Software\Microsoft\Microsoft Operations Manager\3.0\Setup\Linux Auth to Kerberos.
Повторите описанные выше шаги на всех серверах управления, которые взаимодействуют с агентами UNIX или Linux.
Проверка аутентификации Kerberos с помощью консоли
Чтобы убедиться, что аутентификация Kerberos работает правильно, выполните следующие действия в консоли Operations Manager.
Щелкните Мониторинг > Компьютеры UNIX или Linux, а затем выберите любой компьютер под управлением UNIX или Linux.
В области задач справа выберите Сведения о памяти.
Убедитесь, что задача выполняется успешно.
Проверка аутентификации Kerberos с помощью командной строки
Чтобы средствами командной строки проверить работу аутентификации Kerberos для взаимодействий между сервером управления и агентами UNIX или Linux, выполните следующие действия.
Запустите командную строку на сервере управления от имени администратора и запустите приведенный ниже скрипт, указав в нем правильные сведения для параметров servername (имя сервера), username (имя пользователя) и password (пароль).
Убедитесь, что выходные данные демонстрируют успешное выполнение команды.
Источник
