Многие компании сегодня используют смешанную среду, в которой рабочие станции и серверы Windows работают бок о бок с системами UNIX и Linux, при этом для управления разными системами используются разные подходы. В большинстве случаев системы Windows входят в состав леса и управляются централизовано, в то время как системы UNIX и Linux не всегда вписываются в схему централизованного управления.

Компания Microsoft осознала необходимость совместного управления системами Windows, UNIX и Linux, и в последние годы выпускала инструменты для интеграции систем в схему централизованного аудита, администрирования и аутентификации. .

Необходимые условия

Для реализации возможности совместного управления системами UNIX, Linux и Windows необходимо, чтобы в организации была развернута система SCOM 2007 R2. Для интеграции систем Linux и UNIX в процесс сбора журналов событий с систем Windows необходимо также установить пакет ACS. Кроме того, данное решение поддерживает использование лишь ограниченного набора систем UNIX и Linux.

Поддерживаются следующие системы UNIX и Linux: AIX 5.3 и 6.1 (Power PC); HP-UX lliv2 и lliv3 (PA-RISC и IA64); Red Hat Enterprise Server 4 и 5 (x86 и x64); Solaris 8, 9 (SPARC) и 10 (SPARC и системы с архитектурой x86 старше версии 120012-14); SUSE Linux Enterprise Server (x86), 10 SP1 и 11 (архитектуры x86 и x64). Вы также обнаружите, что модификации корпоративных версий Linux, такие как openSUSE, тоже будут работать, хотя поддержка на них не распространяется.

Необходимо настроить поддержку технологии Web Services Management (WS-Man) 1.1 на тех серверах Windows, на которых установлена система SCOM (то есть которые будут управлять системами UNIX и Linux). В системе Windows Server 2008 R2 поддержка настраивается путем добавления компонента WinRM IIS Extension. Кроме того, необходимо установить компонент IIS.

Я рекомендую загрузить последний накопительный пакет обновлений для системы SCOM 2007 R2. Вы можете найти последние обновления на сайте Microsoft Download Center (donwload.microsoft.com) по ключевой строке «SCOM cumulative update». Накопительный пакет обновлений предназначен для отладки механизмов использования систем Server 2008 R2 и SQL Server 2008. Он также содержит исправления для решения множества других проблем. Последние обновления необходимо установить на серверы SCOM 2007 R2 Root Managment Server, на все имеющиеся серверы SCOM Gateway и любые другие серверы SCOM, а также на системы ACS Collector. Кроме того, необходимо выполнить обновление баз данных SQL Server, которые будут использоваться системами SCOM и ACS.

Требуется установить последнее накопительное обновление для межплатформенной поддержки в системе SCOM 2007 R2. Также можно поискать это обновление на сайте Microsoft Download Center по ключевому слову cross platform. Само обновление вы не найдете, но обнаружите отдельные пакеты для серверов и шлюзов SCOM.

Необходимо скачать соответствующие накопительные обновления и установить их сначала на сервер SCOM 2007 R2 Root Management Server (RMS), потом на шлюзовые серверы и далее на все оставшиеся серверы SCOM. Внимательно прочитайте документацию к обновлениям, прежде чем применять их.

В довершение всего убедитесь, что загружены самые последние пакеты управления с поддержкой межплатформенного взаимодействия. На сайте Microsoft Download Center размещены установочный файл MSI и пять сопроводительных документов для различных разновидностей UNIX и Linux систем: AIX, HP, Red Hat, Solaris и SUSE (воспользуйтесь поиском по ключевому слову cross platform). Еще раз ознакомьтесь с документами по актуальным для вас версиям UNIX/Linux.

Все последние пакеты управления входят в состав установочного пакета. Дважды щелкните на загруженном файле — пакеты управления будут распакованы и записаны по умолчанию в папку SCOMCrossPlatformCU2MP, расположенную в каталоге C:\Program Files\System Center Management Packs. В 64-разрядных версиях операционных систем Windows Server будет использоваться папка Program Files (x86).

Настройка учетных записей UNIX

Служба SCOM 2007 R2 использует учетные записи для мониторинга систем UNIX и Linux, а также для управления ими, по аналогии с тем, как это происходит при работе с Windows. Для подключения к системам UNIX/Linux используются две учетные записи. Первая называется UNIX Action Account, она выступает в роли учетной записи с ограниченными правами. Вторая называется UNIX Priveleged Account, она, как видно из названия, используется как учетная запись с правами администратора.

Большинство версий UNIX/Linux распознают только два типа пользователей: привилегированные пользователи и обычные. Привилеги­рованным пользователям присваивается идентификатор (UID) 0 (например, пользователю root), в то время как UID обычных пользователей отличен от нуля. В ходе начальной настройки учетных записей Action и Priveleged я рекомендую задействовать только реквизиты привилегированных пользователей систем UNIX и Linux. После того как служба SCOM 2007 R2 получит возможность управлять системами UNIX и Linux, вы сможете изменить реквизиты, связанные с учетной записью UNIX Action Account.

Теперь, чтобы приступить к осуществлению первой фазы проекта, выполните следующие действия.

  1. Чтобы настроить реквизиты учетных записей Action и Priveleged, откройте консоль SCOM 2007 R2 Operations Console, выберите представление Administration и щелкните мышью по ссылке Accounts в разделе Run As Configuration.
  2. Щелкните правой кнопкой мыши на узле Accounts и запустите мастер Run As Account Wizard, выбрав пункт Create Run As Account в контекстном меню.
  3. На странице Introduction (если она появится) нажмите кнопку Next.
  4. На странице General Properties выберите пункт Basic Authentifica­tion в ниспадающем меню Run As Account, введите текст, совпадающий с именем привилегированной учетной записи систем UNIX/Linux, в поле Display name и нажмите Next.
  5. На странице Credentials необходимо указать имя пользователя и пароль учетной записи и подтвердить ввод нажатием кнопки Next. Учетная запись на этот момент должна существовать в системах UNIX/Linux или в централизованном каталоге, который они используют (например, Kerberos или NIS+).
  6. На следующей странице Distribu­tion Security убедитесь, что выбрана опция More secure, и нажмите кнопку Create. Указанные реквизиты будут отображены в секции Accounts в категории Type: Basic Authentication. Щелкните на них правой кнопкой мыши и выберите пункт Properties контекстного меню.
  7. В диалоговом окне Properties выберите вкладку Distribution, нажмите кнопку Add и укажите имена всех серверов SCOM, которые будут управлять системами UNIX и Linux.

Следующий шаг — связать созданные реквизиты с учетными записями Action и Privileged.

  1. Работая в представлении Admini­stration, щелкните мышью на узле Profiles в разделе Run as Configuration, а потом дважды щелкните по надписи UNIX Action Account в секции Profiles.
  2. Нажмите кнопку Next на странице Introduction (если она появится).
  3. На странице General Propities нажмите Next.
  4. На странице Run As Accounts используйте кнопку Add для вызова диалогового окна Add a Runs As Account. В диалоговом окне выберите созданную учетную запись из ниспадающего списка Run As account и убедитесь, что выбрана опция All targeted objects. Закройте окно и используйте кнопку Save, чтобы связать учетные записи Run As с записями UNIX Action Account.
  5. После того как связывание будет выполнено, вы получите предупреждение, извещающее о том, что мониторинг некоторых объектов может быть недоступен, если реквизиты не будут распространены между серверами. Поскольку вы выбрали серверы SCOM, на которые должно распространяться действие учетных записей, можете проигнорировать данное предупреждение.
  6. Повторите описанные шаги для учетной записи UNIX Privileged Account.

Важно помнить, что в данной конфигурации вы используете реквизиты с полными правами как для учетной записи Action, так и для учетной записи Privileged. После того как вы убедитесь в том, что можете обнаружить системы UNIX и Linux в сети, а также управлять ими, стоит изменить конфигурацию и использовать реквизиты с ограниченными правами для учетной записи UNIX Action Account.

Установка агентов с помощью мастера

Чтобы управлять системами UNIX и Linux из службы SCOM 2007 R2, необходимо сначала подключиться к данным системам и установить агенты управления. В состав SCOM 2007 R2 входит мастер Computer and Device Management Wizard, который вы можете использовать для обнаружения UNIX/Linux систем.

  1. Чтобы запустить мастер, перейдите в представление Administration консоли SCOM 2007 R2 Operations Console, щелкните правой кнопкой мыши на любом узле и выберите пункт Computer and Device Management Wizard из появившегося меню. Далее, выберите опцию UNIX/Linux Computers (экран 1).
  2. Щелкнув мышью на кнопке Next, вы перейдете к разделу Discovery Method, в котором сможете выбрать метод обнаружения систем Linux и UNIX в своей сети.
  3. Щелкните мышью кнопку Add, чтобы открыть диалоговое окно Define discovery criteria, показанное на экране 2. Вам на выбор предлагается три возможности поиска систем UNIX/Linux: по IP-адресу, по имени DNS или по диапазону адресов IPv4. Также необходимо указать реквизиты для сканирования сети. По умолчанию используется учетная запись привилегированного пользователя (например, учетная запись пользователя root), но вы можете указать и учетную запись с ограниченными правами. Для этого снимите флаг с опции This is superuser account и укажите пароль к учетной записи root. Для сохранения настроенного критерия поиска нажмите ОК.
  4. Нажав кнопку Add еще раз, вы сможете добавить дополнительный критерий поиска. Имейте в виду, что по умолчанию использование протокола SSH в процессе поиска запрещено. Если вы не разрешите поиск по протоколу SSH, служба Discovery Agent только сообщит об обнаружении систем UNIX/Linux, но не попытается установить на них агенты управления SCOM 2007 R2. Однако, если использование SSH будет разрешено, система SCOM 2007 R2 попытается подключиться к каждой обнаруженной машине, используя указанные реквизиты. Если бы кто-нибудь смог разместить в сети шпионскую систему, попадающую под критерий поиска, злоумышленник получил бы возможность перехватывать используемые при поиске реквизиты.
  5. После того как вы настроите критерий и введете реквизиты, просто щелкните мышью по кнопке Discover, чтобы начать поиск систем UNIX и Linux. Если использование SSH разрешено, то, обнаружив систему, мастер попытается установить на нее агент. В результатах поиска будет приведена подробная информация о том, какие системы были обнаружены и в какие из них могут быть установлены агенты.
  6. Для систем, в которые могут быть загружены агенты, установите флаги в полях рядом с именем системы и нажмите кнопку Next. Для получения информации о том, почему некоторые системы были найдены, но не были полностью идентифицированы, можно воспользоваться кнопкой Details. Может получиться так, что системы, не найденные при первом запуске мастера, будут обнаружены при повторных попытках.
Экран 1. Выбор опции Unix/Linux Computers в мастере Computer and Device Management Wizard
Экран 2. Диалоговое окно Define discovery criteria

В выбранные системы мастер Computer and Device Management Wizard скопирует и установит агент межплатформенного взаимодействия для соответствующей архитектуры, а также сертификат X.509v3, который будет использоваться агентом для управления системами UNIX и Linux и защиты соединений с инфраструктурой SCOM 2007 R2.

Время от времени в процессе создания и установки сертификата возникают проблемы — в основном из-за несовпадения имени системы и имени, прописанного для нее в записи DNS. При возникновении подобной проблемы обратитесь к инструкции, приведенной в статье Microsoft «The Certificate Name Does Not Match the Hostname» (go.microsoft.com/fwlink/?LinkId=148011), и, решив проблему, повторно запустите мастер Computer and Device Management Wizard для соответствующих систем, используя процедуру, описанную выше.

Устанавливаем агенты вручную

Если возможность установить агенты на системы UNIX и Linux с помощью мастера Computer and Device Management Wizard отсутствует, их можно установить вручную. Вы найдете агенты для всех поддерживаемых платформ в папке C:\Program Files\System Center Operations Manager 2007\AgentManagement\UnixAgents. Скопируйте агенты на FTP сервер или на веб-сервер, чтобы можно было загрузить их в системы UNIX/Linux. Также можно добавить агенты в базовые образы, если они используются в вашем окружении. Если установлено последнее накопительное обновление для межплатформенной поддержки, вы увидите, что в папке находятся различные версии агентов. Всегда стоит использовать самые последние версии. Информацию об установке агентов на каждую из поддерживаемых платформ можно найти в статье Microsoft «Manually Installing Cross Platform Agents» (technet.microsoft.com/en-us/library/dd789016.aspx).

После того как вы вручную установите агенты в системы UNIX и Linux, необходимо перезапустить мастер Computer and Device Management Wizard. Он обнаружит системы с установленными агентами и предложит выпустить для них новые сертификаты X.509v3. Выберите системы, для которых хотите издать сертификаты, и нажмите кнопку Sign. После успешного выпуска сертификатов работа мастера Computer and Device Management Wizard будет продолжена, а вам потребуется выбрать системы, которые вы хотите добавить в пул серверов UNIX/Linux, управляемых c помощью служб SCOM 2007 R2, — процесс добавления аналогичен процессу автоматического поиска серверов UNIX и Linux.

Мониторинг систем UNIX и Linux

После установки агентов вы сможете просматривать состояние систем UNIX и Linux из консоли SCOM 2007 R2 Operations Console. Просто выберите представление Monitoring (экран 3) и далее щелкните мышью на узле UNIX/Linux Servers. После того как вы выберите систему с установленным агентом межплатформенного взаимодействия в секции UNIX/Linux Servers, в секции Detail View будет отображена информация, которую служба SCOM 2007 R2 получила о данной системе. Вы также можете использовать инструмент Health Explorer для проведения анализа системных процессов и процессов ядра, таких как Cron, SSh и Syslog. Объем информации, который можно получить с помощью Health Explorer, меняется в зависимости от целевой системы. Также можно перевести систему с установленным агентом межсетевого взаимодействия в режим Maintenance Mode, подобно обычной системе Windows. А в представлении State с помощью установленного агента вы можете запускать задачи анализа состояния системы. Доступны три задачи: Memory Information, VMStat и Top 10 CPU Procesess.

Экран 3. Мониторинг серверов UNIX/Linux

Кроме того, в представлении Monitoring можно строить диаграммы и просматривать другую информацию, относящуюся к серверам Linux и UNIX, а также настраивать параметры мониторинга производительности. Раскройте папку UNIX/Linux Server, найдите каталог OS и выберите в нем соответствующие узлы. Набор доступных узлов и объем возвращаемых данных будут изменяться в зависимости от типа операционной системы и зависят от степени поддержки, обеспечиваемой агентом межплатформенного взаимодействия и соответствующими пакетами управления.

По мере появления накопительных обновлений для межплатформенной поддержки или пакетов управления от сторонних разработчиков возможности системы SCOM 2007 R2 в области управления системами UNIX и Linux будут расти. Однако после загрузки новых агентов или пакетов управления необходимо повторно запустить мастер Computer and Device Management Wizard для установки обновлений и настройки сертификатов для агентов, установленных вручную.

Настройка межплатформенной поддержки для пакета ACS

В процессе настройки пакета межплатформенной поддержки для ACS необходимо выполнить несколько операций как в инфраструктуре SCOM, так и на серверах UNIX/Linux. Вы сможете активировать межплатформенную поддержку для пакета ACS, только если уже установили и настроили компоненты ACS, в том числе компонент ACS Report.

1. Необходимо загрузить последние версии программных компонентов, обеспечивающих межплатформенную поддержку для пакета ACS. Для этого посетите портал Microsoft Download Center и выполните поиск по ключевым словам ACS cross platform. Вам понадобится набор компонентов Cross Platform Audit Collection Services, состоящий из 32-разрядных и 64-разрядных установщиков и сопроводительной документации, а также пакеты Cross Platform Audit Collection Services Management Packs.

2. Вам потребуется сервер, который будет осуществлять сбор событий аудита в системах UNIX и Linux и передавать их службам ACS. Для этого сервера должна быть настроена роль ACS Сollector. Стоит рассмотреть вариант создания отдельных серверов SCOM Management Servers для систем Linux и UNIX, после чего для этих серверов тоже настроить роль ACS Сollector. На сервер с данной ролью необходимо установить загруженный MSI-пакет Cross Platform Audit Collection Services. Чтобы запустить процесс установки, дважды щелкните мышью на msi-файле в проводнике Windows Explorer и подтвердите свое согласие с лицензионным соглашением.

3. В окне Audit Data Time Zone выберите либо текущее местное время, либо параметр Coordinated Universal Time (UTC). Ваш выбор должен совпадать со временем, используемым на серверах ACS Collectors (обычно это UTC).

4. На последней странице мастера установки вы увидите предупреждение о том, что активация межплатформенной поддержки для пакета ACS может вызвать к жизни события, способные повлиять на работу базы данных ACS. Реальное количество сгенерированных событий будет зависеть от многих факторов, в том числе от количества серверов UNIX/Linux и от их конфигурации. При необходимости вы можете скорректировать работу механизмов базы данных с помощью стандартных инструментов управления ACS. Если вы работаете с множеством серверов UNIX и Linux, то, в зависимости от производительности и устойчивости к отказам вашего окружения, возможно, придется устанавливать дополнительные межплатформенные сборщики событий. В конце убедитесь, что в политике Group Policy (если таковая используется), управляющей параметром Audit object access, задано значение Success and Failure.

5. Далее необходимо импортировать управляющие пакеты с поддержкой межплатформенного взаимодействия, загруженные ранее. Запустите установщик, чтобы распаковать управляющие пакеты в папку \System Center Management Packs\Operations Manager 2007 R2 Cross Platform ACS MP — она располагается в каталоге С:\Program Files или C:\Programs Files (x86) — и импортируйте их в инфраструктуру SCOM с помощью мастера Import Management Packs. Если система SCOM 2007 R2 подключена к Интернету, вы сможете загрузить управляющие пакеты аналогично любым другим свободно распространяемым пакетам.

6. Теперь пришло время установить отчеты межплатформенного аудита на сервер с ролью ACS Reporting Server. Авторизуйтесь на сервере, предназначенном для сбора событий в разнородном окружении, под именем пользователя, имеющего административные права для доступа к службам SQL Server Reporting Services (SSRS), используемым пакетом ACS. Откройте командную строку, перейдите в папку C:\Program Files\System Center Operation Manager Cross Platform ACS и запустите следующую команду:

. \UploadCrossPlatformAuditReports
   . cmd "\" "http:///
   ReportServer [$]"
   "C:\Program Files\System Center
   Operations Manager Cross Platform ACS"

7. Замените параметр на имя базы данных ACS, — на экземпляр службы SQL Server («по умолчанию» MSSQLSERVER), — на имя сервера SSRS, и при необходимости добавьте параметр $, где SRS Instance — имя экземпляра SRSS (если вы не используйте экземпляр «по умолчанию). После установки добавленные отчеты сохраняются в папку Cross Platform Audit Reports (экран 4).

 

Экран 4. Отчет аудита разнородного окружения

8. Теперь необходимо активировать поддержку межплатформенного взаимодействия для пакета ACS. Для этого придется модифицировать пакеты управления. Я рекомендую сделать копии пакетов управления, перед тем как изменять их. Для изменения управляющих пакетов ACS выберите представление Authoring в консоли Operations и раскройте узел Authoring. Далее раскройте узел Management Pack Objects и выберите опцию Object Discoveries.

9. В секции Object Discoveries найдите опцию ACS. Появится список конечных точек ACS для различных поддерживаемых систем UNIX и Linux, однако нас интересует только запись Discovery Type: ACS Endpoint. Щелкните правой кнопкой мыши рядом с записью Discovery Type: ACS Endpoint и выберите пункт Overrides->Override the Object Discovery->For all objects of class в контекстном меню.

10. В диалоговом окне Override Properties установите флаг в поле Override, нажмите кнопку Apply, а затем кнопку OK.

Для большинства корпоративных версий Linux менять настройки серверов или службы Syslog не придется — интересующие вас события безопасности будут поступать в журналы службы ACS. Отчеты SSRS вы сможете посмотреть на сервере отчетов ACS.

Если вы используете нестандартные конфигурации службы Syslog, службу Rsyslogd или операционные системы Solaris или AIX, необходимо настроить службу журналов таким образом, чтобы она сохраняла события безопасности в файл/var/log/massages (для систем на основе Linux). Для систем Solaris и AIX требуется выполнить процедуру, описанную в статье Microsoft «Configure Syslog and Rules for Audit Events» (technet.microsoft.com/en-us/library/ee909515.aspx)

Централизованный мониторинг

Описанные шаги, позволяющие обеспечить поддержку межплатформенного взаимодействия для системы SCOM 2007 R2, выполнить не так просто, и, возможно, вы обнаружите, что для обеспечения корректной работы придется немного поэкспериментировать. В первую очередь это относится к отладке компонентов ACS. Однако ваши усилия будут вознаграждены, когда вы увидите, что можете централизованно осуществлять мониторинг систем Windows, UNIX и Linux.

ПРОБЛЕМА
Вы работаете в смешанной среде, состоящей из систем Windows, UNIX и Linux, и вам необходимо консолидировать управление и сбор сведений журналов в этих системах.
РЕШЕНИЕ
Используйте систему SCOM 2007 R2 c межплатформенной поддержкой, а также пакет Audit Collection Services.
НЕОБХОДИМЫЕ РЕСУРСЫ
• SCOM 2007 R2;
• пакеты управления межплатформенной поддержкой, доступные для скачивания;
• пакет Audit Collection Services;
• серверы, образующие смешанную среду;
• сервер баз данных с системой SQL Server 2008 и пакетом SQL Server Reporting Services.
ЭТАПЫ РЕШЕНИЯ
1. Установите SCOM 2007 R2.
2. Установите и настройте Audit Collection Services.
3. Установите поддержку управления в смешанной среде
4. Установите пакеты управления с поддержкой межплатформенного взаимодействия.
5. Настройте работу Audit Collection Services в смешанной среде.
6. Выполните отладку Audit Collection Services.
УРОВЕНЬ СЛОЖНОСТИ
4 из 5.

Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA