SSH-Anmeldeinformationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Discovery, Orchestration und IntegrationHub erkunden die Geräte UNIX und Linux mithilfe von SSH-Anmeldeinformationen, um Befehle über Secure Shell (SSH) auszuführen. SSH-Befehle müssen mit Stammberechtigungen ausgeführt werden, entweder mit Stamm-Anmeldeinformationen oder mit Sudo. Private SSH-Schlüsselanmeldeinformationen bieten zusätzliche Sicherheit.

    Stammberechtigungen erteilen

    Bevor Sie Stammberechtigungen gewähren, überprüfen Sie Ihre Sicherheitsrichtlinie und -optionen mit dem Sicherheitsteam Ihrer Organisation.

    Verwenden Sie eine dieser Methoden, um Benutzern die Ausführung von SSH-Befehlen mit Stammberechtigungen zu ermöglichen:
    • Erteilen Sie andere Anmeldeinformationen für Discovery, Orchestration oder IntegrationHub, aber gewähren Sie dem Benutzer in diesen Anmeldeinformationen das Recht, bestimmte Befehle mit Stammberechtigungen über sudo auszuführen. Dies ist eine sichere Methode zum Gewähren eingeschränkter Berechtigungen. Von Discovery, Orchestration oder IntegrationHub wird „sudo“ für jede Probe verwendet, für die der Parameter must_sudo auf true gesetzt ist (Standardeinstellung ist false). Hierfür muss allerdings jedes System so konfiguriert werden, dass es die Ausführung von sudo gestattet. Dies erfolgt durch Bearbeiten der Datei /etc/sudoers mit dem Befehl visudo.
    • Teilen Sie Stamm-Anmeldeinformationen zu. Dies sind offenkundig die leistungsstärksten Anmeldeinformationen, unter Sicherheitsgründen aber möglicherweise nicht erstrebenswert. Wenn Discovery, Orchestration oder IntegrationHub über die Stammanmeldeinformationen für UNIX- oder Linux-Systeme verfügen, ist keine weitere Konfiguration erforderlich.

    Privilegierte Befehle

    Die Plattform bietet standardisierte privilegierte Befehle, die der MID Server verwenden kann, und die Möglichkeit, dem System zusätzliche Befehle hinzuzufügen. Weitere Informationen zur Verwendung von sudo-Befehlen und anderen privilegierten Befehlen finden Sie unter Privilegierte MID-Server-Befehle.

    Anmeldeinformationstyp „Privater SSH-Schlüssel“

    Hinweis:
    Privater SSH-Schlüssel-Anmeldeinformationen sollten in den meisten Fällen verwendet werden. Sie bieten mehr Sicherheit als SSH-Passwort-Anmeldeinformationen, unter anderem gegen MitM-Angriffe (Man-in-the-Middle), bei denen die Kommunikation zwischen zwei Parteien abgefangen wird.
    Feld Eingabewert
    Name Eindeutiger und beschreibender Name für diese Anmeldeinformationen. Zum Beispiel könnten Sie sie SSH Atlanta nennen.
    Aktiv Aktivieren oder deaktivieren Sie diese Anmeldeinformationen.
    Benutzername Geben Sie einen UNIX- oder Linux-Benutzernamen ein. Vermeiden Sie in Benutzernamen führende oder nachfolgende Leerzeichen. Eine Warnung wird angezeigt, wenn die Plattform führende oder nachgestellte Leerzeichen im Benutzernamen erkennt.
    Passwort Geben Sie das UNIX- oder Linux-Passwort ein. Geben Sie für Anmeldeinformationen vom Typ Privater SSH-Schlüssel das sudo-Passwort ein, wenn für den Benutzernamen ein Passwort erforderlich ist.
    SSH-Passphrase Geben Sie einen sicheren SSH-Passwortsatz ein. Dieses Feld ist nur für Anmeldeinformationen mit dem Typ Privater SSH-Schlüssel verfügbar.
    Privater SSH-Schlüssel Geben Sie einen sicheren, privaten RSA-, DSA-, ECDSA- oder ED25519-Schlüssel ein.

    Der private Schlüssel muss im richtigen Format eingegeben werden, um sicherzustellen, dass er ordnungsgemäß verschlüsselt ist. Der private Schlüssel muss mit der Zeichenfolge -----BEGIN beginnen.

    Hier ist ein Beispiel für einen korrekt formatierten privaten RSA-Schlüssel:
    -----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END RSA PRIVATE KEY-----
    Beispiel für einen DSA-Schlüssel:
    -----BEGIN DSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END DSA PRIVATE KEY-----
    Beispiel für einen ECDSA-Schlüssel:
    -----BEGIN EC PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END EC PRIVATE KEY-----
    Beispiel für einen privaten ED25519-Schlüssel:
    -----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiwAAAKDQUtxZ0FLc
WQAAAAtzc2gtZWQyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiw
AAAECuvsTkFUPdpTh0kw23i8TYx19qsFOZ3TRgowkkHBh6wSViWqFx3DHxVDNnldogLmW1
CmNGveUiWr9oTrqa5+aLAAAAGmFiaGluYXYuc3V0YXJATVJFTUE3OTAzMkI3AQID
-----END OPENSSH PRIVATE KEY-----
    Hinweis:
    Für einen privaten ED25519-Schlüssel wird nur das OpenSSH-Schlüsselformat unterstützt, das mit dem Dienstprogramm OpenSSH SSH-keygen generiert wird.

    Die Now Platform unterstützt private Schlüssel im PEM-Format, das vom OpenSSH-Dienstprogramm ssh-keygen generiert wird. So konvertieren Sie PPK-Schlüssel, die von PuTTY generiert wurden:

    • Öffnen Sie Ihren privaten Schlüssel in PuTTYGen.
    • Exportieren Sie sie im OpenSSH-Format aus dem Menü Konvertierungen > Exportieren Sie den OpenSSH-Schlüssel.
    • Speichern Sie den neuen OpenSSH-Schlüssel.
    SSH-Zertifikat

    Geben Sie ein RSA- oder ED25519-basiertes OpenSSH-Zertifikat ein. Wenn das Zertifikat eingegeben wird, wird ein privater Schlüssel für die zertifikatbasierte Authentifizierung verwendet. Diese Authentifizierung wird ab OpenSSH 7.8 unterstützt.
    Anmeldeinformationsalias
    • Erlauben Sie Flow Designern die Verwendung von Aliassen zur Verwaltung von Verbindungs- und Berechtigungsinformationen. Wenn Sie ein Alias verwenden, müssen Sie nicht mehrere Anmeldeinformations- und Verbindungsinformationsprofile konfigurieren, wenn Sie mehrere Umgebungen verwenden. Wenn sich die Verbindungs- oder Anmeldeinformationen ändern, müssen Sie Aktionen, die die Verbindung verwenden, nicht aktualisieren. Weitere Informationen finden Sie unter Verbindung und Anmeldeinformationen.
    • Erlauben Sie Workflow-Erstellern, jeder Aktivität in einem Orchestration-Workflow einzelne Anmeldeinformationen zuzuweisen, oder weisen Sie jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zu.
    Externer Anmeldeinformationsspeicher Aktivieren Sie dieses Kontrollkästchen, um ein externes Speichersystem für Anmeldeinformationen zu verwenden. Wenn Sie diese Option auswählen, werden die Felder Benutzername und Passwort durch das Feld Nachweis-ID ersetzt. Derzeit ist CyberArk das einzige unterstützte externe Speichersystem.
    MID Server Wählen Sie einen oder mehrere MID Server aus der Liste der verfügbaren MID Server aus. Die in diesem Datensatz konfigurierten Anmeldeinformationen stehen den MID Servern in dieser Liste zur Verfügung. Dieses Feld ist nur verfügbar, wenn Sie Spezielle MID-Server aus dem Feld Betrifft auswählen.
    Gilt für Wählen Sie aus, ob diese Anmeldeinformationen für Alle MID-Server in Ihrem Netzwerk oder für einen oder mehrere Spezielle MID-Server angewendet werden sollen. Geben Sie im Feld MID-Server die MID-Server an, die diese Anmeldeinformationen verwenden sollen.
    Bestellung Die Reihenfolge, in der die Plattform diese Anmeldeinformationen bei der Anmeldung bei Geräten testet. Je kleiner die Zahl, desto höher werden die Anmeldeinformationen in der Liste angezeigt. Richten Sie die Reihenfolge der Anmeldeinformationen ein, wenn Sie eine große Anzahl von Anmeldeinformationen verwenden oder wenn Benutzer nach drei fehlgeschlagenen Anmeldeversuchen von den Sicherheitsfunktionen gesperrt werden. Wenn alle Anmeldeinformationen dieselbe Nummer (oder keine) in der Reihenfolge haben, testet Discovery oder Orchestration die Anmeldeinformationen in zufälliger Reihenfolge.

    SSH-Anmeldeinformationstyp

    Diese Felder sind im SSH-Anmeldeinformationsformular verfügbar.
    Feld Beschreibung
    Name Geben Sie einen eindeutigen und beschreibenden Namen für diese Anmeldeinformationen ein.
    Aktiv Aktivieren oder deaktivieren Sie diese Anmeldeinformationen.
    Benutzername Geben Sie den zu erstellenden Benutzernamen in die Tabelle „Berechtigungsnachweise“ ein. Vermeiden Sie führende oder nachgestellte Leerzeichen in Benutzernamen. Eine Warnung wird angezeigt, wenn die Plattform führende oder nachgestellte Leerzeichen im Benutzernamen erkennt. Für die CIM-Erkennung muss der Benutzer über die Administratorrolle verfügen.
    Passwort Geben Sie das Passwort ein.
    Nachweis-ID Geben Sie den für externe Anmeldeinformationen konfigurierten eindeutigen Schlüssel in der JAR-Datei ein, die für ein externes Anmeldeinformationssystem auf den MID Server hochgeladen wurde. Das Feld Nachweis-ID darf maximal 40 Zeichen lang sein.

    Dieses Feld ist nur sichtbar, wenn das Kontrollkästchen Externer Anmeldeinformationsspeicher aktiviert ist.
    Alias für Anmeldeinformationen
    • Erlauben Sie Flow Designern die Verwendung von Aliassen zur Verwaltung von Verbindungs- und Berechtigungsinformationen. Wenn Sie ein Alias verwenden, müssen Sie nicht mehrere Anmeldeinformations- und Verbindungsinformationsprofile konfigurieren, wenn Sie mehrere Umgebungen verwenden. Wenn sich die Verbindungs- oder Anmeldeinformationen ändern, müssen Sie Aktionen, die die Verbindung verwenden, nicht aktualisieren. Weitere Informationen finden Sie unter Verbindung und Anmeldeinformationen.
    • Erlauben Sie Workflow-Erstellern, jeder Aktivität in einem Orchestration-Workflow einzelne Anmeldeinformationen zuzuweisen, oder weisen Sie jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zu. Geben Sie den Tabellennamen für den CI-Typ ein, zu dem das CI gehört (z. B. cmdb_ci_apache_web_server), um die Anmeldeinformationen zur Erkennung von CIs zu verwenden, die nicht zu diesem CI-Typ gehören und dafür Service Mapping- und Discovery-Muster nutzen.
    Externer Anmeldeinformationsspeicher Aktivieren Sie dieses Kontrollkästchen, um ein externes Speichersystem für Anmeldeinformationen zu verwenden. Wenn Sie diese Option auswählen, werden die Felder Benutzername und Passwort durch das Feld Nachweis-ID ersetzt. Externe Anmeldeinformationsspeicher stehen nur zur Verfügung, wenn dasPlugin „Externer Anmeldeinformationsspeicher“ aktiviert ist.
    Hinweis:
    Derzeit ist CyberArk das einzige unterstützte externe Speichersystem.
    Betrifft

    Wählen Sie aus, ob diese Anmeldeinformationen für Alle MID-Server in Ihrem Netzwerk oder für Spezielle MID-Server angewendet werden sollen. MID Servers angeben, der diese Anmeldeinformationen im Feld „MID-Server“ verwenden soll.
    MID Server verwenden Wählen Sie einen oder mehrere MID Server aus der Liste der verfügbaren MID Server aus. Die in diesem Datensatz konfigurierten Anmeldeinformationen stehen den MID Servern in dieser Liste zur Verfügung. Dieses Feld ist nur verfügbar, wenn Sie Spezifische MID-Server im Feld Gilt für auswählen.
    Bestellung

    Reihenfolge (Reihenfolge), in der Discovery diese Anmeldeinformationen bei dem Versuch, sich bei Geräten anzumelden, ausprobiert. Je kleiner die Zahl, desto höher werden die Anmeldeinformationen in der Liste angezeigt. Richten Sie die Reihenfolge der Berechtigungsnachweise ein, wenn Sie eine große Anzahl von Berechtigungsnachweisen verwenden oder wenn die Sicherheitsvorkehrung nach drei fehlgeschlagenen Anmeldeversuchen Benutzer sperrt. Wenn alle Anmeldeinformationen dieselbe (oder keine) Reihenfolgennummer haben, werden die Anmeldeinformationen von der Instanz in zufälliger Reihenfolge ausprobiert.

    Befehle, die Stammberechtigungen für Discovery, Orchestration und IntegrationHub erfordern

    Diese Beispiele setzen voraus, dass der Benutzername Disco lautet. Setzen Sie den tatsächlichen Benutzernamen ein, und stellen Sie sicher, dass die Pfade für die Befehle mit den Pfaden im System übereinstimmen.
    Hinweis:
    Sudo-Befehle funktionieren nicht mit Anmeldeinformationen mit privaten Schlüsseln, da für den Sudo-Befehl kein Passwort angegeben werden muss. Eine Lösung ist das Hinzufügen der Option NOPASSWD zur Sudo-Konfiguration. Zum Beispiel könnten Sie Folgendes eingeben: disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.
    Tabelle : 1. UNIX- und Linux-Befehle, für die Stammberechtigungen erforderlich sind
    Befehl Zweck
    HP-UX
    adb Erfasst CPU-Geschwindigkeit und Speicher.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/adb
    • Verwendet von: Discovery
    Alle Linux- und UNIX-Versionen
    chage Ändert die Anzahl der Tage zwischen Passwortänderungen und dem Datum der letzten Passwortänderung.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/chage
    • Verwendet von: Orchestration und IntegrationHub
    chpasswd Ändert Benutzerpasswörter.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /etc/chpasswd
    • Verwendet von: Orchestration und IntegrationHub
    Alle Linux-Versionen
    dmidecode Sammelt Informationen über die Hardware, einschließlich der Seriennummer des Motherboard.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /sbin/dmidecode
    • Verwendet von: Discovery
    fdisk Sammelt die Informationen über Datenträger und Größen im System.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/fdisk -l
    • Verwendet von: Discovery
    multipath Sammelt Gerätezuordnungen für MPIO.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/multipath -ll
    • Verwendet von: Discovery
    Linux und Solaris
    dmsetup Untersucht einen Low-Level-Datenträger.
    • Beispiel einer /etc/sudoers-Zeile:
      • Disco ALL=(root) /usr/bin/dmsetup table *
      • Disco ALL=(root) /usr/bin/dmsetup ls
    • Verwendet von: Discovery
    Alle UNIX-Versionen
    lsof Ermittelt die Beziehung zwischen Prozessen und den Verbindungen, die zum System hergestellt werden.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /sbin/lsof
    • Verwendet von: Discovery
    oratab Ermöglicht den Lesezugriff auf die oratab-Datei zum Auffinden von Oracle Home und der Parameterdatei (pfile).
    • Beispiel einer /etc/sudoers-Zeile: Nicht zutreffend
    • Verwendet von: Discovery
    Solaris
    iscsiadm Ruft iSCSI-IQNs ab
    • Beispiel einer /etc/sudoers-Zeile: ${sudo:iscsiadm list target -S}
    • Verwendet von: Discovery
    fcinfo Ruft WWPNs für Ports ab.
    • Beispiel einer /etc/sudoers-Zeile: ${sudo:fcinfo remote-port -sl -p $port}
    • Verwendet von: Discovery
    prtvtoc Liefert Informationen zu Datenträgerpartitionen.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/prtvtoc
    • Verwendet von: Discovery
    pfiles

    Wird zum Sammeln von TCP-Verbindungsinformationen verwendet.

    • /etc/sudoers Zeilenbeispiel: Disco ALL=(root) /usr/bin/pfiles

    • Verwendet von: Discovery
    pgrep

    Wird verwendet, um Prozess-IDs einer bestimmten Region aufzulisten, für die Profile ausgeführt werden sollen.

    • /etc/sudoers Zeilenbeispiel: Disco ALL=(root) /usr/bin/pgrep

    • Verwendet von: Discovery
    /usr/bin/ps Führt laufende Prozesse auf. Fügen Sie als Alternative zur Ausführung mit Stammzugriff eine proc_owner-Rolle hinzu.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/bin/ps
    • Verwendet von: Discovery
    /usr/ucb/ps Führt laufende Prozesse auf. Fügen Sie als Alternative zur Ausführung mit Stammzugriff eine proc_owner-Rolle hinzu.
    Die Verwendung des Befehls /usr/ucb/ps ist ab Solaris 11 veraltet. Weil Discovery, Orchestration und IntegrationHub die Verwendung dieses Befehls für alle Solaris-Versionen erfordern, müssen Sie das ucb-Dienstprogramm auf Solaris 11-Systemen manuell installieren. Anweisungen dazu finden Sie in KB0564262.
    • Beispiel einer /etc/sudoers-Zeile: Disco ALL=(root) /usr/ucb/ps
    • Verwendet von: Discovery

    Eine Liste der privilegierten Befehle, die Sie für Discovery und Service Mapping benötigen, finden Sie unter Service Mapping commands requiring a privileged user - dort finden Sie auch eine Liste der Befehle, für die erhöhte Rechte zum Erkennen und Zuordnen von Unix-basierten Hosts in Ihrer Organisation erforderlich sind.

    Zugriffsanforderungen für Anmeldeinformationen ohne Root-Berechtigungen

    Wenn Sie Discovery Anmeldeinformationen ohne Root-Zugriffsrechte erteilen, müssen Sie die folgenden Zugriffsanforderungen angeben.
    Anwendung Datei oder Verzeichnis Erforderlicher Zugriff
    Apache httpd.conf Lesen
    Hbase hbase-site.xml Lesen
    JBoss jboss-service.xml Lesen
    JBoss-Stammverzeichnis Lesen
    web.xml Lesen
    MySQL my.cnf Lesen
    NGINX nginx.conf Lesen
    Oracle oratab Lesen
    Zugehörige Parameterdateien/Serverparameterdateien Lesen
    Oracle-Listener lsnrctl Ausführen
    listener.ora Lesen
    Tomcat catalina.jar Lesen
    server.xml Lesen
    web.xml Lesen
    Unix /etc/*release Lesen
    /etc/bashrc Lesen
    /etc/profile Lesen
    /proc/cpuinfo Lesen
    /proc/vmware/sched/ncpus Lesen
    /var/log/dmesg Lesen
    APD-Verzeichnis Lesen
    WebSphere cell.xml Lesen
    server.xml Lesen
    serverindex.xml Lesen