SSH 資格情報

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む15読むのに数分

    • ディスカバリー、Orchestration、統合ハブ では、SSH 資格情報を使用して UNIX デバイスと Linux デバイスを探索し、Secure Shell (SSH) を介してコマンドを実行します。SSH コマンドは、ルート資格情報または sudo を使用してルート権限で実行する必要があります。SSH 秘密鍵資格情報はセキュリティを強化します。

    ルート権限の付与

    ルート権限を付与する前に、組織内のセキュリティチームとともにセキュリティポリシーとオプションを確認してください。

    次のいずれかの方法を使用すると、ユーザーはルート権限で SSH コマンドを実行することができます。
    • ディスカバリー、Orchestration、統合ハブ の他の資格情報を指定しますが、これらの資格情報のユーザーには sudo を使用してルート権限で特定のコマンドを実行する権限を付与します。これによって、限られた特権を安全に付与できます。ディスカバリー、Orchestration、統合ハブ では、must_sudo パラメーターを [true] (デフォルトは [false]) に設定した任意のプローブで sudo を使用します。ただし、sudo が動作するように各システムを設定する必要があります。これを行うには、visudo コマンドを使用して /etc/sudoers ファイルを編集します。
    • ルート認証情報を指定します。これらは明らかに最も強力な資格情報ですが、セキュリティの観点からは望ましくない場合があります。ディスカバリー、Orchestration、統合ハブ に任意の UNIX システムまたは Linux システムに対するルート資格情報がある場合は、それ以上構成する必要はありません。

    特権コマンド

    プラットフォームでは、MID Server で使用されるデフォルトの特権コマンドと、システムに他のコマンドを追加する機能が用意されています。sudo およびその他の特権コマンドの使用の詳細については、「MID Server の特権コマンド」を参照してください。

    SSH 秘密鍵資格情報タイプ

    注:
    通常は SSH 秘密鍵資格情報を使用してください。SSH パスワード資格情報よりもセキュリティが優れています。
    フィールド 入力値
    名前 この認証情報にわかりやすい一意の名前。たとえば、SSH Atlanta と入力します。
    アクティブ これらの資格情報の使用を有効または無効にします。
    ユーザー名 UNIX または Linux のユーザー名を入力します。ユーザー名の先頭または末尾にはスペースを使用しないでください。プラットフォームでユーザー名の先頭または末尾のスペースが検出されると、警告が表示されます。
    パスワード UNIX または Linux のパスワードを入力します。[SSH 秘密鍵] タイプの認証情報でユーザー名にパスワードが必要な場合は、sudo パスワードを入力します。
    SSH パスフレーズ セキュアな SSH パスフレーズを入力します。このフィールドは、[SSH 秘密鍵] の認証情報にのみ使用できます。
    SSH 秘密鍵 SSH ログインのパスワードの代わりに使用できる安全な RSA、DSA、または ECDSA 秘密鍵を入力します。

    秘密鍵は、正しく暗号化されるように、適切な形式で入力する必要があります。秘密鍵は、文字列 -----BEGIN で始める必要があります。

    正しい形式の RSA 秘密鍵の例を次に示します。
    -----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END RSA PRIVATE KEY-----
    DSA キーの例を次に示します。
    -----BEGIN DSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END DSA PRIVATE KEY-----
    ECDSA キーの例を次に示します。
    -----BEGIN EC PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END EC PRIVATE KEY-----

    Now Platform では、OpenSSH ssh-keygen ユーティリティで生成された PEM 形式の秘密鍵をサポートしています。PuTTY によって生成された PPK キーを変換するには、次の手順に従います。

    • PuTTYGen で秘密鍵を開きます。
    • メニューからOpenSSH形式でエクスポートします 変換 > OpenSSH キーをエクスポート.
    • 新しい OpenSSH キーを保存します。
    SSH 証明書

    証明書を使用して SSH ログイン用の RSA ベースの OpenSSH 証明書を入力します。証明書を入力すると、証明書ベースの認証に秘密キーが使用されます。この認証は OpenSSH 7.8 以降でサポートされています。
    資格情報エイリアス
    • Flow Designer が別名を使用して接続と資格情報を管理できるようにします。エイリアスを使用することで、複数の環境を使用する場合に、複数の資格情報と接続情報プロファイルを構成する必要がなくなります。接続または資格情報が変更された場合、接続を使用するどのアクションも更新する必要はありません。詳細については、「接続と資格情報」を参照してください。
    • ワークフロー作成者は、個々の資格情報を Orchestration ワークフロー内の任意のアクティビティに割り当てたり、Orchestration ワークフロー内で同じアクティビティタイプが発生するたびに異なる資格情報を割り当てたりすることができます。
    外部の資格情報ストア 外部認証情報ストレージシステムを使用するには、このチェックボックスをオンにします。このオプションを選択すると、[ユーザー名] フィールドと [パスワード] フィールドが [認証情報 ID] フィールドに置き換えられます。現在サポートされている外部ストレージ システムは CyberArk だけです。
    MID Server を使用 使用可能な MID Server のリストから 1 つ以上の MID Server を選択します。このレコードで設定された認証情報は、このリストの MID Server で使用できます。このフィールドは、[適用先] フィールドで [特定の MID Server] を選択した場合のみ使用できます。
    適用先 これらの資格情報をネットワーク内の [すべての MID Server] または 1 つ以上の [特定の MID Server] に適用するかどうかを選択します。[MID Server] フィールドでこれらの資格情報を使用する MID Server を指定します。
    順序 プラットフォームがデバイスへのログインを試行するときにこの資格情報を試行する順序 (シーケンス)。番号が小さいほど、この資格情報がリストの上位に表示されます。多くの資格情報を使用する場合、またはログイン試行が 3 回失敗してセキュリティによってユーザーがロックアウトされた場合、資格情報の順序を確立します。すべての資格情報に同じ順序番号を設定した場合、または何も設定しない場合、Discovery または Orchestration では、資格情報をランダムな順序で試行します。

    SSH 資格情報タイプ

    次のフィールドは、SSH 資格情報フォームで使用できます。
    フィールド 説明
    名前 この資格情報のわかりやすい一意の名前を入力します。
    アクティブ これらの資格情報の使用を有効または無効にします。
    ユーザー名 [資格情報] テーブルに、作成するユーザー名を入力します。ユーザー名の先頭または末尾にはスペースを使用しないでください。プラットフォームでユーザー名の先頭または末尾のスペースが検出されると、警告が表示されます。CIM 検出の場合、ユーザーには admin ロールが必要です。
    パスワード パスワードを入力します。
    資格情報 ID 外部認証情報システム用に MID Server にアップロードされた JAR ファイルに外部認証情報用に設定された一意のキーを入力します。[資格情報 ID] フィールドには 40 文字の制限があります。

    このフィールドは、[外部の認証情報ストア] チェックボックスがオンになっている場合にのみ表示されます。
    資格情報エイリアス
    • Flow Designer が別名を使用して接続と資格情報を管理できるようにします。エイリアスを使用することで、複数の環境を使用する場合に、複数の資格情報と接続情報プロファイルを構成する必要がなくなります。接続または資格情報が変更された場合、接続を使用するどのアクションも更新する必要はありません。詳細については、「接続と資格情報」を参照してください。
    • ワークフロー作成者は、個々の資格情報を Orchestration ワークフロー内の任意のアクティビティに割り当てたり、Orchestration ワークフロー内で同じアクティビティタイプが発生するたびに異なる資格情報を割り当てたりすることができます。Service Mapping および検出パターンを使用してこの CI タイプに属していない CI を検出するために資格情報を使用するには、CI が属する CI タイプのテーブル名 (cmdb_ci_apache_web_server など) を入力します。詳細については、「資格情報をデフォルト以外に変更する」を参照してください。
    外部の資格情報ストア 外部認証情報ストレージシステムを使用するには、このチェックボックスをオンにします。このオプションを選択すると、[ユーザー名] フィールドと [パスワード] フィールドが [認証情報 ID] フィールドに置き換えられます。外部の認証情報ストレージは、 外部認証情報ストレージ プラグインをアクティブ化した場合にのみ使用できます。
    注:
    現在サポートされている外部ストレージ システムは CyberArk だけです。
    適用先

    これらの認証情報をネットワーク内の [すべての MID サーバー] または 1 つ以上の [特定の MID サーバー] に適用するかどうかを選択します。[MID サーバー] フィールドでこれらの認証情報を使用する MID サーバー を指定します。
    MID Server を使用 使用可能な MID Server のリストから 1 つ以上の MID Server を選択します。このレコードで設定された認証情報は、このリストの MID Server で使用できます。このフィールドは、[適用先] フィールドで [特定の MID Server] を選択した場合のみ使用できます。
    順番

    ディスカバリー がデバイスにログオンしようとするときに、この認証情報を試行する順序 (シーケンス) 。番号が小さいほど、この認証情報がリストの上位に表示されます。多くの資格情報を使用する場合、またはログイン試行が 3 回失敗してセキュリティによってユーザーがロックアウトされた場合、資格情報の順序を確立します。すべての資格情報の順序番号が同じ (または順序番号がない) 場合、インスタンスは資格情報をランダムな順序で試行します。

    Discovery、Orchestration、統合ハブ のルート権限が必要なコマンド

    次の例では、ユーザー名が Disco であることを前提とします。実際のユーザー名に置き換えて、コマンドのパスがシステム上のパスと一致することを確認してください。
    注:
    sudo コマンドに入力するパスワードがないため、sudo コマンドは秘密鍵資格情報と連携しません。解決策は、NOPASSWD オプションを sudo 構成に追加することです。たとえば、disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig と入力します。
    表 : 1. ルート権限が必要な UNIX コマンドおよび Linux コマンド
    コマンド 目的
    HP-UX
    adb CPU の速度とメモリーを収集します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/adb
    • [使用者]:Discovery
    Linux および UNIX のすべてのバージョン
    chage 前回のパスワード変更日からパスワードを変更するまでの日数を変更します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/chage
    • [使用者]:Orchestration と 統合ハブ
    chpasswd ユーザーパスワードを変更します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /etc/chpasswd
    • [使用者]:Orchestration と 統合ハブ
    すべての Linux
    dmidecode マザーボード内に埋め込まれたシリアル番号など、ハードウェアに関するいくつかの情報を収集します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /sbin/dmidecode
    • [使用者]:Discovery
    fdisk システム上のディスクおよびサイズ情報を収集します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/fdisk -l
    • [使用者]:Discovery
    multipath MPIO のデバイス マッピングを収集します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/multipath -ll
    • [使用者]:Discovery
    Linux および Solaris
    dmsetup 低レベルのボリュームを調べます。
    • [/etc/sudoers 行の例]:
      • Disco ALL=(root) /usr/bin/dmsetup table *
      • Disco ALL=(root) /usr/bin/dmsetup ls
    • [使用者]:Discovery
    UNIX のすべてのバージョン
    lsof プロセスとシステムへの接続との関係を決定します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /sbin/lsof
    • [使用者]:Discovery
    oratab Oracle ホームおよび pfile を検索するために oratab ファイルへの読み取りアクセス権を付与します。
    • [/etc/sudoers 行の例]:N/A
    • [使用者]:Discovery
    Solaris
    iscsiadm iSCSI IQNs を取得
    • [/etc/sudoers 行の例]:${sudo:iscsiadm list target -S}
    • [使用者]:Discovery
    fcinfo ポートの WWPN を取得します。
    • [/etc/sudoers 行の例]:${sudo:fcinfo remote-port -sl -p $port}
    • [使用者]:Discovery
    prtvtoc ディスク パーティションに関する情報をレポートします。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/prtvtoc
    • [使用者]:Discovery
    pfiles

    TCP 接続情報を収集するために使用されます。

    • /etc/sudoers 行の例:Disco ALL=(root) /usr/bin/pfiles

    • [使用者]:Discovery
    Pgrep

    pfile を実行する特定の領域のプロセス ID をリストするために使用されます。

    • /etc/sudoers 行の例:Disco ALL=(root) /usr/bin/pgrep

    • [使用者]:Discovery
    /usr/bin/ps 実行中のプロセスを一覧表示します。ルート アクセスで実行する代わりに、proc_owner ロールを追加します。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/bin/ps
    • [使用者]:Discovery
    /usr/ucb/ps 実行中のプロセスを一覧表示します。ルート アクセスで実行する代わりに、proc_owner ロールを追加します。
    /usr/ucb/ps コマンドの使用は、Solaris 11 の時点で廃止となっています。ディスカバリーオーケストレーション統合ハブ では、Solaris のすべてのバージョンに対してこのコマンドを使用しなければならないため、Solaris 11 システムに ucb ユーティリティを手動でインストールする必要があります。手順については、「KB0564262」を参照してください。
    • [/etc/sudoers 行の例]:Disco ALL=(root) /usr/ucb/ps
    • [使用者]:Discovery

    Discovery および Service Mapping に必要な特権コマンドのリストについては、「Service Mapping commands requiring a privileged user」を参照して、組織内で Unix ベースのホストを検出およびマッピングするために、昇格された権限を必要とするコマンドのリストを確認してください。

    ルート以外の認証情報のアクセス要件

    ディスカバリー にルート アクセスの資格情報を指定しない場合は、次のアクセス要件で資格情報を指定する必要があります。
    アプリケーション ファイルまたはディレクトリー 必要なアクセス権
    Apache httpd.conf 読み取り
    Hbase hbase-site.xml 読み取り
    JBoss jboss-service.xml 読み取り
    JBoss ホーム ディレクトリー 読み取り
    web.xml 読み取り
    MySQL my.cnf 読み取り
    NGINX nginx.conf 読み取り
    Oracle oratab 読み取り
    関連する pfile 読み取り
    Oracle リスナー lsnrctl 実行
    listener.ora 読み取り
    Tomcat catalina.jar 読み取り
    server.xml 読み取り
    web.xml 読み取り
    Unix /etc/*release 読み取り
    /etc/bashrc 読み取り
    /etc/profile 読み取り
    /proc/cpuinfo 読み取り
    /proc/vmware/sched/ncpus 読み取り
    /var/log/dmesg 読み取り
    APD ディレクトリー 読み取り
    WebSphere cell.xml 読み取り
    server.xml 読み取り
    serverindex.xml 読み取り