Informations d'identification SSH

Sécurité de la plateforme Australie

Release

australia

ft:locale

fr-FR

ft:publication_title

Sécurité de la plateforme Australie

ft:clusterId

psec

bundleId

psec

workflow

Platform

Informations d'identification SSH

Rversion finale: Australia

Mis à jour 12 mars 2026

11 minutes de lecture

Découverte, Orchestration et Centre d'intégration explorer UNIX les Linux appareils en utilisant les informations d’identification SSH pour exécuter des commandes via Secure Shell (SSH). Les commandes SSH doivent s’exécuter avec les privilèges root, soit avec les informations d’identification root, soit via l’utilisation de sudo. Les informations d’identification de clé privée SSH offrent une sécurité supplémentaire.

Octroi des privilèges root

Avant d’accorder des privilèges root, passez en revue votre politique de sécurité et les options avec l’équipe de sécurité de votre organisation.

Utilisez l’une de ces approches pour permettre aux utilisateurs d’exécuter des commandes SSH avec des privilèges de root :

Donnez d’autres informations d’identification pour Découverte, Orchestration ou Centre d'intégration, mais accordez à l’utilisateur dans ces informations d’identification le droit d’exécuter certaines commandes avec des privilèges root, à l’aide de la commande sudo. Il s’agit d’un moyen sécurisé d’accorder des privilèges limités. Découverte, Orchestration ou Centre d'intégration utilisez sudo sur n’importe quelle sonde dont le paramètre must_sudoest défini sur True (Vrai ). Par défaut, il est défini sur False (Faux). Cependant, chaque système doit être configuré pour permettre à sudo de fonctionner. Pour ce faire, modifiez le fichier /etc/sudoers à l’aide de la commande visudo .
Donner les informations d’identification du compte super-utilisateur . Ce sont évidemment les informations d’identification les plus puissantes, mais peuvent ne pas être souhaitables du point de vue de la sécurité. Si Découverte, Orchestration ou Centre d'intégration possèdent les informations d’identification de base pour n’importe quel UNIXLinux système, aucune autre configuration n’est requise.

Commandes privilégiées

La plateforme fournit des commandes privilégiées par défaut que le serveur MID peut utiliser et la possibilité d’ajouter des commandes supplémentaires au système. Pour plus d’informations sur l’utilisation de sudo et d’autres commandes privilégiées, consultez Commandes privilégiées de serveur MID.

Type d’informations d’identification de clé privée SSH

Remarque :

Les informations d’identification de clé privée SSH doivent être utilisées dans la plupart des cas. Ils offrent une meilleure sécurité que les identifiants de mot de passe SSH, y compris contre les attaques MitM (man-in-the-middle) dans lesquelles les communications entre deux parties sont interceptées.


Champ	Valeur d'entrée
Nom	Nom unique et descriptif pour ces informations d'identification. Par exemple, vous pouvez l’appeler SSH Atlanta.
Actives	Activez ou désactivez ces informations d’identification pour les utiliser.
Nom d'utilisateur	Entrez un nom d’utilisateur UNIX ou Linux. Évitez les espaces de début ou de fin dans les noms d’utilisateur. Un avertissement s’affiche si la plateforme détecte des espaces de début ou de fin dans le nom d’utilisateur.
Mot de passe	Entrez le mot de passe UNIX ou Linux. Pour les informations d’identification de type Clé privée SSH , saisissez le mot de passe Sudo si le nom d’utilisateur en nécessite un.
Phrase de sécurité SSH	Saisissez une phrase de sécurité SSH sécurisée. Ce champ est disponible uniquement pour les informations d’identification de clé privée SSH .
Clé privée SSH	Saisissez une clé privée sécurisée, RSA, DSA, ECDSA ou ED25519. La clé privée doit être saisie au bon format pour garantir qu’elle est correctement chiffrée. La clé privée doit commencer par la chaîne `-----BEGIN.` Voici un exemple de clé privée RSA correctement formatée : `-----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END RSA PRIVATE KEY-----` Un exemple de clé DSA : `-----BEGIN DSA PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END DSA PRIVATE KEY-----` Un exemple de clé ECDSA : `-----BEGIN EC PRIVATE KEY----- MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x... ...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs -----END EC PRIVATE KEY-----` Et un exemple de clé privée ED25519 : `-----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW QyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiwAAAKDQUtxZ0FLc WQAAAAtzc2gtZWQyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiw AAAECuvsTkFUPdpTh0kw23i8TYx19qsFOZ3TRgowkkHBh6wSViWqFx3DHxVDNnldogLmW1 CmNGveUiWr9oTrqa5+aLAAAAGmFiaGluYXYuc3V0YXJATVJFTUE3OTAzMkI3AQID -----END OPENSSH PRIVATE KEY-----` Remarque : Pour une clé privée ED25519, seul le format de clé OpenSSH est pris en charge, qui est généré à l’aide de l’utilitaire OpenSSH SSH-keygen. Le ServiceNow AI Platform prend en charge les clés privées au format PEM générées par l’utilitaire OpenSSH ssh-keygen. Pour convertir les clés PPK qui ont été générées par PuTTY : Ouvrez votre clé privée dans PuTTYGen. Exportez-le au format OpenSSH à partir du menu Conversions > Exporter la clé OpenSSH. Enregistrez la nouvelle clé OpenSSH.
Certificat SSH	Saisissez un certificat OpenSSH basé sur RSA ou ED25519. Lorsque le certificat est saisi, une clé privée est utilisée pour l’authentification basée sur certificat. Cette authentification est prise en charge à partir d’OpenSSH 7.8.
Alias d'identification	Autorisez les concepteurs de flux à utiliser des alias pour gérer les informations de connexion et d’identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d’identification changent, il n’est pas nécessaire de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification. Autorisez les créateurs de workflow à affecter des informations d’identification individuelles à n’importe quelle activité d’un workflow Orchestration ou à attribuer des informations d’identification différentes à chaque occurrence du même type d’activité dans un workflow Orchestration.
Banque d'identifiants externes	Activez cette case à cocher pour utiliser un système de stockage d’informations d’identification externes. Lorsque vous sélectionnez cette option, les champs Nom d’utilisateur et Mot de passe sont remplacés par le champ ID d’informations d’identification . Actuellement, le seul système de stockage externe pris en charge est CyberArk.
MID Servers	Sélectionnez un ou plusieurs serveurs MID dans la liste des serveurs MID disponibles. Les informations d’identification configurées dans cet enregistrement sont disponibles pour les serveurs MID de cette liste. Ce champ n’est disponible que lorsque vous sélectionnez Serveurs MID spécifiques dans le champ S’applique à .
Concerne	Choisissez d’appliquer ces informations d’identification à tous les MID Servers de votre réseau, ou à un ou plusieurs MID Servers spécifiques. Spécifiez les serveurs MID qui doivent utiliser ces informations d’identification dans le champ Serveurs MID .
Ordre	Ordre (séquence) dans lequel la plateforme teste ces informations d’identification lorsqu’elle tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des nombres élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d’identification ont le même numéro d’ordre (ou aucun), Discovery ou Orchestration les teste dans un ordre aléatoire.

Type d’informations d’identification SSH

Ces champs sont disponibles dans le formulaire Informations d’identification SSH.


Champ	Description
Name (Nom)	Saisissez un nom unique et descriptif pour ces informations d’identification.
actif	Activez ou désactivez ces informations d’identification pour les utiliser.
Nom d’utilisateur	Entrez le nom d’utilisateur à créer dans la table Informations d’identification. Évitez les espaces de début ou de fin dans les noms d’utilisateur. Un avertissement s’affiche si la plateforme détecte des espaces de début ou de fin dans le nom d’utilisateur. Pour la détection CIM, l’utilisateur doit disposer du rôle d’administrateur.
Mot de passe	Entrez le mot de passe.
ID de certification	Entrez la clé unique configurée pour les informations d’identification externes dans le fichier JAR chargé sur le serveur MID pour un système d’informations d’identification externes. Le champ ID des informations d’identification a une limite de 40 caractères. Ce champ n’est visible que lorsque la case Banque d’identifiants externes est cochée.
Alias d'identification	Autorisez les concepteurs de flux à utiliser des alias pour gérer les informations de connexion et d’identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d’identification changent, il n’est pas nécessaire de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification. Autorisez les créateurs de workflow à affecter des informations d’identification individuelles à n’importe quelle activité d’un workflow Orchestration ou à attribuer des informations d’identification différentes à chaque occurrence du même type d’activité dans un workflow Orchestration. Pour utiliser les informations d’identification permettant de détecter des CI n’appartenant pas à ce type de CI à l’aide de Mappage des services et de Schémas de découverte, saisissez le nom de la table du type de CI auquel le CI appartient, par exemple cmdb_ci_apache_web_server.
Banque d'identifiants externes	Activez cette case à cocher pour utiliser un système de stockage d’informations d’identification externes. Lorsque vous sélectionnez cette option, les champs Nom d’utilisateur et Mot de passe sont remplacés par le champ ID d’informations d’identification . Le stockage des informations d’identification externe n’est disponible que lorsque le module d’extension Stockage des informations d’identification externe est activé. Remarque : Actuellement, le seul système de stockage externe pris en charge est CyberArk.
Concerne	Choisissez d’appliquer ces informations d’identification à tous les MID Servers de votre réseau, ou à un ou plusieurs MID Servers spécifiques. Spécifiez qui doit utiliser ces informations d’identification Serveurs MID dans le champ MID Servers .
MID Servers	Sélectionnez un ou plusieurs serveurs MID dans la liste des serveurs MID disponibles. Les informations d’identification configurées dans cet enregistrement sont disponibles pour les serveurs MID de cette liste. Ce champ n’est disponible que lorsque vous sélectionnez Serveurs MID spécifiques dans le champ S’applique à .
Ordre	Ordre (séquence) dans lequel Découverte teste cet identifiant de connexion lorsqu’il tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des nombres élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en possèdent aucun), l'instance teste les informations d'identification de façon aléatoire.

Commandes nécessitant des privilèges de super-utilisateur pour Découverte, Orchestration et Centre d'intégration

Ces exemples supposent que le nom d’utilisateur est Disco. Remplacez le nom d’utilisateur actuel et assurez-vous que les chemins d’accès des commandes correspondent aux chemins d’accès sur le système.

Remarque :

Les commandes sudo ne fonctionnent pas avec les informations d’identification de clé privée, car il n’y a pas de mot de passe à fournir pour la commande sudo. Une solution consiste à ajouter l’option NOPASSWD à la configuration sudo. Par exemple, vous pouvez entrer : disco ALL=(root) NOPASSWD :/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.

Tableau 1. Commandes UNIX et Linux nécessitant des privilèges de root
Commande	Objectif
HP-UX
ADB	Rassemble la vitesse et la mémoire du processeur. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/adb Utilisée par : Discovery
Toutes les versions Linux et UNIX
chage	Change le nombre de jours entre les changements de mot de passe et la date du dernier changement de mot de passe. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/chage Utilisé par : Orchestration et Centre d'intégration
chpasswd	Change les mots de passe des utilisateurs. Exemple de ligne /etc/sudoers : Disco ALL=(root) /etc/chpasswd Utilisé par : Orchestration et Centre d'intégration
Tout Linux
dmidecode	Rassemble plusieurs informations sur le matériel, y compris le numéro de série intégré dans la carte mère. Exemple de ligne /etc/sudoers : Disco ALL=(root) /sbin/dmidecode Utilisée par : Discovery
fdisk	Rassemble les disques et les informations de taille sur le système. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/fdisk -l Utilisée par : Discovery
Chemins d’accès multiples	Rassemble les mappages d’appareils pour MPIO. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/multipath -ll Utilisée par : Discovery
ls	Rassemble le contenu d’un répertoire. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/ls, /bin/ls Utilisée par : Discovery
Linux et Solaris
dmsetup	Examine un volume de faible niveau. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/dmsetup table * Disco ALL=(root) /usr/bin/dmsetup ls Utilisée par : Discovery
Toutes les versions UNIX
lsof	Détermine la relation entre les processus et les connexions en cours au système. Exemple de ligne /etc/sudoers : Disco ALL=(root) /sbin/lsof Utilisée par : Discovery
oratab	Accorde un accès en lecture au fichier oratab pour localiser la page d’accueil Oracle et le fichier pfile. Exemple de ligne /etc/sudoers : N/A Utilisée par : Discovery
Solaris
iscsiadm	Obtient les IQN iSCSI Exemple de ligne /etc/sudoers : ${sudo :iscsiadm list target -S} Utilisée par : Discovery
fcinfo	Obtient les WWPN pour les ports. Exemple de ligne /etc/sudoers : ${sudo :fcinfo remote-port -sl -p $port} Utilisée par : Discovery
prtvtoc	Génère des informations sur les partitions de disque. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/prtvtoc Utilisée par : Discovery
Fichiers PFile	Utilisé pour collecter des informations de connexions TCP. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pfiles Utilisée par : Discovery
PGREP	Utilisé pour répertorier les ID de processus d’une région particulière sur lesquels exécuter des fichiers PFiles. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pgrep Utilisée par : Discovery
/usr/bin/ps	Répertorie le processus d'exécution. Comme alternative à l’exécution avec l’accès racine, ajoutez un rôle proc_owner. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/ps Utilisée par : Discovery
/usr/ucb/ps	Répertorie le processus d'exécution. Comme alternative à l’exécution avec l’accès racine, ajoutez un rôle proc_owner. L’utilisation de la commande `/usr/ucb/ps` est déconseillée à partir de Solaris 11. Étant donné que Découverte, Orchestration et Centre d'intégration nécessitent l’utilisation de cette commande pour toutes les versions de Solaris, vous devez installer l’utilitaire ucb manuellement sur les systèmes Solaris 11. Pour obtenir des instructions, consultez KB0564262. Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/ucb/ps Utilisée par : Discovery

Pour obtenir la liste des commandes privilégiées dont vous avez besoin pour Détection et Mappage des services, reportez-vous à la section Service Mapping commands requiring a privileged user. Cette liste inclut les commandes qui nécessitent des droits élevés pour détecter et mapper les hôtes Unix dans votre organisation.

Exigences d’accès pour les informations d’identification non racine

Si vous ne fournissez Découverte pas d’informations d’identification d’accès racine, vous devez fournir des informations d’identification avec les exigences d’accès suivantes.


Application	Fichier ou répertoire	Accès requis
Apache	httpd.conf (en anglais)	Lire
Base d’informations	hbase-site.xml	Lire
JBoss	jboss-service.xml	Lire
	Répertoire de base JBoss	Lire
	web.xml	Lire
MySQL	mon.cnf	Lire
NGINX	nginx.conf	Lire
Oracle	oratab	Lire
Oracle	Fichiers pfiles associés	Lire
Oracle Listener	lsnrctl	Exécuter
Oracle Listener	listener.ora	Lire
Tomcat	catalina.jar	Lire
	server.xml	Lire
	web.xml	Lire
Unix	/etc/*mise en production	Lire
	/etc/bashrc	Lire
	/etc/profil	Lire
	/proc/cpuinfo	Lire
	/proc/vmware/plan/ncpus	Lire
	/var/log/dmesg	Lire
	Répertoire APD	Lire
WebSphere	cell.xml	Lire
	server.xml	Lire
	serverindex.xml	Lire