MID Server特権コマンド

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む7読むのに数分

ホストサーバー上の特定の情報を検出するには、MID Serverでより高い権限で SSH コマンドを実行する必要があります。プラットフォームでは、MID Server で使用されるデフォルトの特権コマンドと、システムに他のコマンドを追加する機能が用意されています。

高い権限を必要とする情報の例として、fdisk -l コマンドで取得される、ホストサーバー上のストレージディスクに関する情報があります。システムが sudo コマンドを使用できない場合は、ネットワーク内のホストを設定して、他の特権コマンドの 1 つを使用する必要があります。異なるホストに対して異なる特権コマンドを設定することができます。ただしディスカバリーではホストごとに特権コマンドを 1 つだけサポートします。

重要:

サポートされている特権コマンドは編集できますが、削除することはできません。

root 権限を必要とする可能な SSH コマンドのリストについては、「SSH 資格情報」を参照してください。

表 : 1. SSH 特権エスカレーションコマンドの要件
コマンド	説明
sudo	ホストは sudo -S -p <password> コマンドをサポートし、許可された SSH コマンドの正しいリストを返す必要があります。 Discovery に提供された資格情報は、sudo -S -p <password> <commands> コマンドを実行できる必要があります。
pbrun	ホストは pbrun -v コマンドをサポートし、PowerBroker の正しいバージョンを返す必要があります。 Discovery に提供された資格情報は、pbrun <commands> を実行できる必要があります。 Discovery はパスワードプロンプトなどの他の pbrun - オプションはサポートしていません。インスタンスは、SSH 経由でターゲットホストに到達できる必要があります。
pfexec	ホストは pfexec id -a コマンドをサポートし、正しい ID を返す必要があります。 Discovery に提供された資格情報は、pfexec <commands> を実行できる必要があります。 Discovery はパスワードプロンプトなどの他の pfexec - オプションはサポートしていません。
dzdo	ホストは command -v dzdo コマンドをサポートし、dzdo へのパスを標準出力で返す必要があります。ディスカバリーに提供された資格情報は、dzdo <commands> を実行できる必要があります。 Discovery は他の dzdo – オプションをサポートしていませんが、ディスカバリーは dzdo のパスワード認証をサポートしています。

sudo で長時間実行するコマンド

J2SSH と ServiceNow SSH を設定して、MID Server が切断されたときに sudo を使用して長時間実行されるコマンドが失敗するのを防ぎます。

ServiceNow SSH では、プローブが個々のコマンドや長時間実行されているスクリプト全体に対して sudo を実行することができます。これは pbrun および pfexec 特権コマンドに対してもサポートされています。

個々のコマンドに対する sudo

プローブ内の個々のコマンドに対して sudo を実行することはできますが、次のすべての sudoer 設定がターゲット上で実行されている場合のみです。

!requiretty オプションが必須です。
NOPASSWD が設定されている提供された資格証明のユーザーが個々のコマンドを実行可能にします。
ターゲットが、コマンドまたは参照されるスクリプトで個々の sudo 呼び出しを指定します。たとえば、スクリプト全体で "must_sudo" とするのではなく、"sudo fdisk -I" または "${sudo:fdisk -I}" のように sudo を設定します。

注:

ServiceNow SSH で個々のコマンドに対して sudo を実行すると、ターゲットコンピューター上の sudo ログに詳細で有用なエントリーが生成されます。

スクリプト全体で sudo を実行する

個々のコマンドに必要な sudoer の設定要件のいずれかが満たされていない場合、Discovery は最初のプローブと完了プローブに sudo を適用し、コマンド内で sudo をリモートで実行しません。この条件は、プローブで must_sudo を設定し、プローブ内の sudo コマンドを削除することで強制できます。

この方法では、プローブが切断されたときに長時間実行されるコマンドが失敗するのを防ぎますが、sudoers 構成で個々のコマンドを指定することはできません。

ログ記録

ServiceNow SSH sudo のアクティビティからのログは、/tmp/.run.aef13123fe124123 などの暗号を用いたエントリーを表示するスクリプト全体に対して実行され、これにより管理者は許可可能なコマンドをコントロールしたり、実行されたコマンドを正確に知ることができなくなったります。/sbin/fdisk -l など、個々のコマンドに対して Sudo を実行するとより詳細なログエントリーが生成されます。

MID Serverで使用するための新しい特権コマンドを追加する

Privileged Command [privileged_command] テーブルに新しい特権コマンドを追加します。このコマンドは MID Serverで使用できます。

始める前に

必要なロール：管理者

このタスクについて

重要:

サポートされているコマンドは削除しないでください。

手順

移動先すべて > MID サーバー > 特権コマンドをクリックし、「新規」をクリックします。
次のフィールドに入力します。
- [コマンド]：特権コマンドの名前。
- [パスワードプロンプト]：この特権コマンドに対してユーザーに表示されるパスワードプロンプト、またはこのパスワードプロンプトに一致する正規表現。このフィールドが空の場合、この特権コマンドにはパスワードは不要で、プロンプトは表示されません。SUDO コマンドはパスワードプロンプトを必要としません。
[送信] をクリックします。

特定の特権コマンドを使用するように MID Serverを設定する

定義された順序で特定のコマンドを使用するように MID Serverを設定できます。

始める前に

必要なロール：管理者

手順

次のいずれかのパスを使用して、MID Serverのリストに移動します。
- MID サーバー > サーバー
- ディスカバリー > MID サーバー
- オーケストレーション > MID サーバー
設定する MID Serverを選択します。
ヘッダーバーのメニューアイコンをクリックし、ビュー > 詳細コンテキストメニューから。

図 : 1. 詳細表示の選択
[特権コマンド] 関連リストで、[編集] をクリックします。
この MID Serverで使用するコマンドを選択し、[保存] をクリックします。
特権コマンドのデフォルトの順序は 100 ですが、必要に応じて順序を変更できます。最も小さい順序番号の特権コマンドが最初に試されます。
図 : 2. MID Serverに使用する特権コマンドのリスト

pbrun プロファイル特権コマンドを作成する

プロファイルとして実行できる pbrun 特権コマンドの特別な構成を作成することができます。

始める前に

必要なロール：discovery_admin、admin

このタスクについて

すべての特権コマンドのうち、pbrun コマンドだけがプロファイルとして実行するように設定することができます。これらの特別な pbrun 構成のうち 1 つのみを MID Server上で機能させることができます。

重要:

既存の pbrun レコードをこの目的のために編集します。pbrun に対して作成した追加のコマンドはすべてシステムに無視されます。

手順

移動先すべて > MID サーバー > 特権コマンド.
リストから [pbrun] を選択します。
特権コマンドレコードで、pbrun -u <profile> 形式を使用するために [コマンド] フィールドの値を編集します。
たとえば、管理者プロファイルで実行するにはコマンドとして pbrun -u admin を設定できます。
[更新] をクリックします。

次のタスク

MID Server の構成に戻ります。