MID サーバー特権コマンド

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：7分

ホストサーバー上の特定の情報を検出するには、MID サーバーでより高い権限で SSH コマンドを実行する必要があります。プラットフォームでは、MID サーバーで使用されるデフォルトの特権コマンドと、システムに他のコマンドを追加する機能が用意されています。

高い権限を必要とする情報の例として、fdisk -l コマンドで取得される、ホストサーバー上のストレージディスクに関する情報があります。システムが sudo コマンドを使用できない場合は、ネットワーク内のホストを設定して、他の特権コマンドの 1 つを使用する必要があります。異なるホストに対して異なる特権コマンドを設定することができます。ただしディスカバリーではホストごとに特権コマンドを 1 つだけサポートします。

重要:

サポートされている特権コマンドは編集できますが、削除することはできません。

root 権限を必要とする可能な SSH コマンドのリストについては、「SSH 認証情報」を参照してください。

表 : 1. SSH 特権エスカレーションコマンドの要件
コマンド	説明
sudo	ホストは sudo -S -p <password> コマンドをサポートし、許可された SSH コマンドの正しいリストを返す必要があります。ディスカバリーに提供された認証情報は、sudo -S -p <password> <commands> コマンドを実行できる必要があります。
pbrun	ホストは pbrun -v コマンドをサポートし、PowerBroker の正しいバージョンを返す必要があります。ディスカバリーに提供された認証情報は、pbrun <commands> を実行できる必要があります。ディスカバリーはパスワードプロンプトなどの他の pbrun - オプションはサポートしていません。インスタンスは、SSH 経由でターゲットホストに到達できる必要があります。
pfexec	ホストは pfexec id -a コマンドをサポートし、正しい ID を返す必要があります。ディスカバリーに提供された認証情報は、pfexec <commands> を実行できる必要があります。ディスカバリーはパスワードプロンプトなどの他の pfexec - オプションはサポートしていません。
dzdo	ホストは command -v dzdo コマンドをサポートし、dzdo へのパスを標準出力で返す必要があります。ディスカバリーに提供された認証情報は、dzdo <commands> を実行できる必要があります。ディスカバリーは他の dzdo – オプションをサポートしていませんが、ディスカバリーは dzdo のパスワード認証をサポートしています。

sudo で長時間実行するコマンド

J2SSH と ServiceNow SSH を設定して、MID サーバーが切断されたときに sudo を使用して長時間実行されるコマンドが失敗するのを防ぎます。

ServiceNow SSH では、プローブが個々のコマンドや長時間実行されているスクリプト全体に対して sudo を実行することができます。これは pbrun および pfexec 特権コマンドに対してもサポートされています。

個々のコマンドに対する sudo

プローブ内の個々のコマンドに対して sudo を実行することはできますが、次のすべての sudoer 設定がターゲット上で実行されている場合のみです。

!requiretty オプションが必須です。
NOPASSWD が設定されている提供された資格証明のユーザーが個々のコマンドを実行可能にします。
ターゲットが、コマンドまたは参照されるスクリプトで個々の sudo 呼び出しを指定します。たとえば、スクリプト全体で "must_sudo" とするのではなく、"sudo fdisk -I" または "${sudo:fdisk -I}" のように sudo を設定します。

注:

ServiceNow SSH で個々のコマンドに対して sudo を実行すると、ターゲットコンピューター上の sudo ログに詳細で有用なエントリーが生成されます。

スクリプト全体で sudo を実行する

個々のコマンドに必要な sudoer の設定要件のいずれかが満たされていない場合、ディスカバリーは最初のプローブと完了プローブに sudo を適用し、コマンド内で sudo をリモートで実行しません。この条件は、プローブで must_sudo を設定し、プローブ内の sudo コマンドを削除することで強制できます。

この方法では、プローブが切断されたときに長時間実行されるコマンドが失敗するのを防ぎますが、sudoers 構成で個々のコマンドを指定することはできません。

ログ記録

ServiceNow SSH sudo のアクティビティからのログは、/tmp/.run.aef13123fe124123 などの暗号を用いたエントリーを表示するスクリプト全体に対して実行され、これによりアドミニストレーターは許可可能なコマンドをコントロールしたり、実行されたコマンドを正確に知ることができなくなったります。/sbin/fdisk -l など、個々のコマンドに対して Sudo を実行するとより詳細なログエントリーが生成されます。

MID サーバーで使用するための新しい特権コマンドを追加する

Privileged Command [privileged_command] テーブルに新しい特権コマンドを追加します。このコマンドは MID サーバーで使用できます。

始める前に

必要なロール：admin

このタスクについて

重要:

サポートされているコマンドは削除しないでください。

手順

次のように移動する。 All (すべて) > MID Server > 特権コマンドをクリックし、[ 新規] をクリックします。
次のフィールドに入力します。
- [コマンド]：特権コマンドの名前。
- [パスワードプロンプト]：この特権コマンドに対してユーザーに表示されるパスワードプロンプト、またはこのパスワードプロンプトに一致する正規表現。このフィールドが空の場合、この特権コマンドにはパスワードは不要で、プロンプトは表示されません。SUDO コマンドはパスワードプロンプトを必要としません。
[送信] をクリックします。

特定の特権コマンドを使用するように MID サーバーを設定する

定義された順序で特定のコマンドを使用するように MID サーバーを設定できます。

始める前に

必要なロール：admin

手順

次のいずれかのパスを使用して、MID サーバーのリストに移動します。
- MID Server > サーバー
- ディスカバリー > MID Server
- オーケストレーション > MID Server
設定する MID サーバーを選択します。
ヘッダーバーのメニューアイコンをクリックして、ビュー > 詳細 ] を選択します。

図 : 1. 詳細表示の選択
[特権コマンド] 関連リストで、[編集] をクリックします。
この MID サーバーで使用するコマンドを選択し、[保存] をクリックします。
特権コマンドのデフォルトの順序は 100 ですが、必要に応じて順序を変更できます。最も小さい順序番号の特権コマンドが最初に試されます。
図 : 2. MID サーバーに使用する特権コマンドのリスト

pbrun プロファイル特権コマンドを作成する

プロファイルとして実行できる pbrun 特権コマンドの特別な構成を作成することができます。

始める前に

必要なロール：discovery_admin、admin

このタスクについて

すべての特権コマンドのうち、pbrun コマンドだけがプロファイルとして実行するように設定することができます。これらの特別な pbrun 構成のうち 1 つのみを MID サーバー上で機能させることができます。

重要:

既存の pbrun レコードをこの目的のために編集します。pbrun に対して作成した追加のコマンドはすべてシステムに無視されます。

手順

次のように移動する。 All (すべて) > MID Server > 特権コマンド.
リストから [pbrun] を選択します。
特権コマンドレコードで、pbrun -u <profile> 形式を使用するために [コマンド] フィールドの値を編集します。
たとえば、アドミンプロファイルで実行するにはコマンドとして pbrun -u admin を設定できます。
[更新] をクリックします。

次のタスク

MID サーバーの構成に戻ります。