SSH 자격 증명
검색, Orchestration 및 Integration Hub는 SSH(Secure Shell)를 통해 명령을 실행하기 위해 SSH 자격 증명을 사용하여 UNIX 및 Linux 장치를 탐색합니다. SSH 명령은 루트 자격 증명 또는 sudo 사용을 통해 루트 권한으로 실행되어야 합니다. SSH 개인 키 자격 증명은 추가 보안을 제공합니다.
루트 권한 부여
루트 권한을 부여하기 전에 조직의 보안 팀과 함께 보안 정책 및 옵션을 검토하십시오.
다음 방법 중 하나를 사용하여 사용자가 루트 권한으로 SSH 명령을 실행할 수 있도록 합니다.
- 검색, Orchestration, 또는 Integration Hub에 다른 자격 증명을 주고 해당 자격 증명의 sudo를 사용하여 루트 권한으로 특정 명령을 실행할 수 있는 권한을 사용자에게 부여합니다. 이것은 제한된 권한을 부여하는 안전한 방법입니다. 검색, Orchestration 또는 Integration Hub는
must_sudo매개변수를 True 로 설정한 모든 프로브에서 sudo를 사용합니다(기본값은 False). 그러나 sudo가 작동할 수 있도록 각 시스템을 구성해야 합니다. 이 작업을 수행하려면 visudo 명령을 사용하여 /etc/sudoers 파일을 편집합니다. - 루트 자격 증명을 제공합니다. 이것은 확실히 가장 강력한 자격 증명이지만 보안 측면에서는 바람직하지 않을 수 있습니다. 만약 검색, Orchestration 또는 Integration Hub가 UNIX 또는 Linux 시스템에 대한 루트 자격 증명을 갖고 있는 경우 추가 구성이 필요하지 않습니다.
권한 있는 명령
플랫폼은 MID Server에서 사용할 수 있는 기본적인 권한 있는 명령과 시스템에 명령을 추가하는 기능을 제공합니다. sudo 및 기타 권한 있는 명령 사용에 대한 자세한 내용은 MID Server 권한 있는 명령을 참조하십시오.
SSH 개인 키 자격 증명 형식
주:
SSH 개인 키 자격 증명은 SSH 암호 자격 증명보다 우수한 보안을 제공하므로 대부분의 케이스에서 사용해야 합니다.
| 필드 | 입력 값 |
|---|---|
| 이름 | 이 자격 증명에 대한 고유하고 설명적인 이름입니다. 예를 들어 SSH 애틀랜타로 부를 수도 있습니다. |
| 활성 | 사용하는 자격 증명을 활성화하거나 비활성화하십시오. |
| 사용자 이름 | UNIX 또는 Linux 사용자 이름을 입력합니다. 사용자 이름에 선행 또는 후행 공백을 넣지 않도록 합니다. 플랫폼이 사용자 이름에서 선행 또는 후행 공백을 탐지하면 경고가 표시됩니다. |
| 암호 | UNIX 또는 Linux 암호를 입력합니다. SSH 개인 키 유형 자격 증명의 경우 사용자 이름에 필요한 경우 sudo 암호를 입력 합니다. |
| SSH 암호 | 보안 SSH 암호를 입력합니다. 이 필드는 SSH 개인 키 자격 증명에 대해서만 사용할 수 있습니다. |
| SSH 개인 키 | SSH 로그인에 대한 암호 대신 사용할 수 있는 안전한 RSA, DSA 또는 ECDSA 개인 키를 입력합니다. 개인 키는 올바르게 암호화되도록 적절한 형식으로 입력해야 합니다. 개인 키는 다음은 올바른 형식의 RSA 개인 키 예시입니다. DSA 키의 예: ECDSA 키의 예: Now Platform은 OpenSSH ssh-keygen 유틸리티에서 생성된 PEM 형식의 개인 키를 지원합니다. PuTTY에 의해 생성된 PPK 키를 변환하려면 다음을 수행합니다.
|
| SSH 인증서 | 인증서를 사용하여 SSH 로그인에 사용할 RSA 기반 OpenSSH 인증서를 입력합니다. 인증서를 입력하면 인증서 기반 인증에 개인 키가 사용됩니다. 이 인증은 OpenSSH 7.8 이상에서 지원됩니다. |
| 자격 증명 별칭 |
|
| 외부 자격 증명 저장소 | 외부 자격 증명 저장 시스템을 사용하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 사용자 이름 및 암호 필드가 자격 증명 ID 필드로 바뀝니다. 현재 유일하게 지원되는 외부 저장소 시스템은 CyberArk입니다. |
| MID Server | 사용 가능한 MID Server 목록에서 MID Server를 하나 이상 선택하십시오. 이 레코드에 구성된 자격 증명은 해당 리스트의 MID Server에서 사용 가능합니다. 이 필드는 적용 대상 필드에서 특정 MID 서버를 선택했을 때만 사용할 수 있습니다. |
| 적용 대상 | 이러한 자격 증명을 네트워크의 모든 MID Server에 적용할지 아니면 하나 이상의 특정 MID Server에 적용할지 선택하십시오. MID Server 필드에 이러한 자격 증명을 사용해야 하는 MID Server를 지정하십시오. |
| 순서 | 플랫폼에서 장치에 로그인하려고 할 때 이 자격 증명을 시도하는 순서(시퀀스)입니다. 숫자가 작을수록 이 자격 증명이 목록에서 더 위에 나타납니다. 많은 수의 자격 증명을 사용하거나 로그인 시도가 3회 실패하여 보안상 사용자가 잠기는 경우 자격 증명 순서를 설정하십시오. 모든 자격 증명의 순서 번호가 같거나 없으면 Discovery 또는 Orchestration에서 임의의 순서로 자격 증명을 시도합니다. |
SSH 자격 증명 유형
이러한 필드는 SSH 자격 증명 양식에서 사용할 수 있습니다.
| 필드 | 설명 |
|---|---|
| 이름 | 이 자격 증명을 설명하는 고유한 이름을 입력합니다. |
| 활성 | 사용하는 자격 증명을 활성화하거나 비활성화하십시오. |
| 사용자 이름 | 자격 증명 테이블에 생성할 사용자 이름을 입력합니다. 사용자 이름에 선행 또는 후행 공백을 넣지 않도록 합니다. 플랫폼이 사용자 이름에서 선행 또는 후행 공백을 탐지하면 경고가 표시됩니다. CIM 검색의 경우 사용자에게 관리자 역할이 있어야 합니다. |
| 암호 | 암호를 입력합니다. |
| 자격 증명 ID | 외부 자격 증명 시스템용 MID Server로 업로드된 JAR 파일의 외부 자격 증명에 대해 구성된 고유 키를 입력합니다. 자격 증명 ID 필드에는 40자 제한이 있습니다. 이 필드는 외부 자격 증명 저장소 확인란이 선택된 경우에만 표시됩니다. |
| 자격 증명 별칭 |
|
| 외부 자격 증명 저장소 | 외부 자격 증명 저장 시스템을 사용하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 사용자 이름 및 암호 필드가 자격 증명 ID 필드로 바뀝니다. 외부 자격 증명 저장소는 External Credential Storage 플러그인이 활성화된 경우에만 사용할 수 있습니다. 주: 현재 유일하게 지원되는 외부 저장소 시스템은 CyberArk입니다. |
| 적용 대상 | 이러한 자격 증명을 네트워크의 모든 MID 서버에 적용할지 아니면 하나 이상의 특정 MID 서버에 적용할지 선택하십시오. MID 서버 필드에 이러한 자격 증명을 사용해야 하는 MID 서버를 지정하십시오. |
| MID Server | 사용 가능한 MID Server 목록에서 MID Server를 하나 이상 선택하십시오. 이 레코드에 구성된 자격 증명은 해당 리스트의 MID Server에서 사용 가능합니다. 이 필드는 적용 대상 필드에서 특정 MID 서버를 선택했을 때만 사용할 수 있습니다. |
| 순서 | 검색에서 장치에 로그인하려고 할 때 이 자격 증명을 시도하는 순서(시퀀스)입니다. 숫자가 작을수록 이 자격 증명이 목록에서 더 위에 나타납니다. 많은 수의 자격 증명을 사용하거나 로그인 시도가 3회 실패하여 보안상 사용자가 잠기는 경우 자격 증명 순서를 설정하십시오. 모든 자격 증명의 순서 번호가 같거나 없으면 인스턴스에서 임의의 순서로 자격 증명을 시도합니다. |
Discovery, Orchestration 및 Integration Hub에 대한 루트 권한이 필요한 명령
이 예시에서는 사용자 이름을 Disco로 가정합니다. 실제 사용자 이름을 대체하여 명령의 경로가 시스템의 경로와 일치하는지 확인합니다.
주:
Sudo 명령은 sudo 명령에 제공할 암호가 없기 때문에 개인 키 자격 증명과 함께 사용할 수 없습니다. 해결 방법은 sudo 구성에 NOPASSWD 옵션을 추가하는 것입니다. 예를 들어 다음과 같이 입력 합니다.
disco ALL = (root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.| 명령 | 목적 |
|---|---|
| HP-UX | |
| adb | CPU 속도와 메모리를 수집합니다.
|
| 모든 Linux 및 UNIX 버전 | |
| chage | 암호 변경 간격 및 마지막 암호 변경 날짜 사이의 일 수를 변경 합니다.
|
| chpasswd | 사용자 암호를 변경합니다.
|
| 모든 Linux | |
| dmidecode | 마더보드에 내장된 일련 번호를 포함하여 하드웨어에 대한 여러 가지 정보를 수집합니다.
|
| fdisk | 시스템에서 디스크와 크기 정보를 수집합니다.
|
| 다중 경로 | MPIO에 대한 장치 매핑을 수집합니다.
|
| Linux 및 Solaris | |
| dmsetup | 낮은 레벨의 볼륨을 검사합니다.
|
| 모든 UNIX 버전 | |
| lsof | 프로세스와 시스템 간의 연결 관계를 결정합니다.
|
| oratab | Oracle 홈 및 pfile을 찾기 위해 oratab 파일에 대한 읽기 권한을 부여합니다.
|
| Solaris | |
| iscsiadm | ISCSI IQNs 가져오기
|
| fcinfo | 포트에 대한 WWPN을 가져옵니다.
|
| prtvtoc | 디스크 파티션에 대한 정보를 보고 합니다.
|
| pfiles | TCP 연결 정보를 수집하는 데 사용됩니다.
|
| pgrep | pfiles를 실행할 특정 지역의 프로세스 ID를 나열하는 데 사용됩니다.
|
| /usr/bin/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다.
|
| /usr/ucb/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다. /Usr/ucb/ps 명령은 Solaris 11에서 사용되지 않습니다. 검색, 오케스트레이션 및 Integration Hub는 모든 Solaris 버전에 대해 해당 명령을 사용해야 하므로 solaris 11 시스템에서 ucb 유틸리티를 수동으로 설치해야 합니다. 자세한 내용은 KB0564262를 참조하십시오.
|
Discovery 및 Service Mapping에 필요한 권한 있는 명령 목록을 보려면 Service Mapping commands requiring a privileged user 문서를 참조하여 조직 내에서 UNIX 기반 호스트를 검색 및 매핑하기 위해 승격된 권한을 필요로 하는 명령 목록을 확인합니다.
루트가 아닌 자격 증명에 대한 액세스 요구 사항
루트 액세스 자격 증명에 검색를 제공하지 않으면 다음 액세스 요구 사항이 있는 자격 증명을 제공해야 합니다.
| 애플리케이션 | 파일 또는 디렉터리 | 액세스 필수 |
|---|---|---|
| Apache | httpd.conf | 읽기 |
| Hbase | hbase-site.xml | 읽기 |
| JBoss | jboss-service | 읽기 |
| JBoss 홈 디렉터리 | 읽기 | |
| web.xml | 읽기 | |
| MySQL | my.cnf | 읽기 |
| NGINX | nginx.conf | 읽기 |
| Oracle | oratab | 읽기 |
| 연결된 (s) pfiles | 읽기 | |
| Oracle Listener | lsnrctl | 실행 |
| ora | 읽기 | |
| Tomcat | catalina.jar | 읽기 |
| server.xml | 읽기 | |
| web.xml | 읽기 | |
| Unix | /etc/*release | 읽기 |
| /etc/bashrc | 읽기 | |
| /etc/profile | 읽기 | |
| /proc/cpuinfo | 읽기 | |
| /proc/vmware/sched/ncpus | 읽기 | |
| /var/log/dmesg | 읽기 | |
| APD 디렉터리 | 읽기 | |
| WebSphere | cell.xml | 읽기 |
| server.xml | 읽기 | |
| serverindex.xml | 읽기 |