MID 서버 권한 있는 명령

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 5분

호스트 서버에서 특정 정보를 검색하려면 MID 서버가 더 높은 권한으로 SSH 명령을 실행해야 합니다. 플랫폼은 MID 서버에서 사용할 수 있는 기본적인 권한 있는 명령과 시스템에 명령을 추가하는 기능을 제공합니다.

상승된 권한이 필요한 정보의 예로는 fdisk -l 명령으로 검색된 호스트 서버의 저장소 디스크에 대한 정보가 있습니다. 시스템에서 sudo 명령을 사용할 수 없는 경우 다른 권한 있는 명령 중 하나를 사용하도록 네트워크의 호스트를 구성해야 합니다. 여러 호스트에 대해 서로 다른 권한 있는 명령을 구성할 수 있습니다. 디스커버리 그러나 는 호스트당 하나의 권한 있는 명령만 지원합니다.

중요사항:

지원되는 권한 있는 명령을 편집할 수 있지만 삭제하지는 마십시오.

루트 권한이 필요한 가능한 SSH 명령 목록은 SSH 자격 증명을 참조하십시오.

표 1. SSH 권한 있는 에스컬레이션 명령 요구 사항
명령	설명
sudo	호스트는 sudo -S -p <암호> 명령을 지원하고 허용되는 SSH 명령의 올바른 목록을 반환해야 합니다. 검색에 제공된 자격 증명은 sudo -S -p <password> <commands> 명령을 실행할 수 있어야 합니다.
pbrun	호스트는 pbrun -v 명령을 지원하고 올바른 버전의 PowerBroker를 반환해야 합니다. 검색에 제공된 자격 증명은 pbrun<명령>을 실행할 수 있어야 합니다. 검색은 암호 프롬프트와 같은 다른 pbrun 옵션을 지원하지 않습니다. 인스턴스는 SSH를 통해 대상 호스트에 연결할 수 있어야 합니다.
pfexec	호스트는 pfexec id -a 명령을 지원하고 올바른 ID를 반환해야 합니다. 검색에 제공된 자격 증명은 pfexec <명령>을 실행할 수 있어야 합니다. 검색은 암호 프롬프트와 같은 다른 pfexec 옵션을 지원하지 않습니다.
dzdo	호스트는 –v dzdo 명령을 지원하고 표준 출력에서 dzdo에 대한 경로를 반환해야 합니다. 에 디스커버리 제공된 자격 증명은 dzdo <명령>을 실행할 수 있어야 합니다. Discovery는 다른 dzdo – 옵션을 지원하지 않지만 디스커버리 , dzdo에 대한 암호 인증을 지원합니다.

sudo를 사용한 장기 실행 명령

MID 서버 연결이 끊어질 때 sudo를 사용하여 장기 실행 명령이 실패하지 않도록 J2SSH 및 ServiceNow SSH를 구성합니다.

ServiceNow SSH를 사용하면 프로브에서 개별 명령 또는 전체 장기 실행 스크립트에 대해 sudo를 실행할 수 있습니다. 이는 및 pfexec 권한 있는 명령에 대해서도 pbrun 지원됩니다.

개별 명령에 대한 Sudo

프로브 내의 개별 명령에 대해 sudo를 실행할 수 있지만 다음 sudoer 구성이 모두 대상에서 수행되는 경우에만 실행할 수 있습니다.

!requiretty 옵션이 필요합니다.
NOPASSWD가 구성된 제공된 자격 증명에서 사용자가 개별 명령을 실행할 수 있도록 허용합니다.
대상은 명령 또는 참조된 스크립트에서 개별 sudo 호출을 지정합니다. 예를 들어, 전체 스크립트에 대해 sudo를 "must_sudo"가 아닌 "sudo fdisk -I" 또는 "${sudo:fdisk -I}"로 설정합니다.

주:

SSH를 사용하여 ServiceNow 개별 명령에 대해 sudo를 실행하면 대상 컴퓨터의 sudo 로그에 상세하고 유용한 항목이 생성됩니다.

전체 스크립트에서 sudo 실행

개별 명령에 필요한 sudoer 구성 요구 사항이 없는 경우 검색은 초기 및 완료 프로브에 sudo를 적용하고 명령 내에서 원격으로 sudo를 실행하지 않습니다. 프로브에 must_sudo 설정하고 프로브 내에서 sudo 명령을 제거하여 이 조건을 적용할 수 있습니다.

이 접근 방식은 프로브 연결이 끊어질 때 장기 실행 명령이 실패하는 것을 방지하지만 sudoer 구성에서 개별 명령을 지정할 수는 없습니다.

로깅

전체 스크립트에 대해 실행되는 SSH sudo 활동의 로그 ServiceNow 에는 관리자가 허용 가능한 명령을 제어하고 실행된 정확한 명령을 알 수 없도록 하는 /tmp/.run.aef13123fe124123과 같은 암호화된 항목이 표시됩니다. 개별 명령에 대해 sudo run을 실행하면 /sbin/fdisk –l과 같은 더 자세한 로그 항목이 생성됩니다.

MID Server에서 사용할 새 권한 있는 명령 추가

MID Server에서 사용할 수 있는 권한 있는 명령 [privileged_command] 테이블에 새 권한 있는 명령을 추가합니다.

시작하기 전에

필요한 역할: 관리자

이 태스크 정보

중요사항:

지원되는 명령을 삭제하지 마십시오.

프로시저

다음으로 이동 모두 > MID 서버 > 권한 있는 명령 을 클릭하고 신규를 클릭합니다.
다음 필드를 작성합니다.
- Command: 권한 있는 명령의 이름입니다.
- 암호 프롬프트: 이 권한 있는 명령에 대해 사용자에게 표시되는 암호 프롬프트 또는 이 암호 프롬프트와 일치하는 정규 표현식입니다. 이 필드가 비어 있으면 이 권한 있는 명령에 암호가 필요하지 않으며 프롬프트가 표시되지 않습니다. SUDO 명령에는 암호 프롬프트가 필요하지 않습니다.
제출을 클릭합니다.

특정 권한 있는 명령을 사용하도록 MID 서버 구성

정의된 순서로 특정 명령을 사용하도록 MID 서버를 구성할 수 있습니다.

시작하기 전에

필요한 역할: 관리자

프로시저

다음 경로 중 하나를 사용하여 MID Server 목록으로 이동합니다.
- MID 서버 > 서버
- 디스커버리 > MID 서버
- 오케스트레이션 > MID 서버
구성할 MID 서버를 선택합니다.
헤더 막대에서 메뉴 아이콘을 클릭하고 뷰 > 고급 컨텍스트 메뉴에서.

그림 1. 고급 뷰 선택
권한 있는 명령 관련 목록에서 편집을 클릭합니다.
이 MID 서버에서 사용할 명령을 선택하고 저장을 클릭합니다.
권한 있는 명령의 기본 순서는 100이지만 필요에 따라 순서를 변경할 수 있습니다. 순서 번호가 가장 작은 권한 있는 명령이 먼저 시도됩니다.
그림 2. MID 서버에 사용할 권한 있는 명령 목록

pbrun 프로필 권한 있는 명령 만들기

프로파일로 실행할 수 있는 권한 있는 명령에 대한 pbrun 특수 구성을 만들 수 있습니다.

시작하기 전에

필요한 역할: discovery_admin, admin

이 태스크 정보

권한 있는 모든 명령 중에서 명령만 pbrun 프로파일로 실행되도록 구성할 수 있으며 이러한 특수 pbrun 구성 중 하나만 MID 서버에서 작동할 수 있습니다.

중요사항:

이를 위해 기존 pbrun 기록을 편집합니다. 에 대해 pbrun생성하는 추가 명령은 무시됩니다.

프로시저

다음으로 이동 모두 > MID 서버 > 권한 있는 명령.
목록에서 pbrun 을 선택합니다.
권한 있는 명령 기록에서 명령 필드의 값을 편집하여 . pbrun -u <profile>형식을 사용합니다.
예를 들어 관리자 프로필로 실행할 명령으로 설정할 pbrun -u admin 수 있습니다.
업데이트를 클릭합니다.

다음에 수행할 작업

(으)로 MID Server 구성돌아갑니다.