Credenciais SSH

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • Descoberta, Orquestração e Integration Hub exploram dispositivos UNIX e Linux usando as credenciais SSH para executar comandos sobre o SSH (Secure Shell). Os comandos SSH devem ser executados com privilégios de root, com credenciais de root ou por meio do uso de sudo. As credenciais de chave privada SSH fornecem segurança adicional.

    Conceder privilégios de root

    Antes de conceder privilégios de root, revise sua política de segurança e opções com a equipe de segurança da sua organização.

    Use uma dessas abordagens para permitir que os usuários executem comandos SSH com privilégios de root:
    • Forneça outras credenciais para Descoberta, Orquestração ou Integration Hub, mas conceda ao usuário nessas credenciais o direito de executar determinados comandos com privilégios de root, usando sudo. Esta é uma maneira segura de conceder privilégios limitados. Descoberta, Orquestração ou Integration Hub usam sudo em qualquer probe que tenha o parâmetro must_sudodefinido como verdadeiro (o padrão é falso). No entanto, cada sistema deve ser configurado para permitir que o sudo funcione. Isso é feito editando o arquivo /etc/sudoers usando o comando visudo.
    • Forneça credenciais de root. Essas são, obviamente, as credenciais mais poderosas, mas podem não ser desejáveis do ponto de vista da segurança. Se Descoberta, Orquestração ou Integration Hub tiver as credenciais de root para qualquer sistema UNIX ou Linux, nenhuma configuração adicional será necessária.

    Comandos privilegiados

    A plataforma fornece comandos privilegiados padrão para o MID Server usar e a capacidade de adicionar comandos adicionais ao sistema. Para obter detalhes sobre como usar sudo e outros comandos privilegiados, consulte Comandos privilegiados do MID Server.

    Tipo de credencial de chave privada SSH

    Nota:
    As credenciais de chave privada SSH devem ser usadas na maioria dos casos, pois fornecem melhor segurança do que as credenciais de senha SSH.
    Campo Valor de entrada
    Nome Nome exclusivo e descritivo desta credencial. Por exemplo, você pode chamá-la de SSH Atlanta.
    Ativo Habilite ou desabilite essas credenciais para uso.
    Nome de usuário Insira um nome de usuário UNIX ou Linux. Evite espaços iniciais ou finais em nomes de usuário. Um aviso vai ser exibido se a plataforma detectar espaços iniciais ou finais no nome de usuário.
    Senha Insira a senha UNIX ou Linux. Para credenciais de tipo Chave Privada SSH, insira a senha sudo se for necessária para o nome de usuário.
    Senha SSH Digite uma senha longa de SSH. Este campo está disponível somente para credenciais de Chave Privada SSH.
    Chave privada de SSH Insira uma chave privada RSA, DSA, ECDSA ou ED25519 segura.

    A chave privada deve ser inserida no formato apropriado para garantir que esteja criptografada corretamente. A chave privada deve iniciar com a cadeia de caracteres -----BEGIN.

    Aqui está um exemplo de uma chave privada RSA formatada corretamente:
    -----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END RSA PRIVATE KEY-----
    Um exemplo de chave DSA:
    -----BEGIN DSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END DSA PRIVATE KEY-----
    Um exemplo de chave ECDSA:
    -----BEGIN EC PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END EC PRIVATE KEY-----
    E um exemplo de uma chave privada ED25519:
    -----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiwAAAKDQUtxZ0FLc
WQAAAAtzc2gtZWQyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiw
AAAECuvsTkFUPdpTh0kw23i8TYx19qsFOZ3TRgowkkHBh6wSViWqFx3DHxVDNnldogLmW1
CmNGveUiWr9oTrqa5+aLAAAAGmFiaGluYXYuc3V0YXJATVJFTUE3OTAzMkI3AQID
-----END OPENSSH PRIVATE KEY-----
    Nota:
    Para uma chave privada ED25519, somente o formato de chave OpenSSH é compatível, que é gerado usando o utilitário OpenSSH SSH-keygen.

    O Now Platform oferece suporte a chaves privadas no formato PEM gerado pelo utilitário OpenSSH ssh-keygen. Para converter chaves PPK que foram geradas pelo PuTTY:

    • Abra sua chave privada no PuTTYGen.
    • Exporte-o no formato OpenSSH a partir do menu Conversões > Exportar chave OpenSSH.
    • Salve a nova chave OpenSSH.
    Certificado SSH

    Insira um certificado OpenSSH baseado em RSA ou ED25519. Quando o certificado é inserido, uma chave privada é usada para autenticação baseada em certificados. Essa autenticação é compatível com OpenSSH versão 7.8 ou mais recente.
    Alias de credencial
    • Permita que os designers de fluxo usem aliases para gerenciar informações de conexão e de credencial. O uso de um alias elimina a necessidade de configurar várias credenciais e perfis de informações de conexão ao usar vários ambientes. Se as informações de conexão ou de credencial forem alteradas, não será necessário atualizar nenhuma ação que use a conexão. Para obter mais informações, consulte Conexões e credenciais.
    • Permita que os criadores do fluxo de trabalho atribuam credenciais individuais a qualquer atividade em um fluxo de trabalho do Orquestração ou atribuam credenciais diferentes a cada ocorrência do mesmo tipo de atividade em um fluxo de trabalho do Orquestração.
    Armazenamento externo de credenciais Marque esta caixa de seleção para usar um sistema de armazenamento externo de credenciais externas. Quando você seleciona esta opção, os campos Nome de usuário e Senha são substituídos pelo campo ID de credencial. Atualmente, o único sistema de armazenamento externo compatível é o CyberArk.
    MID servers Selecione um ou mais MID Servers na lista de MID Servers disponíveis. As credenciais configuradas neste registro estão disponíveis para os MID Servers nesta lista. Este campo está disponível somente quando você seleciona MID Servers específicos no campo Aplica-se a.
    Aplica-se a Selecione se deseja aplicar essas credenciais a Todos os MID Servers em sua rede, ou a um ou mais MID Servers específicos. Especifique os MID Servers que devem usar essas credenciais no campo Servidores MID.
    Ordem A ordem (sequência) na qual a plataforma experimenta esta credencial ao tentar fazer login nos dispositivos. Quanto menor o número, mais alta será a exibição dessa credencial na lista. Estabeleça a ordem de credenciais ao usar um grande número de credenciais ou quando a segurança bloquear usuários após três tentativas de login com falha. Se todas as credenciais tiverem o mesmo número de pedido (ou nenhum), a Descoberta ou Orquestração tentará as credenciais em uma ordem aleatória.

    Tipo de credencial SSH

    Esses campos estão disponíveis no formulário de credenciais SSH.
    Campo Descrição
    Nome Insira um nome exclusivo e descritivo para esta credencial.
    Ativo Habilite ou desabilite essas credenciais para uso.
    Nome de usuário Insira o nome de usuário a ser criado na tabela Credenciais. Evite espaços iniciais ou finais em nomes de usuário. Um aviso vai ser exibido se a plataforma detectar espaços iniciais ou finais no nome de usuário. Para a descoberta CIM, o usuário deve ter a função de administrador.
    Senha Insira a senha.
    ID da Credencial Insira a chave exclusiva configurada para credenciais externas no arquivo JAR carregado no MID Server para um sistema de credenciais externas. O campo ID de credencial tem um limite de 40 caracteres.

    Este campo só estará visível quando a caixa de seleção Armazenamento de credenciais externas estiver marcada.
    Alias de credencial
    • Permita que os designers de fluxo usem aliases para gerenciar informações de conexão e de credencial. O uso de um alias elimina a necessidade de configurar várias credenciais e perfis de informações de conexão ao usar vários ambientes. Se as informações de conexão ou de credencial forem alteradas, não será necessário atualizar nenhuma ação que use a conexão. Para obter mais informações, consulte Conexões e credenciais.
    • Permita que os criadores do fluxo de trabalho atribuam credenciais individuais a qualquer atividade em um fluxo de trabalho do Orquestração ou atribuam credenciais diferentes a cada ocorrência do mesmo tipo de atividade em um fluxo de trabalho do Orquestração. Para usar a credencial para descobrir ICs que não pertencem a este tipo de IC usando o Mapeamento de serviços e os Padrões de descoberta, insira o nome da tabela para o tipo de IC ao qual o IC pertence, por exemplo, cmdb_ci_apache_web_server.
    Armazenamento externo de credenciais Marque esta caixa de seleção para usar um sistema de armazenamento externo de credenciais externas. Quando você seleciona esta opção, os campos Nome de usuário e Senha são substituídos pelo campo ID de credencial. O armazenamento externo de credenciais só está disponível quando o plug-in Armazenamento externo de credenciais está ativado.
    Nota:
    Atualmente, o único sistema de armazenamento externo compatível é o CyberArk.
    Aplica-se a

    Selecione se deseja aplicar essas credenciais a Todos os MID Servers em sua rede, ou a um ou mais MID Servers específicos. Especifique os MID Servers que devem usar essas credenciais no campo MID Servers.
    MID servers Selecione um ou mais MID Servers na lista de MID Servers disponíveis. As credenciais configuradas neste registro estão disponíveis para os MID Servers nesta lista. Este campo está disponível somente quando você seleciona MID Servers específicos no campo Aplica-se a.
    Ordem

    A ordem (sequência) na qual o Descoberta testa esta credencial ao tentar fazer login nos dispositivos. Quanto menor o número, mais alta será a exibição dessa credencial na lista. Estabeleça a ordem de credenciais ao usar um grande número de credenciais ou quando a segurança bloquear usuários após três tentativas de login com falha. Se todas as credenciais tiverem o mesmo número na ordem (ou número nenhum), a instância vai tentar usar as credenciais em uma ordem aleatória.

    Comandos que exigem privilégios de root para Descoberta, Orquestração e Integration Hub

    Esses exemplos presumem que o nome de usuário é Disco. Substitua o nome de usuário real e certifique-se de que os caminhos dos comandos correspondam aos caminhos no sistema.
    Nota:
    Comandos sudo não funcionam com credenciais de chave privada, porque não há senha para fornecer ao comando sudo. Uma solução é adicionar a opção NOPASSWD à configuração do sudo. Por exemplo, você pode inserir: disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.
    Tabela 1. Comandos do UNIX e Linux que exigem privilégios de root
    Comando Finalidade
    HP-UX
    adb Reúne velocidade da CPU e memória.
    • /etc/exemplo de sudoers: Disco ALL=(root) /usr/bin/adb
    • Usado por: Descoberta
    Todas as versões do Linux e UNIX
    mudança Altera o número de dias entre as mudanças de senha e a data da última mudança de senha.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/chage
    • Usado por: Orquestração e Integration Hub
    chpasswd Altera as senhas do usuário.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /etc/chpasswd
    • Usado por: Orquestração e Integration Hub
    Todos os Linux
    dmidecode Reúne várias informações sobre o hardware, incluindo o número de série incorporado à placa-mãe.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /sbin/dmidecode
    • Usado por: Descoberta
    fdisk Reúne os discos e as informações de tamanho no sistema.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/fdisk -l
    • Usado por: Descoberta
    multipath Reúne mapeamentos de dispositivo para MPIO.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/multipath -ll
    • Usado por: Descoberta
    Linux e Solaris
    dmsetup Examina um volume de nível baixo.
    • exemplo de linha /etc/sudoers:
      • Disco ALL=(root) /usr/bin/dmsetup table*
      • Disco ALL=(root) /usr/bin/dmsetup ls
    • Usado por: Descoberta
    Todas as versões do UNIX
    lsof Determina o relacionamento entre os processos e as conexões feitas com o sistema.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /sbin/lsof
    • Usado por: Descoberta
    oratab Concede acesso de leitura ao arquivo oratab para localizar a página inicial do Oracle e o pfile.
    • Exemplo da linha /etc/sudoers: N/A
    • Usado por: Descoberta
    Solaris
    iscsiadm Obtém IQNs iSCSI
    • Exemplo de linha /etc/sudoers: $ {sudo: iscsiadm list target -S}
    • Usado por: Descoberta
    fcinfo Obtém WWPNs para portas.
    • Exemplo de linha /etc/sudoers: $ {sudo: fcinfo remote-port -sl -p$port}
    • Usado por: Descoberta
    prtvtoc Relata informações sobre partições de disco.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/prtvtoc
    • Usado por: Descoberta
    pfiles

    Usado para coletar informações de conexões TCP.

    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/pfiles

    • Usado por: Descoberta
    pgrep

    Usado para listar IDs de processo de uma região específica para executar pfiles.

    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/pgrep

    • Usado por: Descoberta
    /usr/bin/ps Lista o processo em execução. Como alternativa à execução com acesso raiz, adicione uma função proc_owner.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/bin/ps
    • Usado por: Descoberta
    /usr/ucb/ps Lista o processo em execução. Como alternativa à execução com acesso raiz, adicione uma função proc_owner.
    O uso do comando /usr/ucb/ps foi descontinuado no Solaris 11. Como Descoberta, Orquestraçãoe Integration Hub exigem o uso deste comando para todas as versões do Solaris, você deve instalar o utilitário ucb manualmente nos sistemas Solaris 11. Para obter instruções, consulte KB0564262.
    • Exemplo da linha /etc/sudoers: Disco ALL=(root) /usr/ucb/ps
    • Usado por: Descoberta

    Para obter uma lista de comandos privilegiados necessários para Descoberta e Mapeamento de serviços, consulte Service Mapping commands requiring a privileged user para acessar uma lista dos comandos que exigem direitos elevados para descobrir e mapear hosts baseados em Unix na sua organização.

    Requisitos de acesso para credenciais não root

    Se você não fornecer credenciais de acesso root a Descoberta, deverá fornecer credenciais com os seguintes requisitos de acesso.
    Aplicação Arquivo ou diretório Acesso Necessário
    Apache httpd.conf Leitura
    Hbase hbase-site.xml Leitura
    JBoss jboss-service.xml Leitura
    Diretório inicial do JBoss Leitura
    web.xml Leitura
    MySQL my.cnf Leitura
    NGINX nginx.conf Leitura
    Oracle oratab Leitura
    Arquivos associados (s) Leitura
    Oracle Listener lsnrctl Executar
    listener.ora Leitura
    Tomcat catalina.jar Leitura
    server.xml Leitura
    web.xml Leitura
    Unix /etc/*release Leitura
    / etc / bashrc Leitura
    /etc/profile Leitura
    /proc/cpuinfo Leitura
    /proc/vmware/sched/ncpus Leitura
    /var/log/dmesg Leitura
    Diretório APD Leitura
    WebSphere cell.xml Leitura
    server.xml Leitura
    serverindex.xml Leitura