第3章 ソースおよび認証情報の追加
スキャンを実行するために Discovery を準備するには、スキャンする IT インフラストラクチャーの一部を 1 つ以上のソースとして追加する必要があります。また、これらのソースへのアクセスに必要なユーザー名とパスワードや SSH キーなどの認証情報を 1 つ以上のクレデンシャルとして追加する必要があります。設定要件が異なるため、スキャンするソースのタイプに応じてソースと認証情報を追加します。
詳細情報
IT インフラストラクチャーのさまざまな部分を含むソースおよび認証情報を追加する一般的なプロセスの一部として、多数のタスクを完了する必要がある場合があります。
ネットワークソースおよび認証情報を追加して、ネットワーク上の物理マシン、仮想マシン、コンテナーなどのアセットをスキャンします。詳細は、以下の情報を参照してください。
Satellite ソースと認証情報を追加して、Red Hat Satellite Server のデプロイメントをスキャンし、管理するアセットを見つけます。詳細は、以下の情報を参照してください。
vCenter ソースおよび認証情報を追加して、vCenter Server のデプロイメントをスキャンし、管理するアセットを見つけます。詳細は、以下の情報を参照してください。
OpenShift ソースおよび認証情報を追加して、Red Hat OpenShift Container Platform クラスターのデプロイメントをスキャンします。詳細は、以下の情報を参照してください。
Ansible ソースと認証情報を追加し、Ansible Automation Platform のデプロイメントをスキャンして、管理されているセキュアなクラスターを見つけます。詳細は、以下の情報を参照してください。
RHACS ソースと認証情報を追加し、Red Hat Advanced Cluster Security for Kubernetes のデプロイメントをスキャンして、RHACS が管理するセキュアなクラスターを見つけます。詳細は、以下の情報を参照してください。
3.1. ネットワークソースおよび認証情報の追加
ネットワーク上の 1 つ以上の物理マシン、仮想マシン、またはコンテナーでスキャンを実行するには、スキャンする各アセットを識別するソースを追加する必要があります。その後、各アセットにアクセスするために認証データが含まれる認証情報を追加する必要があります。
詳細情報
ネットワークソースと認証情報を 1 つ以上追加して、ネットワーク内のアセットをスキャンするのに必要な情報を提供します。詳細は、以下の情報を参照してください。
- ネットワークソースを追加するには、ネットワークソースの追加 を参照してください。
- ネットワーク認証情報を追加するには、ネットワーク認証情報の追加 を参照してください。
ソースと認証情報、および Discovery でのそれらの使用方法の詳細は、次の情報を参照してください。
ネットワーク上のアセットで Discovery が認証する方法の詳細は、以下の情報を参照してください。この情報には、権限を昇格したコマンドの実行に関するガイダンスが記載されています。これは、ネットワーク認証情報の設定時に行わないといけない場合があります。
3.1.1. ネットワークソースの追加
最初の Welcome ページまたは Sources ビューからソースを追加できます。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
- Welcome ページから Add Source をクリックします。
- Sources ビューから Add をクリックします。
ソースの追加ウィザードが開きます。
- Type ページで、Network Range をソースタイプとして選択し、Next をクリックします。
Credentials ページで、以下の情報を入力します。
- Name フィールドに、説明的な名前を入力します。
Search Addresses フィールドに、1 つ以上のネットワーク識別子をコンマで区切って入力します。ホスト名、IP アドレス、および IP 範囲を入力できます。
-
ホスト名を DNS ホスト名として入力します (例:
server1.example.com)
。 -
CIDR または Ansible 表記で IP 範囲を入力します (例: CIDR 表記
192.168.1.0/24
、Ansible 表記192.168.1.[1:254]
)。
-
ホスト名を DNS ホスト名として入力します (例:
- 必要に応じて、このソースのスキャンをデフォルトポート 22 で実行する必要がない場合は、Port フィールドに別のポートを入力します。
- Credentials リストで、このソースのネットワークリソースへのアクセスに必要な認証情報を選択します。必要な認証情報が存在しない場合は、Add a credential アイコンをクリックして Add Credential ウィザードを開きます。
- ネットワークリソースで、Ansible 接続方法として、デフォルトの OpenSSH 実装ではなく、Python SSH 実装の Paramiko を使用する必要がある場合は、Connect using Paramiko instead of OpenSSH チェックボックスをオンにします。
- Save をクリックしてソースを保存し、Close をクリックして Add Source ウィザードを閉じます。
3.1.2. ネットワーク認証情報の追加
Credentials ビューから認証情報を追加するか、ソースの作成時に Add Source ウィザードから認証情報を追加できます。1 つのソースに含まれるすべてのアセットに認証するために、複数の認証情報を追加する必要がある場合があります。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
-
Credentials ビューから、
をクリックします。 - Add Source ウィザードで、Credentials フィールドの Add a credential アイコンをクリックします。
Add Credential ウィザードが開きます。
-
Credentials ビューから、
- Credential Name フィールドに、説明的な名前を入力します。
- Authentication Type フィールドで、使用する認証のタイプを選択します。Username and Password または SSH Key のいずれかを選択できます。
認証タイプに応じて、適切なフィールドに認証データを入力します。
- ユーザー名とパスワードの認証に、ユーザーのユーザー名とパスワードを入力します。このユーザーには、ネットワークまたはスキャンするネットワークのサブセットへの root レベルのアクセスが必要です。このユーザーは、選択した become メソッドを使用してルートレベルのアクセスを取得できるようにする必要があります。
- SSH キー認証の場合は、ユーザー名を入力し、ssh キーファイルの内容を貼り付けます。パスフレーズの入力は任意です。
- 特権の昇格の方法を入力します。ネットワークスキャン中に一部のコマンドを実行するには、権限の昇格が必要です。become メソッドのユーザー名およびパスワードの入力は任意です。
- Save をクリックして認証情報を保存し、Add Credential ウィザードを閉じます。
3.1.3. ソースおよび認証情報について
スキャンを実行するには、ソースと認証情報の 2 つの基本的な構造のデータを設定する必要があります。スキャン中に検査するソースのタイプによって、ソースと認証情報の両方の設定に必要なデータのタイプが決まります。
ソース には、スキャン時に検査される単一のアセットまたは複数のアセットが含まれます。次のいずれかのタイプのソースを設定できます。
- ネットワークソース
- 1 つ以上の物理マシン、仮想マシン、またはコンテナー。これらのアセットはホスト名、IP アドレス、IP 範囲、またはサブネットとして表現可能。
- vCenter ソース
- IT インフラストラクチャーのすべてまたは一部を管理する vCenter Server システム管理ソリューション。
- Satellite ソース
- IT インフラストラクチャーのすべてまたは一部を管理する Satellite システム管理ソリューション。
- Red Hat OpenShift ソース
- Red Hat OpenShift Container Platform ノードおよびワークロードのすべてまたは一部を管理する Red Hat OpenShift Container Platform クラスター。
- Ansible ソース
- Ansible ノードとワークロードを管理する Ansible 管理ソリューション。
- Red Hat Advanced Cluster Security for Kubernetes ソース
- Kubernetes 環境をセキュリティー保護する RHACS セキュリティープラットフォームソリューション。
ネットワークソースを使用している場合は、単一のソース内でグループ化する必要がある個々のアセットの数を決定します。現在、ネットワークソースに対してのみ、複数のアセットをソースに追加できます。次のリストには、ソースを追加するときに考慮する必要があるその他の要因がいくつか含まれています。
- アセットが開発、テスト、または本番環境の一部であるかどうか、およびコンピューティング能力の要求と同様の懸念がそれらのアセットの考慮事項であるかどうか。
- インストールされたソフトウェアへの頻繁な変更などの内部ビジネス慣習のために、特定のエンティティーまたはエンティティーのグループをより頻繁にスキャンするかどうか。
認証情報 は、ソースに含まれるアセットのすべてまたは一部でスキャンを実行する権限を持つユーザーのユーザー名やパスワード、SSH キーなどのデータが含まれます。ソースと同様に、認証情報はネットワーク、vCenter、Satellite、OpenShift、Ansible、または RHACS タイプとして設定されます。通常、ネットワークソースには、幅広い IP 範囲内の全アセットにアクセスするために多くの認証情報が必要になることが想定されるため、複数のネットワーク認証情報が必要になる場合があります。逆に、vCenter または Satellite ソースは、通常、必要に応じて単一の vCenter または Satellite 認証情報を使用して特定のシステム管理ソリューションサーバーにアクセスします。また、OpenShift、Ansible、または RHACS ソースは、単一のクラスターにアクセスするために単一の認証情報を使用します。
Sources ビューから新しいソースを追加でき、Credentials ビューから新しい認証情報を追加できます。ソースの作成中に、新しい認証情報を追加したり、既存の認証情報を選択したりすることもできます。認証情報をソースに直接関連付けるのは、ソースの作成時です。ソースと認証情報には一致するタイプが必要なため、ソースの作成時に追加する認証情報はソースと同じタイプを共有します。さらに、ソースの作成時に既存の認証情報を使用する場合は、利用可能な認証情報のリストに同じタイプの認証情報のみが含まれます。たとえば、ネットワークソースの作成時に利用できるのは、ネットワーク認証情報のみです。
3.1.4. ネットワーク認証
Discovery アプリケーションは、Ansible の SSH リモート接続機能を使用して、ネットワークスキャンでリモートシステムを検査します。ネットワーク認証情報を追加すると、ユーザー名とパスワードまたはユーザー名と SSH キーファイルのペアを使用して SSH 接続を設定します。リモートシステムに SSH キー認証を使用してアクセスする場合は、SSH キーのパスフレーズも指定できます。
ネットワーク認証情報の設定時に、become メソッドを有効にすることもできます。become メソッドはスキャン中に権限の昇格に使用されます。これらの昇格された権限は、コマンドを実行し、スキャンしているシステムのデータを取得するために必要です。スキャン中に、権限の昇格を必要としないコマンドの詳細は、リモートネットワークアセットのスキャンで使用されるコマンド を参照してください。
3.1.4.1. リモートネットワークアセットのスキャンで使用されるコマンド
ネットワークスキャンを実行する場合、Discovery では、ネットワーク内のリモートシステムで特定のコマンドを実行するために提供する認証情報を使用する必要があります。これらのコマンドの一部は、昇格された権限で実行する必要があります。このアクセスは、通常、sudo
コマンドまたは同様のコマンドを使用して取得します。インストールされた製品に関するレポートを作成するために Discovery が使用するファクトのタイプを収集するには、昇格された特権が必要です。
権限を昇格せずにネットワークソースのスキャンを実行することは可能ですが、スキャンの結果が不完全になります。ネットワークスキャンの不完全な結果は、スキャンに対して生成されたレポートの質に影響します。
以下の情報には、ネットワークスキャン中にリモートホストで Discovery を実行するコマンドが記載されています。情報には、権限を昇格せずに実行できる基本的なコマンドと、レポートに対して最も正確で完全な情報を収集するために昇格した権限で実行する必要があるコマンドが含まれます。
次のコマンドの他に、Discovery は bash
シェルが提供するような標準のシェル機能にも左右されます。
3.1.4.1.1. 権限の昇格を必要としない基本コマンド
以下のコマンドでは、スキャン中にファクトを収集するのに、昇格した権限は必要ありません。
- cat
- egrep
- sort
- uname
- ctime
- grep
- rpm
- virsh
- date
- id
- test
- whereis
- echo
- sed
- tune2fs
- xargs
3.1.4.1.2. 権限の昇格が必要なコマンド
以下のコマンドには、スキャン中にファクトを収集するのに昇格した権限が必要になります。各コマンドには、スキャン中に Discovery が試行する個々のファクトまたはファクトのカテゴリーの一覧が含まれます。これらのファクトは、そのコマンドで昇格した権限が利用できない場合にレポートに含めることができません。
- awk
- cat
- chkconfig
- command
- df
- dirname
- dmidecode
- echo
- egrep
- fgrep
- find
- ifconfig
- ip
- java
- locate
- ls
- ps
- readlink
- sed
- sort
- stat
- subscription-manager
- systemctl
- tail
- test
- tr
- unzip
- virt-what
- xargs
- yum