更新时间:2024-09-24 GMT+08:00
新建改密策略
改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。
改密策略支持以下功能项:
- 支持通过策略手动、定时、周期修改资源账户密码。
- 支持生成不同密码、相同密码,以及生成自定义相同密码。
约束限制
- 仅SSH,MySQL,SQL Server,Oracle,RDP和Telnet协议类型的主机,支持通过改密策略修改资源账户密码。
- Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。
- 关联Windows 10资源账户前,需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。
前提条件
- 已获取“改密策略”模块操作权限。
- 待改密资源的“系统类型”需与资源实际系统类型完全匹配。
新建改密策略
- 登录堡垒机系统。
- 选择 ,进入改密策略列表页面。
- 单击“新建”,弹出改密策略配置窗口。
- 配置改密策略基本配置。
表1 改密策略参数说明 参数
说明
策略名称
自定义的改密策略名称,系统内“策略名称”不能重复。
执行方式
选择改密执行方式,可选择“手动执行”、“定时执行”、“周期执行”。
- 手动执行:手动触发改密策略,修改资源账户密码。
- 定时执行:定期自动触发改密策略,修改资源账户密码。仅执行一次。
- 周期执行:周期自动触发改密策略,修改资源账户密码。可按周期执行多次。
执行时间
执行改密策略的日期。默认执行时刻为日期的凌晨零点。
执行周期
执行周期改密,需输入改密周期。
- 单位为天。
- 需同时选择“结束时间”,否则将无限期执行周期改密。
改密方式
选择改密方式。可选择“生成不同密码”、“生成相同密码”、“指定相同密码”。
- 生成不同密码:根据主机对账户的密码要求,随机生成不同资源账户密码。
- 生成相同密码:根据主机对账户的密码要求,随机生成相同资源账户密码。
- 指定相同密码:需手动输入预置密码。
说明:
堡垒机随机生成的密码长度为20位,其中包含大小写字母数字和特殊字符“%”、“-”、“_”和“?”,大小写字符及特殊字符至少在随机密码中包含1位。
更多选项
支持以下几种方式:
- “允许修改特权账户密码”,表示可修改特权账户的密码,否则特权账户密码不能被修改。默认不选中。
- “使用特权账户改密”,表示系统自动寻找资源账户对应的特权账户,通过特权账户修改资源账户密码。无特权账户时,资源账户自行修改密码。默认选中。
- “允许修改SSH Key”,表示系统可以自动修改SSH的公钥。
说明:- 仅V3.3.36.0及以上版本才支持“允许修改SSH Key”,如需使用,请参照升级版本章节将系统版本升级至最新版本。
- 如果在纳管主机资源时选择了密钥对自动登录方式,必须勾选“允许修改SSH key”选项,否则手动执行改密可能会失败。
- 单击“下一步”,关联资源账户或账户组。
- 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
- 关联多个资源账户时,可批量修改资源账户密码。
- 单击“确定”,返回改密策略列表,查看新建的改密策略。
改密策略执行后,可以批量导出主机资源信息,获取新的资源账户密码。
- 单击“操作”列的“立即执行”,在弹窗确认执行后,策略立即刷新。
配置Windows 10服务器相关参数
- 登录Windows 10服务器。
- 启动winRM服务。
- 搜索“组件服务”,进入“组件服务”页面。
- 在左侧导航树中,选择“服务(本地)”,在右侧弹框中,找到“Windows Remote Management(WS-Management)”。
- 右键单击“Windows Remote Management(WS-Management)”,在弹窗中单击“启动”。
- 配置winRM。
- 以管理员身份运行cmd,执行以下命令:
winrm qc
- (执行两次)回显后,根据提示输入y。
- 执行以下命令:
winrm set winrm/config/service '@{AllowUnencrypted="true"}'
- 执行以下命令:
winrm set winrm/config/service/auth '@{Basic="true"}'
- 以管理员身份运行cmd,执行以下命令:
- (如果已是管理员,可不执行该步骤)执行以下命令,添加用户到用户组。
例如,用户名为“appuser01”。
net localgroup "Remote Management Users" appuser01 /add
- 在power shell会话框中执行以下命令,添加防火墙命令。
New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow
后续管理
改密策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。
- 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略改密,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略立即失效。
- 若需立即修改资源账户密码,可单击“立即执行”,立即执行改密任务。
父主题: 改密策略