更新时间:2024-12-11 GMT+08:00

新建改密策略

改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。

改密策略支持以下功能项:

  • 支持通过策略手动、定时、周期修改资源账户密码。
  • 支持生成不同密码、相同密码,以及生成自定义相同密码。

约束限制

  • 仅SSH,MySQL,SQL Server,Oracle,RDP和Telnet协议类型的主机,支持通过改密策略修改资源账户密码。
  • Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。
  • Windows 10不能使用SMB方式改密,关联Windows 10资源账户前,需配置winRM后进行改密策略的创建,可参照配置Windows 10服务器相关参数进行服务器相关参数的配置。

前提条件

  • 已获取“改密策略”模块操作权限。
  • 待改密资源的“系统类型”需与资源实际系统类型完全匹配。
  • 创建改密策略绑定的资源账户的登录方式必须为自动登录或提权登录,否则创建策略时无法选中对应账户。

新建改密策略

  1. 登录堡垒机系统。
  2. 选择策略 > 改密策略 > 策略列表,进入改密策略列表页面。
  3. 单击“新建”,弹出改密策略配置窗口。
  4. 配置改密策略基本配置。

    表1 改密策略参数说明

    参数

    说明

    策略名称

    自定义的改密策略名称,系统内“策略名称”不能重复。

    执行方式

    选择改密执行方式,可选择“手动执行”“定时执行”“周期执行”

    • 手动执行:手动触发改密策略,修改资源账户密码。
    • 定时执行:定期自动触发改密策略,修改资源账户密码。仅执行一次。
    • 周期执行:周期自动触发改密策略,修改资源账户密码。可按周期执行多次。

    执行时间

    执行改密策略的日期。默认执行时刻为日期的凌晨零点。

    执行周期

    执行周期改密,需输入改密的执行周期,输入后在“执行时间预览”可预览最近5次的执行时间。

    说明:
    • 单位为天,当输入超过8位的正整数时,不支持执行时间预览。
    • 需同时选择“结束时间”,否则将无限期执行周期改密。

    改密方式

    选择改密方式。可选择“生成不同密码”“生成相同密码”“指定相同密码”

    • 生成不同密码:根据主机对账户的密码要求,随机生成不同资源账户密码。
    • 生成相同密码:根据主机对账户的密码要求,随机生成相同资源账户密码。
    • 指定相同密码:需手动输入预置密码。
      说明:

      堡垒机随机生成的密码长度为20位,其中包含大小写字母数字和特殊字符“%”、“-”、“_”和“?”,大小写字符及特殊字符至少在随机密码中包含1位。

    更多选项

    支持以下几种方式:

    • “允许修改特权账户密码”,表示可修改特权账户的密码,否则特权账户密码不能被修改。默认不选中。
    • “使用特权账户改密”,表示系统自动寻找资源账户对应的特权账户,通过特权账户修改资源账户密码。无特权账户时,资源账户自行修改密码。默认选中。
    • “允许修改SSH Key”,表示系统可以自动修改SSH的公钥。
    说明:
    • 仅V3.3.36.0及以上版本才支持“允许修改SSH Key”,如需使用,请参照升级实例版本章节将实例版本升级至最新版本。
    • 如果在纳管主机资源时选择了密钥对自动登录方式,必须勾选“允许修改SSH key”选项,否则手动执行改密可能会失败。

  5. 单击“下一步”,关联资源账户或账户组。

    • 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
    • 关联多个资源账户时,可批量修改资源账户密码。

  6. 单击“确定”,返回改密策略列表,查看新建的改密策略。

    改密策略执行后,可以批量导出主机资源信息,获取新的资源账户密码。

  7. 单击“操作”列的“立即执行”,在弹窗确认执行后,策略立即刷新。

配置Windows 10服务器相关参数

  1. 登录Windows 10服务器。
  2. 启动winRM服务。

    1. 搜索“组件服务”,进入“组件服务”页面。
    2. 在左侧导航树中,选择“服务(本地)”,在右侧弹框中,找到“Windows Remote Management(WS-Management)”
    3. 右键单击“Windows Remote Management(WS-Management)”,在弹窗中单击“启动”

  3. 配置winRM。

    1. 以管理员身份运行cmd,执行以下命令:
      winrm qc
    2. (执行两次)回显后,根据提示输入y。
    3. 执行以下命令:
      winrm set winrm/config/service '@{AllowUnencrypted="true"}'
    4. 执行以下命令:
      winrm set winrm/config/service/auth '@{Basic="true"}'

  4. (如果已是管理员,可不执行该步骤)执行以下命令,添加用户到用户组。

    例如,用户名为“appuser01”

    net localgroup "Remote Management Users"  appuser01  /add

  5. 在power shell会话框中执行以下命令,添加防火墙命令。

    New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow

后续管理

改密策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。

  • 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。
  • 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
  • 若需禁用策略改密,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略立即失效。
  • 若需立即修改资源账户密码,可单击“立即执行”,立即执行改密任务。