更新时间:2022-04-28 GMT+08:00
分享

新建改密策略

改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。

改密策略支持以下功能项:

  • 支持通过策略手动、定时、周期修改资源账户密码。
  • 支持生成不同密码、相同密码,以及生成自定义相同密码。

约束限制

  • 仅SSH,MySQL,SQL Server,Oracle,RDP和Telnet协议类型的主机,支持通过改密策略修改资源账户密码。
  • Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。
  • 关联Windows 10资源账户前,需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。

前提条件

  • 已获取“改密策略”模块操作权限。
  • 待改密资源的“系统类型”需与资源实际系统类型完全匹配。

新建改密策略

  1. 登录云堡垒机系统。
  2. 选择策略 > 改密策略 > 策略列表,进入改密策略列表页面。

    图1 改密策略列表

  3. 单击“新建”,弹出改密策略配置窗口。
  4. 配置改密策略基本配置。

    图2 新建改密策略
    表1 改密策略参数说明

    参数

    说明

    策略名称

    自定义的改密策略名称,系统内“策略名称”不能重复。

    执行方式

    选择改密执行方式,可选择“手动执行”“定时执行”“周期执行”

    • 手动执行:手动触发改密策略,修改资源账户密码。
    • 定时执行:定期自动触发改密策略,修改资源账户密码。仅执行一次。
    • 周期执行:周期自动触发改密策略,修改资源账户密码。可按周期执行多次。

    执行时间

    执行改密策略的日期。默认执行时刻为日期的凌晨零点。

    执行周期

    执行周期改密,需输入改密周期。

    • 单位为天。
    • 需同时选择“结束时间”,否则将无限期执行周期改密。

    改密方式

    选择改密方式。可选择“生成不同密码”“生成相同密码”“指定相同密码”

    • 生成不同密码:根据主机对帐户的密码要求,随机生成不同资源账户密码。
    • 生成相同密码:根据主机对帐户的密码要求,随机生成相同资源账户密码。
    • 指定相同密码:需手动输入预置密码。
    • 自动生成密码和手动输入密码设置要求:

      密码复杂度为包含大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和四种特殊字符(@*:_),密码长度为20位。

      密码设置要求为在遵循主机帐户的密码要求基础上,不允许以特殊字符开头。

    更多选项

    支持以下几种方式:

    • “允许修改特权账户密码”,表示可修改特权账户的密码,否则特权账户密码不能被修改。默认不选中。
    • “使用特权账户改密”,表示系统自动寻找资源账户对应的特权账户,通过特权账户修改资源账户密码。无特权账户时,资源账户自行修改密码。默认选中。
    • “允许修改SSH Key”,表示系统可以自动修改SSH的公钥。
    说明:

    仅V3.3.36.0及以上版本才支持“允许修改SSH Key”,如需使用,请参照升级版本章节将系统版本升级至最新版本。

  5. 单击“下一步”,关联资源账户或账户组。

    • 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
    • 关联多个资源账户时,可批量修改资源账户密码。
    图3 关联资源账户

  6. 单击“确定”,返回改密策略列表,查看新建的改密策略。

    改密策略执行后,可以下载改密日志,获取新的资源账户密码。

配置Windows 10服务器相关参数

  1. 登录Windows 10服务器。
  2. 启动winRM服务。

    1. 搜索“组件服务”,进入“组件服务”页面。
    2. 在左侧导航树中,选择“服务(本地)”,在右侧弹框中,找到“Windows Remote Management(WS-Management)”
    3. 右键单击“Windows Remote Management(WS-Management)”,在弹窗中单击“启动”

  3. 配置winRM。

    1. 以管理员身份运行cmd,执行以下命令:
      winrm qc
    2. (执行两次)回显后,根据提示输入y。
    3. 执行以下命令:
      winrm set winrm/config/service @{AllowUnencrypted="true"}
    4. 执行以下命令:
      winrm set winrm/config/service/auth @{Basic="true"}

  4. (如果已是管理员,可不执行该步骤)执行以下命令,添加用户到用户组。

    例如,用户名为“appuser01”

    net localgroup "Remote Management Users"  appuser01  /add

  5. 在power shell会话框中执行以下命令,添加防火墙命令。

    New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow

后续管理

改密策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。

  • 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。
  • 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
  • 若需禁用策略改密,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略立即失效。
  • 若需立即修改资源账户密码,可单击“立即执行”,立即执行改密任务。
分享:

    相关文档

    相关产品

关闭导读