管理全局设置

概述

使用PAM360 的"全局设置"部分,您可以设置必要的配置,例如强制实施密码策略、启用忘记密码选项以重置用户密码、配置以发送用户创建或角色修改的电子邮件通知、管理个人密码、导出资源、远程密码重置等。

配置全局设置

若要在 PAM360 中配置全局设置,请导航到:

管理 >> 设置 >> 全局设置

您将在以下各节下看到不同的设置。 单击每个链接以查看详细信息:

  1. 密码检索
  2. 密码重置
  3. 资源/密码创建
  4. 资源组管理
  5. 通知
  6. 用户管理
  7. 高可用性
  8. 个人密码
  9. 使用统计收集
  10. 其他

1. 密码检索

要查看和管理与密码检索相关的所有全局设置,请单击左侧窗格中的密码检索。

1.1 允许密码的纯文本视图,如果配置了自动登录

启用此选项以允许用户在配置自动登录时以纯文本形式查看共享资源的密码。 如果禁用此选项,用户无法检索密码,但他们仍可以通过自动登录启动远程会话。 此限制仅适用于具有与密码用户和审核员相同的权限的密码用户、密码审核员和自定义用户类型角色。

1.2 5 秒后自动隐藏密码(指定'0'以永不自动隐藏密码)

默认情况下,密码隐藏在一串哈希符号后面。 单击字符串时,密码以纯文本显示。 默认情况下,密码仅显示 10 秒,之后将自动隐藏。 在"X 秒后自动隐藏密码选项中指定所需值(以秒为单位)。 如果指定 0,密码将继续以纯文本形式保留,直到单击要隐藏的密码。

1.3 最大 X 审批管理员(您可以给至少 1 到最多 10 个管理员)

选择最多数量的管理员(最多 10 个管理员)来审批已设置密码访问控制工作流的资源的密码请求。 此处选择的管理员数将反映在密码访问 控制工作流配置中,选项为"至少由多少管理员"。

1.4 30 秒后自动清除剪贴板数据(指定"0"以永不自动清除剪贴板)

PAM360 使用浏览器的剪贴板实用程序,在从 PAM360 复制密码时复制密码。 默认情况下,复制的密码将可用 30 秒。 在此选项中,指定清除剪贴板且复制的密码不再可用的时间(以秒为单位)。 如果指定 0,则剪贴板不会自动清除。

1.5 强制用户提供密码检索理由

启用此选项以强制用户提供请求访问密码的原因。 此检索原因将记录在审核日志中。

1.6 允许用户检索没有工单 ID 的密码

如果在您的环境中完成工单系统集成,则默认情况下,用户在请求密码时会提示用户提供工单 ID。 启用此选项以允许用户检索密码而不提供工单 ID。

1.7 显示具有"仅查看"和"修改共享权限"的用户的密码历史记录

密码历史记录(在帐户操作下可用)显示特定帐户以前使用的密码以及有关谁修改密码的详细信息。 启用仅查看"和"修改共享权限"选项"显示密码历史记录",以显示具有"仅查看"和"修改共享权限"的用户的密码历史记录详细信息。

1.8 允许所有管理员用户操作整个资源管理器树

启用此选项后, PAM360 将创建一个组织范围的全局资源管理器树结构,其中包含根节点下的资源组的名称,并将应用以下内容:

  • PAM360 中的任何管理员都能够创建/编辑资源组的资源管理器树结构。
  • 管理员和密码管理员可以将其资源组添加到全局树中,整个结构可供所有最终用户查看。
  • 能够访问此树结构的用户类型:管理员、特权管理员、密码管理员和密码用户。
  • 如果禁用此选项,则用户只能使用共享给他们的资源修改其树的一部分。

向所有管理员显示未共享的资源组:如果启用此选项,其他管理员将可见所有管理员的资源组,但由于资源组未共享,这些资源组将被禁用。 如果禁用此选项,则只有共享资源组可供管理员使用。

1.9 在"资源和连接"选项卡中的"折叠密码资源管理器"树视图

默认情况下,密码资源管理器树的节点以展开形式显示。 启用此选项以折叠资源管理器树视图。

1.10 可访问 SSH 、 SQL 和 Telnet 控制台聊天

默认情况下,将启用 SSH 、 SQL 和 Telnet 控制台聊天。 选择此选项可禁用远程会话的控制台聊天。

1.11 允许用户下载私钥

如果启用此选项,用户将能够下载添加到与他们共享的帐户的私钥。 单击此处了解有关向帐户添加密钥的详细了解。

2. 密码重置

若要查看和管理 PAM360 中与密码重置相关的所有全局设置,请单击左侧窗格中的密码重置。

2.1 强制用户在更改资源密码时提供理由

启用此选项可提示用户在尝试更改资源密码时输入原因。 此原因将记录在审核日志中。

2.2 允许用户重置密码而不提供工单 ID

如果在您的环境中完成工单系统集成,则默认情况下,用户在尝试重置资源密码时,会提示用户提供工单ID。 启用此选项以允许用户重置密码而不提供工单 ID

2.3 用户启动的远程密码更改操作的默认选择。 用户可以在修改密码时覆盖此设置。

更改 PAM360 控制台中资源的密码时,默认情况下,密码更改会立即在远程资源中应用。 (支持远程同步的资源类型是: Windows 、 Windows 域和 Linux。 选择不对资源应用更改选项,不要自动更改远程资源中的密码。

2.4 在服务帐户密码重置后停止和启动服务之间等待 X 秒

您可以配置 PAM360 以等待指定时间(以秒为单位),然后自动重置服务帐户密码后停止并重新启动服务。 这在为 Windows 域帐户启用服务帐户密码重置且更改相应域密码的情况下非常有用。

2.5 强制用户提供两个不同的帐户,用于 UNIX/Linux 资源的远程密码重置

启用此选项以强制用户提供两个不同的帐户,以便为 Unix/Linux 资源重置密码。 如果禁用此选项,则将允许用户使用一个帐户启用远程同步。 要了解有关远程密码重置的更多信息,请 单击此处

3. 资源/密码创建

若要查看和管理与 PAM360 中的资源/密码创建相关的所有全局设置,请单击左侧窗格中的资源/密码创建。

3.1 资源或密码创建期间的强制密码策略

默认情况下,在更改密码时,只对 PAM360 中的密码强制实施密码策略。

启用此选项以在资源/帐户添加时检查策略合规性。 启用此功能后,只有在密码符合 PAM360 中定义的密码策略时,才允许添加资源/帐户。

3.2 当代理部署在资源中进行远程密码重置时,资源中的帐户将自动添加到 PAM360。 此外,还有一个选项可以随后同步帐户添加或删除:

  • 同步帐户添加:

启用此选项后,无论合适在远程资源中添加新账户,其将同步添加到 PAM360 中。

  • 同步帐户删除:

启用此选项后,无论合适在远程资源中删除账户,其将同时在 PAM360 中被删除。

4. 资源组管理

若要查看和管理 PAM360 中与资源组管理相关的所有全局设置,请单击左侧窗格中的资源组管理

4.1 资源组创建选项

您可以允许用户创建:

  • 通过选取单个资源来静态资源组。
  • 通过指定条件进行动态资源组。
  • 静态和动态资源组。

选择所需的选项,然后单击保存

5. 通知

若要查看和管理与 PAM360 中的通知相关的所有全局设置,请单击左侧窗格中的"通知"

5.1 用于通知用户访问权限更改的默认选择

通知用户访问权限的变化:选择此选项可每当用户访问权限更改时通知其。

不要通知用户访问权限的更改:如果您不希望通知用户其访问权限更改,请选择此选项。

注意:管理员可以在修改访问权限时覆盖此设置。

5.2 通知用户有关 API 密钥到期的信息

创建 API 用户时,将生成身份验证令牌( API 密钥)。 您可以指定 API 密钥将过期的日期。 启用此选项可通知用户 API 密钥到期。 将发送如下三个通知:

  1. 到期前7天的通知。
  2. 到期日通知。
  3. 到期日之后每天发出通知。

了解有关在 PAM360 中添加 API 用户的信息。

5.3 不要显示产品公告和促销信息

如果您不希望用户在 PAM360 中看到任何促销产品横幅或消息,请启用此选项。

6. 用户管理

若要查看和管理 PAM360 中与用户管理相关的所有全局设置,请单击左侧窗格中的用户管理

6.1 默认用户语言

可以从给定的下拉列表拉为 Web 界面选择默认用户语言。

6.2 在 X 分钟的不活动后自动注销用户(指定'0'以永不自动注销用户)。

指定特定时间(以分钟为后),非活动用户会话将自动超时并注销;默认情况下,时间将设置为 30 分钟。 您可以指定"0"分钟,以永不自动注销非活动用户。 要对通过浏览器扩展名登录的用户施加相同的限制,请选择以下选项:对通过浏览器扩展登录的用户实施此限制作为最大时间限制

6.3 不可本地化身份验证

PAM360 提供三种类型的身份验证:

  • LDAP 身份验证
  • AD 身份验证/Azure AD 身份验证
  • PAM360 的本地身份验证。

默认情况下,PAM360 支持本地身份验证以及 LDAP 或 AD 身份验证。 如果要单独限制 LDAP 或 AD/Azure AD 身份验证,请选择相应的选项:所有用户或。 禁用本地身份验证后, PAM360 用户将能够仅使用工作站密码登录到 PAM360。

6.4 在登录屏幕中选择默认选择的域。 (仅在启用 AD/Azure AD 身份验证时适用)。

如果您有来自不同域的用户, PAM360登录 屏幕将列出下拉列表中的所有域。 您可以选择此处经常使用的域,以便于用户使用。 这样做后,该域将在登录屏幕中默认显示为选中。

6.5 在登录屏幕中显示"忘记密码"选项

默认情况下,为使用 PAM360 本地身份验证的所有用户启用"忘记密码"选项。 通过单击"忘记密码",用户可以获取发送到其电子邮件的新登录密码。 如果您不希望在所有用户的登录屏幕中显示"忘记密码"选项,请禁用此选项。

6.6 在帐户创建或修改期间通过电子邮件通知用户

默认情况下,每当用户的帐户添加到 PAM360 或修改现有帐户时,都会通过电子邮件收到通知。 如果您不希望向用户发送有关帐户创建或修改的电子邮件通知,请禁用此选项。

6.7 为密码管理员提供"支持"链接

默认情况下, PAM360 中的密码管理员不会查看其配置文件中的"支持"选项。 启用此选项,使密码管理员也可以访问"支持"选项。

6.8 在 PAM360 许可期前 30 天和 15 天通过电子邮件通知用户

您可以就 PAM360 许可到期通知所有管理员或任何用户。

将发送两个通知:

  • 到期前15天。
  • 到期前30天。

若要发送通知,可以选择所有管理员作为收件人,或指定用半角逗号分隔的电子邮件地址。

6.9 默认选择选项卡

选择一个默认选项卡,该选项卡将在登录后为用户打开:

  • 连接
  • 资源
  • 仪表板

6.10 允许通过手机离线访问密码缓存

启用此选项以允许在 PAM360移动应用程序中保存密码缓存,以便用户可以离线访问密码。

6.11 通过指纹身份验证登录移动应用

启用此选项以允许用户使用设备的指纹身份验证登录到其PAM360移动应用程序。

6.12 禁止网站使用浏览器扩展自动填充操作

网站表单可以使用 PAM360 浏览器扩展程序自动填写,允许用户只需单击一下即可登录网站。 启用此选项,允许通过 PAM360 浏览器扩展自动填写已保存网站帐户的登录凭据。

6.13 禁止网站使用浏览器扩展自动登录操作

PAM360 启用自动登录网站,并允许用户直接通过本机浏览器扩展启动应用程序连接。 启用此选项以允许用户使用 PAM360 浏览器扩展通过自动登录功能连接到远程资源。

6.14 通过浏览器扩展添加可访问的帐户

禁用此选项可防止用户通过 PAM360 浏览器扩展将帐户添加到资源。 通过浏览器扩展名添加帐户的选项仅适用于 Chrome 浏览器。 要了解有关 PAM360 浏览器扩展功能,请 单击此处。

6.15 客户端组织中的可发现

启用此选项允许每个客户端组织使用 PAM360 中的"发现"选项发现帐户和资源。

6.16 在组织下拉列表中使用"组织名称"

启用此选项以在"组织"下拉列表中显示组织名称;组织显示名称将显示在鼠标悬停上。

7. 高可用性

在高可用性 (HA) 设置中,数据在主服务器和备用服务器之间持续复制。 高可用性状态"活动"表示两台服务器之间的完美数据复制和数据同步。 如果主服务器和备用服务器之间的任何中断(反过来在数据库之间),状态将更改为"失败"。 当主服务器数据库与备用服务器数据库之间没有通信/连接时,可能会发生这种情况。

重新建立连接后,将发生数据同步,并且两个数据库将彼此同步。 在此期间,那些连接到主服务器和备用服务器的人不会面临任何服务中断。 此状态仅表示数据库之间的连接/通信,不保证进行任何故障排除。

要配置 PAM360 中的高可用性的定期状态检查:

  1. 单击左侧窗格中的"高可用性"
  2. 指定在"每隔一小时检查高可用性状态"选项中检查状态的分钟数---状态。

要了解有关高可用性的信息,请 单击此处

8. 个人密码

个人用户可以通过个人密码管理功能管理其个人密码,如信用卡 PIN 号码、银行帐户凭据等。 此个人密码管理部分将只对单个用户可见,甚至超级管理员用户也无法访问它。 要访问此部分,请单击左侧窗格中的"个人密码"。

8.1 允许用户管理其个人密码

选择此选项可启用个人选项卡,用户可以在其中保存其个人密码。 要禁用个人选项卡,请取消选中此选项。

注意:在 PAM360 MSP 中,只有 MSP 管理员才能启用或禁用此选项。

8.2 可禁用默认个人类别

个人选项卡中,您将找到一些各种个人密码(如银行凭据)的默认类别。 您可以禁用默认类别,并允许用户创建自己的自定义类别来保存个人密码。 您可以禁用所有组织的类别或仅为MSP 组织禁用类别

8.3 个人密码的强制密码策略

启用此选项也会将为 PAM360 中的帐户选择的密码策略应用于用户的个人密码。 您可以禁用此选项,以允许用户设置个人密码,没有任何复杂性限制。

8.4 允许用户选择自己的密码短语

默认情况下,当您允许用户管理其个人密码时, PAM360 将提示他们选择密码短语。 设置完成后,无法更改或重置此密码短语。

Ⅰ 强制用户创建密码短语,该密码将用作存储个人密码的加密密钥。 此外,为密码选择复杂性规则

选择此选项可强制执行密码策略。 默认情况下,有四个选项:低、中、强和离线密码文件选项。 若要为个人密码创建自定义密码策略,请导航到管理 >> 自定义 >> 密码策略。 如果删除所选企业策略,将自动选择默认密码策略以表示密码复杂性。

  1. 如果您不想强制强制密码复杂度,复杂度选项请选择[无]。
  2. 如果您不想强制用户使用自己的加密密码复杂性,请取消选中此选项。

9.使用统计收集

通过选择此选项,您可以选择向 ManageEngine 发送有关产品使用方式的信息。 根据产品最终用户许可协议 ( EULA ),收集的数据将涉及许可证详细信息、安装 PAM360 的系统配置、各种功能使用频率的使用统计信息。 这是一种改进产品的反馈机制。 如果您不想允许使用情况数据收集,可以取消选中该选项。

单击左侧窗格中的使用统计收集,然后启用或禁用使用统计收集

10. 其它

从左侧窗格单击"其它";本节包含可根据要求应用于 PAM360 的可选自定义项。

10.1 可启用 SSH 密钥功能

选择此选项将从安装中禁用SSH密钥选项卡。 但是,该功能不会完全删除;您可以通过取消选择此选项再次启用SSH密钥选项卡。

10.2 可启用证书功能

选择此选项将从安装中禁用证书选项卡。 但是,此功能不会完全删除;您可以通过取消选择此选项再次启用"证书"选项卡。

10.3 将 SSH 和 Telnet 会话录制拆分为多个文件

PAM360 提供将较大的会话录制文件从 SSH 和 Telnet 远程会话拆分为几个较小的文件的选项。 这将确保在没有缓冲时间的情况畅、不间断的会话播放。 选择此选项可启用会话录制拆分。

要了解有关特权会话录制,请 单击此处。

在设置中进行更改后,单击保存以保存更改。

© 2021, ZOHO 公司,保留所有权利。

页首