PAM360 安装和入门

本文档允许您学习在系统中安装 PAM360 的分步过程。 本文档还涉及其他相关主题，如 PAM360 的系统要求、启动和关闭 PAM360 服务器的步骤、成功启动服务器后连接到 Web 界面的步骤等等。

您将在此处学习有关 PAM360 安装和配置的以下主题:

1. 前提条件
2. 系统要求
3. PAM360 的组件
4. PAM360 使用的端口
5. 安装 PAM360 代理
6. 安装 PAM360
   6.1 Windows
   6.2 Linux
7. 启动和关闭 PAM360
   7.1 Windows
   7.2 Linux
8. 启动 PAM360 Web客户端
9. 使用 MS SQL 服务器作为后端数据库
10. 使用 MS SQL 群集作为后端数据库
11. PAM360 中的工作流
12. 管理 PAM360 加密密钥
13. 加密密钥轮换
14. 管理 PAM360 数据库密码
15. 许可

    15.1 许可类型

    15.2 用户角色和许可

    15.3 版本

    15.4 特征矩阵

16. 转移 PAM360
17. 使用 PAM360Web 控制台更新 Web 服务器证书
18. MSP
    

---

1.前提条件

除了标准系统要求（硬件和软件）外，以下要素对于 PAM360 服务器正常运行至关重要:

1. 用于 PAM360 服务器运行和向用户发送各种通知的外部邮件服务器（SMTP服务器）。
2. 在 PAM360 服务器和要管理的目标系统中具有域管理员权限或本地管理员权限的服务帐户。
3. 微软.NET 框架 。
4. Visual c++ 可再分发的 Visual Studio 2015及以上版本（用于 PAM360 的帐户发现和密码重置功能）。

2.系统要求

下表概述了 PAM360 所需的硬件和软件配置:

3.PAM360 组件

PAM360 组件:

1.PAM360 服务器

2.PAM360 代理：
- 用于与远程资源建立连接。

3.数据库PostgreSQL 9.5.3：
- 与 PAM360 捆绑， 作为一个单独的进程运行。
- 仅接受来自运行主机的连接。
- 在不可见模式下运行。

4.PAM360 使用的端口

下表列出了 PAM360 用于远程访问的所有端口集:

5.安装 PAM360 代理

单击此处查看步骤。

6.安装 PAM360

您可以在 Windows 和 Linux 操作系统中安装 PAM360。

6.1 在Windows中安装PAM360的步骤

1. 下载并打开文件ManageEngine_PAM360.exe，页面将显示PAM360安装向导。
2. 按照安装向导中的分步说明操作。
3. 选择安装目录。 默认情况下， PAM360 将安装在路径"C:\Program Files\ManageEngine\PAM360"中。该文档中，我们将以PAM360_Home代表此目录，即PAM360安装目录。
4. 在最终向导中，您将具有以下选项:

Ⅰ 查看ReadMe 文件。
Ⅱ 选择立即启动服务器的选项。
Ⅲ 安装后稍后启动服务器的选项。使用 Windows 托盘图标稍后手动启动服务器。 使用托盘图标，您还可以执行其他操作，如停止服务器和卸载产品。

6.2 在Linux中安装PAM360的步骤

1. 下载文件产品Linux版本安装包。
2. 执行命令chmod a+x <file-name> 以分配可执行权限。
3. 执行命令./<file_name>。
4. 通过命令行安装，执行命令./<file_name> -i console。
5. 按照屏幕上显示的分步说明操作。现在，PAM360 将安装在您机器中所选择的位置。此后，这个安装路径可以称为PAM360_Home。

7.启动和关闭 PAM360

7.1 Windows

7.2 Linux

8.启动 PAM360 Web 客户端

使用不同的方式连接到PAM360 web客户端：

8.1浏览器自动启动

成功安装 PAM360 ，服务器启动后， PAM360登录界面将出现在浏览器窗口中。 当 PAM360 使用安全的 HTTPS 连接时，系统将提示您接受安全证书。 单击是，在登录屏幕中输入用户名和密码，然后按确认。 对于未配置的设置，默认用户名/密码为admin/admin。 每次启动服务器时，浏览器都会自动启动。

8.2 手动启动 Web 客户端

Windows:

打开浏览器并连接到以下框中指定的 URL:

右键单击PAM360托盘图标，然后单击PAM360 Web控制台手动启动 Web客户端。 PAM360 登录界面将显示在浏览器窗口中。 当 PAM360 使用安全的 HTTPS连接时，系统将提示您接受安全证书。 单击是，在登录屏幕中输入用户名和密码，然后按Enter。 对于未配置的设置，默认用户名/密码为admin/admin。 每次启动服务器时，浏览器都会自动启动。

Linux:

打开浏览器并连接到以下框中指定的 URL:

8.3在远程主机中连接 Web 客户端

如果要连接到远程计算机中的 PAM360 web客户端（与运行 PAM360 的客户端不同），请打开浏览器并连接到以下 URL:

当 PAM360 使用安全的 HTTPS连接时，系统将提示您接受安全证书。 单击“是”，在登录界面中输入用户名和密码，然后按确认。 对于未配置的设置，默认用户名和密码分别是admin和admin。 每次启动服务器时，浏览器都会自动启动。

9.使用MS SQL Server 作为后端数据库

虽然 PAM360 支持 PostgreSQL 和 MSSQL 数据库作为后端，但 PAM360 配置为默认使用 PostgreSQL 运行，并且与产品捆绑在一起。 如果要使用 MSSQL 数据库运行 PAM360 ，请按照以下步骤操作:

9.1 使用 MS SQL Server 作为后端数据库运行 PAM360 的步骤

9.1.1 创建 SSL 证书并将其安装在 Windows 证书存储区（在运行 SQL 服务器的计算机上）

在与 SQL 服务器连接 PAM360 之前，您需要在 SQL Server 中启用 SSL 加密。 为此，您需要创建 SSL 证书，并由证书颁发机构 （CA） 签名或自行签名 （请参阅更多）

A） 生成证书并由第三方 CA 签名:

使用openssl创建证书涉及两个步骤 - 生成私钥和生成证书请求。 使用以下命令创建证书。

a.生成私钥：执行以下命令:

openssl genrsa -des3 -out server.key 2048

b.生成证书请求：按照以下步骤操作:

1. 使用服务器的私钥 创建证书请求。 输入密钥、通用名称、主机名或IP地址的密码（如果出现提示）。 对于通用名称，指定SQL Server 的 FQDN。
   openssl req -new -key server.key -out server.csr
2. 生成证书后，请由VeriSign、Thawte、RapidSSL等第三方 CA 签名，或根据您的环境要求进行自签名。 有关提交 CSR 的更多详细信息，请参阅相应的 CA 文档/网站。 请注意：CA签名证书为有偿服务。 稍后您将收到已签名的SSL 证书和 CA 的根证书的.cer 文件。
3. 在运行 SQL 服务器的计算机上安装服务器证书。
4. 在 PAM360 服务器中安装 CA 根证书。

c.在 SQL 服务器运行的计算机上安装服务器证书：使用 MMC

1. 在运行SQL Server计算机上点击"开始运行"，在运行对话框中输入MMC，界面将显示MMC控制台。
2. 从控制台菜单中，单击"添加/删除"管理单元， 单击添加，然后单击证书 ，再次单击>添加，系统将提示您打开当前用户帐户 、服务帐户或计算机帐户的管理单元，选择计算机帐户。
3. 选择证书（本地计算机）>> 个人 >> 证书。
4. 右键单击证书 ，然后单击所有任务 >> 导入。
5. 浏览并选择要安装的证书。

d.在 PAM360 中安装 CA 的根证书：

1. 复制 CA 的根证书并将其粘贴到<PAM360安装目录>/bin目录下。
2. 从<PAM360安装目录>/bin目录执行以下命令：
   importCert.bat <粘贴以上根证书的名称 >
3. 这会将证书添加到 PAM360 证书存储区。

B）创建自签名证书:

若要创建自签名证书并使用它，请在安装SQL Server的计算机中执行以下步骤：

a. 使用证书创建工具makecert.exe创建自签名证书，并在运行 SQL Server 的计算机上安装它。

b. 在安装 SQL 服务器的计算机执行以下命令：

makecert.exe -r -pe -n "CN=pam360testlab.manageengine.com" -a sha1 -b 01/01/2011 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange pam360testlab.manageengine.com.cer

在这里，对于CN，输入SQL Server的 FQDN ，替换示例条目 pam360testlab.manageengine.com 。

上述命令将在本地存储中安装自签名证书。 它还会将证书存储在文件pam360testlab.manageengine.com.cer中。

9.1.2 将SSL证书导入到PAM360

按照以下步骤操作:

1. 复制服务器证书并将其粘贴在<PAM360安装目录>/bin下。
2. 执行以下命令：
   importCert.bat <服务器证书名称>
   这会将证书添加到 PAM360 证书存储区。

9.1.3 在SQL Server中启用SSL加密

1. 单击运行SQL Server的计算机上的"开始"。 从微软 SQL Server 程序菜单中，单击配置工具，然后单击SQL Server 配置管理器。
2. 展开 SQL Server 网络配置，右键单击您想要的服务器的协议，然后单击属性。（请记住单击在工具的左侧窗格中，而不是右侧窗格中的特定协议。
3. 在证书选项卡上，配置数据库引擎以使用证书。
4. 将数据库引擎的强行加密选项设置为是，以便加密所有客户端/服务器通信，并且拒绝访问不支持加密的客户端（建议）。 如果希望客户端应用程序请求加密（不建议），请将数据库引擎的强行加密选项设置为否。
5. 重新启动 SQL Server。

9.1.4 在 PAM360 中执行 ChangeDB.bat

通过编辑文件ChangeDB.bat （ Windows ） 或文件 ChangeDB.sh （Linux），向 PAM360 提供有关SQL服务器的详细信息。 按照以下步骤操作:

1. 导航到 <PAM360 安装目录>/bin 并执行文件 ChangeDB.bat（ Windows ）或 sh ChangeDB.sh（ Linux ）。

2. 在显示的窗口中，输入以下详细信息:
   1. 选择服务器类型为 SQL Server。
   2. 主机名：安装 MS SQL 服务器的计算机的名称或 IP 地址。
   3. 实例名称：指定要用于 PAM360 的 SQL 服务器的命名实例。 如果未指定实例名称， PAM360 将尝试与端口1433上的默认实例建立连接。
      
      
      由于 PAM360 仅在 SSL 模式下与 MS SQL 连接，因此建议您创建一个专用数据库实例，该实例在 PAM360 的特定端口中运行。 如果要指定 1433 以外的端口号，设置主机名以及对应的端口号。
      
   4. 数据库名称：PAM360 数据库的名称。 默认值为"PassTrix"。 如果要使用不同的数据库名称，请在此处指定。 PAM360 将负责创建主密钥、对称密钥等。
   5. 认证：要连接到 SQL 服务器的方式。 如果要从 Windows连接到 SQL 服务器，请选择 Windows。 使用 Windows单点登录功能，前提是 PAM360 服务使用服务帐户运行，该帐户具有连接到 SQL 服务器的权限。 否则，选择SQL选项 。
      
      
      建议选择 Windows选项，因为用于身份验证的用户名和密码不会存储在任何地方。
   6. 用户名和密码：如果在步骤 v 中选择了SQL 选项，请指定 PAM360 可以连接到数据库的用户名和密码。
      
      
      此处输入的用户名和密码将存储在 PAM360database_params.conf文件中。
      如果您从 Windows 连接到数据库，则甚至可以使用 Windows 登录凭据。 在这种情况下，您需要将用户名输入为< 域名 >\<用户名>。
   7. 加密密钥：加密数据并将其存储在 SQL 服务器中的密钥。 您可以保留它"默认"，允许 PAM360 生成密钥。 如果要使用自定义密钥，请选择“自定义”选项 。

      如果选择了“自定义”选项，请执行以下操作:

      创建数据库 -有关详细信息，请参阅 http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx
      创建主密钥 -有关详细信息，请参阅 http://technet.microsoft.com/en-us/library/ms174382.aspx
      创建证书 -有关详细信息，请参阅 http://msdn.microsoft.com/en-us/library/ms187798.aspx
      创建对称密钥 -有关详细信息，请参阅 http://msdn.microsoft.com/en-us/library/ms188357.aspx
      

   8. 在 GUI 中提供证书名称和对称密钥名称。
   9. 最后，单击"测试"以确保连接设置正确，然后单击保存。

有关 MS SQL 中的加密和密钥管理的更多详细信息，请参阅此 MSDN 文档 http://msdn.microsoft.com/en-us/library/ms189586.aspx

10.使用MS SQL 群集作为后端数据库

单击此处查看步骤。

11.PAM360 中的工作流

单击此处查看步骤。

12.管理 PAM360 加密密钥

PAM360 使用 AES-256 加密来保护密码数据库中的密码和其他敏感信息。 用于加密的密钥是自动生成的，对于每个安装都是独一无二的。 默认情况下，此加密密钥存储在pam360_key.key文件中，该文件位于<PAM360_HOME>/conf文件夹。 对于生产实例， PAM360 不允许将加密密钥存储在其安装文件夹中。 这样做是为了确保加密密钥和加密数据，无论是实时数据库还是备份数据库中，不驻留在一起。

我们强烈建议您将此加密密钥移动到计算机外部，并在计算机外部安装 PAM360 ，在另一台计算机或外部驱动器中。 您可以提供文件夹的完整路径，其中要移动pam360_key.key文件，手动将文件移动到该位置，并删除 PAM360Server 安装文件夹中的任何引用。 路径可以是映射的网络驱动器或外部 USB （硬盘/拇指驱动器）设备。

PAM360 将pam360_key.key存储在名为 manage_key.conf 的配置文件中，该配置文件位于 <PAM360_HOME>/conf下。 您还可以直接编辑该文件以更改密钥文件位置。 配置文件夹位置后，将pam360_key.key文件移动到该位置，并确保文件或密钥值不会存储在 PAM360 安装文件夹中的任意位置。

当 PAM360 每次启动时，<PAM360安装目录>\conf 路径需要必要的权限访问，以读取pam360_key.key文件。 成功启动后，它不再需要访问该文件，并且具有该文件的设备可以离线。

13.轮换加密密钥

即使您确信在 PAM360 之外安全地管理加密密钥，最佳做法之一也是定期更改加密密钥。 PAM360 提供自动轮换加密密钥的便道选项。

13.1 密钥轮换过程工作原理？

PAM360 将查找pam360_key.key中存在的当前加密密钥，该密钥在manage_key.conf文件中指定的路径中可用，存在于<PAM360_HOME>/conf 下。 只有当它存在于指定的路径中时，轮换过程才能继续，在轮换加密密钥之前，PAM360将备份整个数据库， 以避免在轮换过程中出现任何问题而导致丢失数据。

在密钥轮换过程中，将首先使用当前加密密钥解密所有密码和敏感数据，然后使用新密钥进行加密。稍后，新密钥将写入pam360_key.key文件中，该配置文件位于manage_key.conf文件中指定的位置。 在密钥轮换成功结束时， PAM360 将在包含旧密钥的同一文件中写入新的加密密钥。如果在写入密钥时出现任何错误，则轮换过程将中止。

13.2 轮换加密密钥的步骤（如果未使用高可用性）

1. 确保当前加密密钥（ pam360_key.key 文件）在manage_key.conf文件中指定的位置。 此外，确保 PAM360 在访问pam360_key.key文件时获得读/写权限。
2. 停止 PAM360 服务器。
3. 打开命令提示符并导航到<PAM360安装目录>/bin 目录。 执行RotateKey.bat（在 Windows 中）或sh RotateKey.sh（在 Linux 中）。
4. 根据管理的密码数和其他参数，轮换过程需要几分钟才能完成。
5. 看到确认消息后启动 PAM360 服务器。

13.3 轮换加密密钥的步骤（如果您使用的是高可用性）

1. 在PAM360 web界面中导航到管理 >> 配置 >> 高可用性。 确保高可用性和复制状态处于活动状态。
2. 检查当前加密密钥（pam360_key.key 文件）是否存在于manage_key.conf文件中指定的位置。 此外，确保 PAM360 在访问pam360_key.key 文件时获得读/写权限。
3. 停止 PAM360 主服务器 并确保 PAM360 备用服务器正在运行。
4. 打开PAM360 主服务器的命令提示符，导航到<PAM360安装目录>/bin文件夹下，执行RotateKey.bat（在 Windows 中） 或 sh RotateKey.sh（在 Linux 中）。
5. 根据管理的密码数和其他参数，轮换过程需要几分钟才能完成。 您将看到成功完成轮换过程的确认消息。
6. 从主安装复制新的加密密钥并将其粘贴到位置，如manage_key.conf文件中。 这是备用服务器从中获取pam360_key.key文件的位置。
7. 现在，启动主服务器和备用服务器。

14.管理 PAM360 数据库密码

除了 AES 加密外， PAM360 数据库还使用单独的密码进行保护，该密码是自动生成的，并且对于每次安装都是独一无二的。 数据库的密码可以安全地存储在 PAM360 中。 还有一个选项，用于将密码存储在其他安全位置，可由 PAM360 服务器访问。

默认情况下，数据库密码存储在 <PAM360 安装目录>/conf/database_params.conf。 如果您选择自己管理数据库密码，请安全地将配置文件存储在某处，并指示文件的位置到 PAM360。 按照以下步骤操作:

• 如果您正在启动 PAM360 服务，请转到<<PAM360 安装目录>/conf/wrapper.conf (Windows) / <PAM360 安装目录>/conf/wrapper_lin.conf (Linux) 并在"Java 附加参数"下编辑以下条目，并在"Java Additional Parameters"下编辑以下条目
  wrapper.java.additional.9=-Ddatabaseparams.file=<full path of the database_params.conf file location>
  
• 如果要从命令行或通过托盘图标启动 PAM360 ，则需要编辑<PAM360 安装目录>/conf目录中的文件system_properties.conf。 在此文件中，在"Splash Screen default Properties"下编辑以下条目
  databaseparams.file=<full path of database_params.conf file>

15.许可

15.1许可类型

有三种许可证类型：

1. 评估下载/试用版： 您可以直接下载并安装此试用版，此版本功能齐全，最多能够支持5个管理员，可以评估所有功能30天。
   
2. 免费版：许可软件，允许您拥有1个管理员和管理多达10个资源。 永远有效。
3. 已注册版：企业版，并且许可基于管理员数量。 如果您需要更多企业级功能（如自动发现特权帐户、与工单系统和 SIEM 解决方案的集成、跳转服务器配置、应用程序到应用程序密码管理、开箱即用的合规性报表、 SQL 服务器/群集作为后端数据库等），这非常有用。

15.2 用户角色和许可

PAM360 具有五个用户角色：

1. 管理员
2. 密码管理员
3. 特权管理员
4. 密码审核员
5. 密码用户

术语"管理员"表示管理员、密码管理员和特权管理员。 因此，许可限制了管理员总数，包括管理员、密码管理员和特权管理员。 密码用户和密码审核员的数量没有限制。 若要了解有关五个用户角色的更多详细信息，请参阅此处。

15.3 功能矩阵

有关许可或获取许可的更多信息，请联系我们的销售团队china-sales@zohocorp.com。

16.迁移PAM360

如果要将PAM360从一台机器移动到另一台机器，或移动到同一台计算机中的不同位置，请按照以下详细步骤操作:

16.1 前提条件

不要删除 PAM360 的现有安装，直到新安装正常工作。 这是为了确保备份和克服移动过程中的任何灾难/数据损坏。

16.2 所需步骤

1. 备份当前数据库，并在新计算机上安装 PAM360。
2. 恢复备份数据。

17.使用 PAM360 Web控制台更新 Web 服务器证书

如果要使用 PAM360 Web 控制台更新 Web 服务器证书，请按照以下步骤操作:

1. 导航到管理 >> 配置 >> PAM360 服务器
2. 在打开的 PAM360服务器页面中，安装属于SSL 证书的密钥存储文件和/或更改默认的 PAM360 服务器端口。
3. 要更新 SSL 证书，请从密钥存储类型下拉菜单中选择密钥存储文件的类型（ JKS 、 PKCS12 或 PKCS11 ）。
4. 从系统浏览密钥存储文件，并上传Keystore文件。
5. 在"密钥存储密码"字段旁边输入密钥存储文件的密码。

6. 如果要更改默认 PAM360 服务器端口，请根据服务器端口字段输入端口号。
7. 单击保存。
8. 保存更改后重新启动PAM360。

18.MSP 版本

要使用 PAM360 MSP，请参阅此处。

如需任何帮助，请联系 china-sales@zohocorp.com免费电话：400-660-8680