远程密码重置
- 概述
- 无代理模式远程密码重置
2.1.1 Windows
2.1.2 Windows 域
2.1.3 Linux/IBM AIX/HP UX/Solaris/Mac OS/VMWare ESXi
2.1.4 IBM AS400/Sun Oracle ALOM/ILOM/XSCF Sun Oracle ALOM/ILOM/XSCF
2.1.5 MySQL/PostgreSQL服务器
2.1.6 Oracle WebLogic服务器
2.1.7 MS SQL服务器
2.1.8 Oracle数据库服务器
2.1.9 Sybase ASE
2.1.10 LDAP服务器
2.1.11 HP ProCurve设备
2.1.12 HP iLO
2.1.13 Cisco设备(IOS/CatOS/PIX)
2.1.14 Juniper Netscreen防火墙设备
2.1.15 AWS IAM
2.1.16 Google App
2.1.17 Microsoft Azure
2.1.18 Rackspace
2.1.19 Salesforce
- 代理模式重置远程密码
1.概述
PAM360为您提供远程更改资源密码的功能。 在PAM360中,通常可通过命令行界面( CLI ) 访问的设备都可以进行远程密码重置和密码管理。
PAM360允许您通过两种模式更改远程资源的密码:代理模式和无代理模式。
2.无代理模式远程密码重置
如果您通过无代理模式配置远程密码重置,需要输入用于远程登录到目标资源的帐户。
2.1为单个资源类型配置远程密码重置
2.1.1 Windows
- PAM360本身设计采用运行其服务的帐户来重置所有Windows类型的本地帐户的密码。
注意:上述服务帐户应该在PAM360服务器和您想要管理的目标系统中具有域管理员权限或本地管理员权限。
- 登录到 PAM360 服务器并打开服务控制台 ( service.msc ) 以更新 PAM360 服务的服务帐户。
- 如果您没有条件采用这种方式,您可以指定资源上的一个本地账户来执行重置密码,请导航到资源 >> 资源操作 >> 配置 >>远程密码重置并选择管理员帐户。
- 如果PAM360服务使用特权服务帐户(具有所有成员服务器上的域管理员或本地管理员权限)运行,那么它可以强制重置Windows 密码,而无需考虑存储的旧密码。
2.1.2 Windows 域
如果使用特权帐户发现功能从活动目录导入 Windows资源,PAM360会自动将域控制器添加为一个类型是Windows域的资源。
要重置 Windows 域资源中的域帐户密码,请先设置一个用来管理远程登录和密码重置的管理帐户
参考以下步骤配置远程密码重置:
注意:如果PAM360拥有域管理员凭据,则无需考虑PAM360服务器所在域与目标域之间的信任关系,都可以重置目标域帐号的密码。另外,在PAM360中,任何具有“修改密码”权限的用户都可以修改密码。
2.1.3Linux/IBM AIX/HP UX/Solaris/Mac OS/VMWare ESXi
对于Unix资源的远程密码重置,您需要先使用远程登录帐户登录到目标系统,再进行特权提升以实现密码重置。如果目标系统支持通过Sudo执行密码重置命令,您可以使用这里提供的两个选项:使用'su'为root,或者使用'Sudo'执行远程密码重置命令。
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置,然后按照以下步骤操作:
Ⅰ 选择协议
- 选择“远程登录方式”为“SSH”或“Telnet”,接下来,指定您的远程登录帐户,您可以选择您正在设置密码重置的资源类型的帐户,也可以选择存储在PAM360中的Windows域资源的帐户。如果要使用Windows域帐户作为远程登录帐户,请在设置远程登录帐户时选择“其他资源”选项,然后指定所需帐户的资源名称以及远程登录帐户。
- 指定认证方式。如果您选择使用Windows域帐号远程登录Telnet或SSH,可以跳过此步骤,直接进入设置特权提升方法。
Ⅱ 如果选择 SSH ,请指定身份验证方法
- 如果选择SSH作为远程登录方法,并选择远程Unix资源的帐户作为远程登录帐户,则可以选择“密码验证”或“PKI (Public Key Infrastructure)验证”。
- 对于PKI身份验证,公钥存在特定远程登录帐户下的远程系统中。 通常,它存在于"$Home/.ssh文件夹"下。 选择公钥存在的远程登录帐户;浏览并提供相应的私钥。
注意:PAM360 仅支持 SSH2 及以上版本。
Ⅲ 指定"root"帐户/选择"sudo"
- 如上所述,执行远程密码重置命令,PAM360可以使用'su'为'root'或'sudo',这允许用户以root权限运行命令,而不必切换到root帐户。
- 如果使用"su"为"root"选项,请选择"root"帐户。
- 如果目标系统允许通过"sudo"执行密码重置命令,请选择该选项。
- 点击保存。
注意:您还可以使用 SSH 命令集为 Linux 、 IBM AIX 、HP UX、 Solaris 、 Mac OS、 VMWare ESXi 和任何其他基于 Linux 或 Unix 的资源类型配置远程密码重置。 点击这里了解更多信息。
2.1.4 IBM AS400/Sun Oracle ALOM/ILOM/XSCF Sun Oracle ALOM/ILOM/XSCF
这些资源不需要特定的密码重置配置,因为 PAM360 将使用添加到资源中的帐户来执行密码重置。
2.1.5 MySQL/PostgreSQL 服务器
由于MySQL/PostgreSQL 服务器的密码重置通过JDBC完成,因此需要MySQL/PostgreSQL管理员凭据。 按照以下步骤重置 MySQL/PostgreSQL 服务器的密码:
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置。
- 指定MySQL/PostgreSQL服务器运行的端口:MySQL/PostgreSQL默认占用3306端口。
- 指定连接模式: MySQL/PostegreSQL服务器和PAM360之间可以通过SSL或非SSL连接,如果选择SSL模式,请按照以下操作:
SSL 模式:
- 要启用SSL模式,MySQL/PostgreSQL服务器必须通过SSL提供服务,您必须将MySQL/PostgreSQL服务器的根证书导入到PAM360服务器机器上的证书存储区中。导入相应根证书链中存在的所有证书——这是PAM360服务器机器的证书和中间证书(如果有的话)。
- 要导入根证书,请打开命令提示符并导航到<PAM360_SERVER_HOME>\bin目录下,并执行以下命令:
Windows
importCert.bat <证书的绝对路径>Linux
importCert.sh <证书的绝对路径>
2.1.6 Oracle WebLogic 服务器
由于WebLogic服务器通过JMX进行密码重置,所以您需要先指定管理员凭据。
前提条件
- wljmxclient.jar、wlclient.jar、rmic.jar、weblogic.jar这些JAR文件位于WebLogic 服务器中 <weblogic_install_directory>\wlserver\server\lib路径下。
- 复制这些JAR文件并将他们保存在<pam360安装目录>的lib路径下。
配置Oracle WebLogic Server远程密码重置的步骤
按照以下步骤重置WebLogic服务器密码:
- 导航到资源 >> 资源操作 >> 配置远程密码重置。
- 指定 WebLogic服务器运行的端口,WebLogic服务器默认使用7001端口。指定WebLogic Server和PAM360之间的连接模式,您可以选择SSL 或非SSL进行连接。如果选择SSL模式,请按照以下步骤操作:
SSL模式:
- 要启用SSL模式,WebLogic服务器必须通过SSL提供服务,您需要将WebLogic服务器的根证书导入到PAM360服务器机器上的证书存储区中。导入相应根证书链中存在的所有证书——这是PAM360服务器机器的证书和中间证书(如果有的话)。
- 要导入根证书,请打开命令提示符并导航到<PAM360_SERVER_HOME>\bin目录下,并执行以下命令:
Windows
importCert.bat <证书的绝对路径>Linux
importCert.sh <证书的绝对路径>
- 重启PAM360服务器。
- 为使PAM360能够访问WebLogic服务器,需要提供WebLogic根用户名称。
- 点击保存。
- 导航到资源 >> 资源操作 >> 远程密码重置
- 指定MS SQL服务器的实例名称。如果已指定实例名,PAM360将尝试与指定的实例建立连接。如果没有,PAM360将尝试与指定端口建立连接。
- 指定运行MS SQL服务的端口,MSSQL 默认使用1433端口。
- 指定连接模式,您可以选择SSL或非SSL进行连接。如果选择SSL模式,请按照以下步骤操作:
- 要启用SSL模式,MS SQL必须通过SSL提供服务,您需要将MS SQL的根证书导入到PAM360服务器机器上的证书存储区中。导入相应根证书链中存在的所有证书——这是PAM360服务器机器的证书和中间证书(如果有的话)。
- 要导入根证书,请打开命令提示符并导航到<pam360_server_home>\bin,然后执行以下命令:
- 导航到资源 >> 资源操作 >> 远程密码重置
- 指定 Oracle 数据库监听器端口。 默认情况下, Oracle 数据库服务器侦听端口为1521。
- 指定连接模式 - 您可以配置Oracle数据库服务器和PAM360之间的通过加密通道( AES 256 )进行连接。如果选择"是"(加密模式)选项,请按照以下步骤操作:
- 启动Oracle Net Manager。
- 在提示窗口,选择Oracle Net 配置。
- 打开本地 >> 配置文件。
- 从右侧面板列表选择Oracle 高级安全。
- 在随后显示的选项卡式窗口中,点击加密。
- 在加密下拉列表中,选择服务器。
- 在加密类型列表,选择已接受。
- 在'Encryption Seed'文本框中输入随机字符编号(从10到70),也可以为空。
- 选择算法AES 256。
- 指定 Oracle 管理员帐户。
- 指定 Oracle 服务名称,默认情况下服务名称为 ORCL。
- 点击保存。
- 在Sybase ASE中执行远程密码重置,需要使用jConnect 6.0JDBC驱动程序。JDBC驱动程序是一个名为jconn3.jar的文件,位于Sybase ASE 15.0中 <sybase安装目录>\jConnect_6_0\classes路径下。
- 复制"jconn3.jar"文件,将其保存在运行PAM360服务器的<pam360安装目录>\lib文件夹下。
- 指定Sybase ASE端口。 Sybase ASE默认情况下使用5000(SSL模式下,默认端口为2748)。
- 指定连接模式。您可以将Sybase ASE和PAM360之间的连接模式配置为SSL或非SSL。如果选择SSL模式,请执行以下操作:
- 将Sybase服务器的根证书从<sybase_home>\ASE-15_0\certificates (位于sybase ASE 15.0中)复制到 <pam360安装目录>\conf\文件夹下。
- 运行以下命令在PAM360中导入证书: '<pam360_home>\jre\bin\keytool.exe -import -v -alias sybase -file <rootcert.txt> -keystore server.keystore -keypass passtrix -storepass passtrix -noprompt'.
- <rootcert.txt>是 Sybase ASE 的根证书,通常命名为<hostname>.txt。
- Microsoft Active Directory
- OpenLDAP
- Oracle Internet Directory
- Novell eDirectory
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置
- 指定要添加的LDAP服务器类型。
- 指定LDAP服务器端口。 默认情况下LDAP服务器使用389端口( SSL模式下默认端口为636)。
- 指定连接模式。LDAP服务器与PAM360的连接方式可以设置为SSL (encrypted channel)或非SSL。除Microsoft活动目录外(Microsoft活动目录只能通过SSL连接),其他LDAP服务器请选择“SSL”或“非SSL”。如果选择SSL模式,请执行以下操作。
注意:Microsoft活动目录只能通过SSL连接。
SSL模式:
- 要启用SSL模式,LDAP服务器应该通过SSL提供服务,您必须将LDAP服务器的根证书导入PAM360服务器机器的证书存储。您需要导入各自根证书链中存在的所有证书——即PAM360服务器机器的证书和中间证书(如果有的话)。
- 要导入根证书,请打开命令提示符并导航到 PAM360安装目录\bin下,执行以下命令:
Windows
importCert.bat <证书的绝对路径>Linux
importCert.sh <证书的绝对路径>
- 重启PAM360服务。
- 指定LDAP服务器的管理员帐户。
- 点击保存。
2.1.7 MS SQL服务器
由于MS SQL服务器的密码重置是通过JDBC完成的,因此需要提供MS SQL管理员凭据或具有修改密码权限的域帐户凭据。按照以下步骤远程重置MS SQL服务器的密码:
SSL 模式:
Windows
importCert.bat <证书的绝对路径>Linux
importCert.sh <证书的绝对路径>
2.1.8 Oracle 数据库服务器
Oracle 数据库服务器执行密码重置需要管理权限,请指定管理员帐户。 按照以下步骤启用 Oracle数据库服务器密码的远程重置:
2.1.9 Sybase ASE
前提条件
配置Sybase ASE远程密码重置的步骤
执行Sybase ASE的密码重置需要管理员权限,所以请先指定管理员帐户。按照以下步骤启用Sybase ASE的远程密码重置:
SSL 模式:
2.1.10 LDAP服务器
前提
在向PAM360添加新的LDAP资源时,必须为LDAP服务器帐户指定一个可识别名称(Distinguished Name)。
例如: c=administrator, cn=people, dc=test, dc=com。
为LDAP服务器配置远程密码重置的步骤
执行LDAP服务器的密码重置需要管理员权限,因此,请先指定管理员帐户。
PAM360支持以下类型的LDAP服务器进行远程密码重置:
按照以下步骤为LDAP服务器启用远程密码重置:
2.1.11HP ProCurve 设备
对于HP ProCurve设备,PAM360需要在资源中运行Telnet或SSH服务。配置管理员帐号、管理员模式和配置模式的登录信息。PAM360将使用配置模式重置密码。
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置。
- 填写以下详细信息:
Ⅰ 远程登录方法: PAM360支持SSH和TELNET协议,通过这些协议可以与设备建立连接以重置密码,请选择所需的协议。
Ⅱ 管理帐户:即登录到设备的账户。如果设备已经配置了提示输入用户名的设置,那么请选择“用于登录的账户名”选项。关联的账号将会用于用户名提示符。否则,PAM360希望设备只提示密码输入。
Ⅲ 管理员模式提示:成功登录后显示的提示。
Ⅳ 配置模式提示:用于进入特权模式执行密码重置。
V 复制密码变更到启动配置:选择此选项可对PAM360中正在运行的配置的密码更改应用于启动配置。
2.1.12HP iLO
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置,填写以下详细信息。
Ⅰ 远程登录方法:PAM360支持SSH和TELNET协议,通过该协议与设备建立连接以重置密码。
Ⅱ 输入端口:默认情况下,SSH使用22端口。
Ⅲ 指定提示:输入成功登录时显示的提示以及具有管理员权限的用户帐户。
2.1.13Cisco设备( IOS/CatOS/PIX )
PAM360需要在资源中运行Telnet或SSH服务,以连接到设备进行密码重置。PAM360登录资源时,需要输入enable模式的密码和用户帐号。PAM360将使用配置终端模式重置密码。按照以下步骤启用Cisco设备的远程密码重置:
- 导航到资源 >> 资源操作 >> 配置 >> 远程密码重置,并输入以下详细信息。
Ⅰ 远程登录方法: PAM360 支持 SSH 和 TELNET 协议,通过该协议可以与设备建立连接以重置密码,请选择所需的协议。
Ⅱ 远程登录帐户:用于与设备建立连接的登录帐户。
Ⅲ 登录所需的帐户名称:对于用户和enable模式,如果设备配置为提示用户名,请选中"登录所需的用户名"选项,关联的帐户名称将用于用户名提示。 如果未选中此选项, PAM360将只使用密码提示。
Ⅳ 用户模式提示:成功登录后显示的提示。
V enable密钥:这是用于进入特权模式以执行密码重置。 如果远程登录帐户具有修改密码权限,则不需要指定enable密钥。
Ⅵ enable密码:用于进入特权模式以执行密码重置。 如果远程登录帐户具有修改密码权限,则不需要指定enable密码。
Ⅶ enable模式提示:进入enable模式后将出现的提示。 例如,##。
Ⅷ 配置模式提示:要对设备的任何功能/配置进行任何更改,您需要进入配置模式。 必须在此输入进入配置模式时显示的提示。 例如,#"主要凭据"。
Ⅸ 复制密码变更到启动配置:选择此选项可将对 PAM360 中正在运行的配置的密码更改应用于启动配置。
注意:启用“立即复制密码变更到启动配置”选项,PAM360将立即复制当前配置内容,包括 PAM360之外的配置内容。
2.1.14 Juniper Netscreen 防火墙设备
PAM360需要在资源中运行Telnet或SSH服务,以连接到设备进行密码重置。PAM360登录资源需要管理员帐户和管理员帐户提示。 按照以下步骤操作,配置Netscreen设备的远程密码重置:
- 导航到资源 >> 资源操作 >> 配置远程密码重置 ,输入以下详细信息。
Ⅰ 远程登录方法:PAM360 支持 SSH 和 TELNET 协议,通过该协议可以与设备建立连接以重置密码,请选择所需的协议。
Ⅱ 管理员帐户:用于登录到PAM360帐户以建立与设备的连接。 如果想为设备配置提示用户名,请选中"登录所需的用户名"选项,关联的帐户名称将用于用户名提示。 如果未选中此选项, PAM360将只使用密码提示。
Ⅲ 管理员模式提示:成功登录后显示的提示。
2.1.15 AWS IAM
- PAM360使用AWS SDK来完成AWS IAM用户帐号密码重置。
- 请导航到资源 >> 资源操作 >> 配置远程密码重置,该操作需要管理员帐户的访问密钥和密钥。
- 请将访问密钥和安全密钥添加到PAM360中,这些密码可以与任意资源类型的帐户关联,用于远程同步。
2.1.16 Google App
2.1.17Microsoft Azure
前提条件
使用Powershell对Microsoft Azure帐户进行密码重置。请注意,请使用Powershell 2.0及更高版本对Microsoft Azure进行密码重置,同时您还需要安装Powershell的MSOnline模块。
下载和安装Windows Azure AD模块的步骤
在使用PAM360配置Microsoft Azure之前,请为操作系统安装适用于Windows PowerShell的Windows Azure AD模块。
32位系统
64位系统
- 从这里下载并安装 Microsoft 在线服务登录助手。
- 从这里下载,为Windows PowerShell安装Windows Azure AD 模块。
- 安装模块后,将“C:\Windows\System32\WindowsPowerShell\v1.0\Modules”路径下的“MSOnline”和“MSOnlineExtended”文件夹移动到“C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules”。
为 Microsoft Azure 配置远程密码重置的步骤
要重置用户帐户的密码,请选择管理员帐户以启用远程登录。
2.1.18 Rackspace
- 使用Rackspace REST API为Rackspace用户账户重置密码。
- 要执行密码重置,请导航到资源 >> 资源操作 >> 配置远程密码重置,并选择一个具有Rackspace管理员凭证的管理员账户。
注意:以下是基于位置的认证,可以通过它们连接到服务器。
基于美国的终端:https://identity.api.rackspacecloud.com/v2.0
基于英国的终端:https://lon.identity.api.rackspacecloud.com/v2.0
2.1.19 Salesforce
- 使用Force.com REST API为Salesforce用户帐户重置密码。
- 请导航到资源 >> 资源操作 >> 配置远程密码重置,此操作需要管理员帐户的客户端ID和客户端密钥。
- 请将客户端ID和客户端密钥添加到PAM360中,这些密码可以关联到任意资源类型的帐户,然后用于远程同步。
2.2配置批量资源类型的远程密码重置
若要为受支持的资源类型批量配置远程密码重置,请按照以下步骤操作:
- 导航到资源选项卡并选择所需资源。
- 点击资源操作 >> 配置 >> 远程密码重置。
- 所有可用的资源将在打开的配置远程密码重置窗口列出,请分别输入配置设置并保存更改。点击此处了解更多关于如何为每种资源类型配置密码重置的详细信息。
3.代理模式重置远程密码
如果设备位于DMZ(内网和外网均不能直接访问的区域),或者有多个受防火墙保护的站点/网络,那么PAM360将不能直接连接到这些目标系统。在这种情况下,使用PAM360代理来管理这些目标系统的密码。PAM360代理为单向通信模式,即目的服务器到PAM360服务器方向。因此,不必为目的网络中的入站方向打开端口。PAM360代理只需能够访问到PAM360登录页面的端口(默认端口为8282)。
要下载PAM360代理 ,请导航到管理 >> PAM360代理 。代理有Windows、Windows域和Linux等64位和32位的不同版本,其中,Windows域代理需要部署在DMZ域控制器中。
点击此处查看有关 PAM360 代理的更多信息。