Password Manager Pro - 常见问题解析

内容

Web界面，身份验证

1. 为什么用户不能收到PMP账户通知？

PMP只通过邮件向用户的PMP账户发送通知。如果您没有收到邮件，请进行如下检查：

检查是否正确配置了SMTP服务器
检查您提供的凭证是否正确
检查“发件人邮件地址”是否被某些邮件服务器拒绝。

2. PMP都采用了哪些身份验证机制？

您可以从以下3种身份验证机制中进行选择：

活动目录:启用活动目录认证，认证请求会跳转到配置的Windows活动目录。据其结果来准许或拒绝用户登录PMP。登录PMP时需要提供域用户名及密码。只有被导入到PMP的用户才可以登录PMP。且只支持于Windows系统。
LDAP目录:启用LDAP目录认证，认证请求会跳转到配置的LDAP目录服务器。据其结果来准许或拒绝用户登录PMP。只有从LDAP目录中被导入到PMP的用户才可以登录PMP。
PMP本地认证:通过PMP服务器进行本地认证。不论是否开启AD或LDAP认证，本地认证总是生效。本地身份验证的密码和活动目录/LDAP用户密码是分开的，PMP不会存储活动目录/LDAP用户的密码。
双重身份认证:强制用户在登录到PMP Web界面之前，先要完成两次认证。PMP现有认证机制(本地认证/AD/LDAP)为第一层认证，用于第二层认证的密码可以是由PMP生成并通过邮件发送的密码，也可以是RSA SecurID一次性的密码，每60秒修改一次。PMP已经和RSA成为了技术合作伙伴，您可以放心的使用RSA双重身份认证系统登录PMP。

3. PMP中有哪些用户角色？他们的访问级别有什么不同？

PMP为您提供了4种角色。

管理员
密码管理员
密码用户
密码审计员

您可以将任何管理员变成"超级管理员"，查看并管理全部资源。请参照帮助文档中访问级别部分的说明。

4. 忘了PMP登录密码怎么办？

您可以使用登录界面中的“忘记密码”链接重置密码。请确认在PMP中已经为用户配置了邮件地址。如果您输入的用户名和邮件地址能够匹配，用户就可以收到包含新密码的邮件。

5. 为什么使用浏览器访问PMP控制台时总会出现一个警告信息？

PMP Web界面是使用HTTPS协议与PMP服务器进行通信。PMP服务器使用一个缺省的自签名的SSL证书，浏览器不能识别这个证书，所以在使用浏览器访问PMP服务器时，总会出现一个警告信息。请忽略此警告信息，并点击“继续浏览此网站”。如果您已经安装了从证书机构购买的SSL证书，且此证书可以被您使用的浏览器识别，那这个警告信息将不会出现。

6. 我可以改变PMP默认使用的7272端口吗？

可以，您可以按照如下步骤更改默认端口：

打开 <PMP安装目录>\conf文件夹，打开server.xml文件
将7272端口替换成您要使用的端口。注释中的端口也要同样进行替换。

安全性

1. 把我的密码放到PMP安全吗？

PMP通过如下方法来确保安全的存储密码，抵御风险：

PMP使用高级加密标准（AES）对密码进行加密，并存储在数据库中。这是当前最强大的加密算法。（AES被美国政府作为行业加密标准）
PMP数据库只接受来自所在主机的连接，并且从外部不可见。
基于角色、精细的访问控制机制，确保用户基于授权查看密码。
PMP控制台和服务器之间的所有数据都会通过HTTPS传输。
PMP中的密码生成器可以帮您生成强壮的密码。

详细内容，请参考产品安全规范文档。

2. 我可以安装自己的SSL证书吗？怎么安装？

请参照我们官方网站常见问题解析中的相应内容。

3. 密码管理API如何确保应用到应用、应用到数据库连接的安全？

PMP提供Web API实现了应用到应用、应用到数据库的密码管理。API的连接都要通过HTTPS。PMP会强制应用提供一个有效的SSL证书，与应用之前提交给PMP的证书进行匹配。确保连接的安全。

密码重置

1. 可以从PMP控制台更改资源的密码吗？

当然可以。目前，PMP可以为Windows、Windows域和Linux系统更改密码。其他资源类型如，数据库，路由器，交换机等将会陆续被支持。PMP支持在代理模式和非代理模式下更改密码。

2. 什么时候使用代理模式重置密码？什么时候使用非代理模式重置密码？

让我们先来了解一下这两张模式：

代理模式需要将代理安装为服务，并使用管理员权限来执行密码修改。PMP服务器和代理之间通过TCP进行通信，通过HTTPS传输密码，因此务必要保证服务器和代理间的通信畅通。（端口要保持打开）。

对于非代理模式，您需要提供管理员凭证来执行密码更改。如果是Linux资源，您需要提供2个账户，一个具有root权限，一个具有普通用户权限，且能够远程登录。资源必须运行Telnet或SSH服务。对于Windows域，需要提供域管理员凭证。对于Windows或Windows域资源，PMP使用remote call服务，且相关端口必须在资源中打开。

请根据您的需要选择相应的模式，并参考如下提示：

对于如下情景，请选择代理模式：

在PMP的资源中您没有管理员凭证。
不能在资源中运行Telnet/SSH（Linux）或RPC（Windows）服务。
您在Linux系统中运行PMP，并想改变Windows资源的密码。

对于所有其它情况，都可以选择非代理模式，让您更加方便可靠地修改密码。

3. 在非代理模式下，可以为自己添加的资源类型（其他版本的Linux或Windows系统）重置密码吗？

可以，只要您的资源类型标签带有字符串“Linux”或“Windows”，就可以对它们配置非代理模式下的密码重置。

可以开启密码重置的资源类型标签如下：

Debian Linux、Linux - Cent OS、SuSE Linux、Windows XP Workstation、Windows 2003 Server

4. 可以为多个资源类型进行远程密码重置？

可以的。您可以在PMP中使用密码重置监听器，调用一个自定义脚本，或执行一系列动作重置密码。详情请参考密码重置监听器。

5. 如果密码重置不成功，如何排除故障？

代理模式：

请检查Windows活动进程中是否有“PMPAgent.exe”进程，如果是Linux系统，请检查PMPAgent进程是否正在运行。
检查安装代理的用户是否有足够的权限修改密码。

非代理模式：

检查提供的管理员凭证是否正确，以及远程同步选项是否已开启。
检查所需的服务是否已在资源上运行。Telnet/SSH（Linux）、RPC（Windows）
检查PMP与资源之间是否可以正常连接。

6. Windows域密码重置失败错误信息："认证机制未知"

当PMP作为服务运行时，如果在PMP服务属性的登录页签中使用本地系统账户的话，就可能出现此错误。解决方法是将“本地系统用户”更改为一个域账户来重置域账户密码。步骤如下：

打开Windows服务（控制面板-->管理工具-->服务）
选择“Password Manager Pro”服务，右键并点击属性。
点击“登录”标签，选择“此账户”，并提供一个域用户名、密码，格式为"域名\用户名"。
保存配置并重启服务。

7. 开启Windows服务账户重置的前提条件？

在开启Windows服务账户重置之前，请确保如下服务在服务器中已被启动：

Windows RPC服务应该已经启动
Windows Management Instrumentation (WMI)服务应该已经启动

8. 域单点登录（SSO）可以通过防火墙或VPN吗？

域单点登录（Windows集成身份验证），在Windows环境中，通过设置HTTP头非标准参数来通过防火墙或VPN。PMP的设计原理是在内网中使用。如果是从外网连接到PMP，则不能开启SSO。

备份和灾难恢复

1. 可以对PMP数据库设置灾难恢复吗？

可以。通过在PMP控制台的一些配置，可以定期的对数据库执行备份。详情请参照帮助文档中的相关内容。

2. 备份的数据被保存到哪里？是加密的吗？

备份文件中的所有数据都会被加密，并以.zip格式存储在<PMP_安装目录/backUp>目录。建议您将它备份在一个安全的位置，以作为灾难恢复的存储。

全局

1. 使用PMP之前，要先安装其它软件吗？

不需要。

2. 其他人能看到我添加的资源吗？

除了超级管理员用户之外（如果在您的PMP中配置了超级管理员），谁都看不到，甚至管理员都不行。除非您将资源共享给其他管理员，他们才可以看到。

3. 可以对PMP资源添加自定义的属性吗？

可以。您可以根据需要对PMP中的资源属性和用户账户属性进行扩展。详细内容请参照帮助文档。

4. 如果某员工在没有共享他的资源密码情况下就离职了，怎么办？

这种情况在企业中是很常见的，但是使用PMP您就不必为此发愁。管理员可以将资源的所有权转让给其他的管理员用户，转让之后，该管理员也不能访问这些资源了，除非其他管理员再将该资源转让给他。详情请参照帮助文档中的相关内容。

5. 我可以通过自定义查询生成结果来集成其它报表系统吗？

可以。请将您的请求信息发送到我们的支持邮箱mes@zohocorp.com.cn，我们的工程师会帮助您通过相关SQL查询来生成XML输出。

6. PMP支持换标功能吗？

是的。如果您想将PMPlogo换成您的企业logo的话（在登录界面以及产品web界面），可以在PMPweb界面直接完成。推荐您的logo大小为210 * 50像素。

步骤如下：

点击“管理”标签
点击“定制 >> 换标”
查找并选择所需图片
点击“保存”
即可对PMP完成换标

7. PMP可以记录用户的密码查看尝试以及密码检索操作吗？

可以。PMP可以记录用户执行的所有操作，包括密码查看和复制操作。从审计页面，您可以看到用户对密码的各种操作及尝试。操作审计列表（根据时间和IP地址进行审计）包括：

创建、删除和修改的用户账户
用户的登录以及登出
资源及密码的创建、访问、编辑和删除

8. PMP支持高可用性吗？

支持。详情请参照帮助文档中的高可用性部分。

许可

1. PMP的许可策略是什么？

PMP包含3种许可类型：

评估版支持30天免费评估期，以及2个管理员。供您进行评估试用。
免费版支持一个管理员以及10个资源。永久有效。
注册版许可基于2种机制：

管理员数量
版本类型 - 标准版、白金版或者企业版

提示：Password Manager Pro为您提供了4种用户角色 - 管理员，密码管理员，密码用户和密码审计员。“管理员”既指“管理员”，也包括“密码管理员”。所以，许可会限制管理员以及密码管理员的数量。许可不会对密码用户以及密码审计员进行限制。更多关于用户角色信息，请参考帮助文档中的相关内容。

标准版 - 如果您需要一个安全的密码保管箱来存储您的密码，并将密码共享给您企业内部的员工，标准版是个不错的选择。
白金版 - 除了存储和共享密码功能之外，如果您还希望使用企业级的密码管理功能，如远程密码重置、密码告警及通知、应用程序间的密码管理、报表、高可用性等等。请选择白金版。
企业版 - 如果您需要更多企业级功能，如自动发现特权账户、工单系统集成以及安全信息和事件管理（SIEM）解决方案、跳转服务器配置、应用程序间的密码管理、预置的合规性报表、使用SQL server或群集作为数据库，企业版对您来说将会是一个好的选择。

版本介绍

标准版	白金版	企业版
用户以及用户组管理密码存储密码策略密码共享和管理审计以及审计通知 AD/LDAP集成离线访问自动登录助手密码变更监听器备份和灾难恢复	标准版的所有功能密码告警和通知远程密码重置（根据需要的，计划的以及基于规则的）适用于Windows、Windows域、Windows服务账户、Windows计划账户、UNIX/Linux、Cisco、HP ProCurve和Juniper Netscreen设备、MS SQL Server、MySQL、Oracle数据库服务器和Sybase ASE、LDAP服务器实时同步远程系统并验证密码密码访问控制工作流特权会话录制报表用于应用程序间密码管理的密码管理API 双重身份认证 - RSA、PhoneFactor、Google认证高可用性部署	包含白金版的所有功能发现特权账户工单系统集成实时告警和安全信息和事件管理（SIEM）集成跳转服务器配置联邦式身份管理基于Radius的双重（TFA）认证预置的合规性报表 SQL Server、SQL Server集群作为后台数据库特权会话追踪和终止客户密码重置监听器自定义报表用于集成第三方应用的RESTful API

2. 可以购买永久的PMP许可吗？都有哪些选项供我选择？

PMP提供年度订阅模式许可，也提供永久许可。请联系sales.list@zohocorp.com.cn获取详细信息。

3. PMP能够支持多于100个管理员吗？

当然没问题。如果您需要多于100个管理员，请将您的需求发送到sales.list@zohocorp.com.cn。

4. 我可以延长评估期吗，包括更多的管理员用户或者更多的天数？

可以延长评估期。请将您的需求发送到sales.list@zohocorp.com.cn。

5. 如果我想要使用PMP白金版或者企业版，需要重新安装现有PMP吗？

您不必重新安装或者停止PMP服务器。您只需要在页面右上角的许可链接，应用新的许可文件。