ManageEngine^（R）

Password Manager Pro -FAQ

特权密码管理解决方案，安全密码管理器

网络接口，身份验证

安全

在 PAM360 中的密码有多安全？
通过密码管理 API 完成 A 到 A、A 到 DB 密码管理的安全？
可以安装自己的 SSL 证书吗？如何安装？
如何为 MySQL 服务器生成唯一的 SSL 证书？（适用于 PAM3606500 的步骤）
可以安装自己的 SSL 证书吗？如何安装？
我们可以使用主题外部名称（ SAN ）创建服务器证书吗？

密码同步

备份和灾难恢复

我可以为 PAM360 数据库设置灾难恢复吗？
备份数据存储在何处？是加密的吗？

故障排除和一般提示

许可

网络界面，认证

1.我可以更改 PAM360 占用的默认端口 8282 吗？

可以，您可以更改默认端口，如下所述:

转到<PAM360_Installation_Folder >conf目录并打开服务器.xml文件
将条目"8282"替换为您选择的端口号。请注意，注释中也会有 8282 个条目，所有条目都应替换。

2.为什么我的用户没有通知他们的 PAM360 帐户？

用户只能通过电子邮件收到其 PAM360 帐户通知。如果他们没有收到通知电子邮件，请检查

如果您已正确配置了邮件服务器设置，并提供环境中 SMTP 服务器的详细信息
如果您提供有效的凭据作为邮件服务器设置的一部分，因为某些邮件服务器需要发送邮件
如果"发件人电子邮件 ID"被正确配置为某些邮件服务器拒绝发送的电子邮件，而没有来自未知域的地址或邮件

3.PAM360 中可用的身份验证方案是什么？

PAM360 中提供以下身份验证方法:

活动目录：启用后，身份验证请求将转发到配置的域控制器，并基于结果，允许用户或拒绝访问 PAM360。用户名、密码和域在 PAM360登录屏幕中提供。此方案仅适用于其详细信息以前从 AD 导入的用户，并且仅在 Windows 系统上安装 PAM360 服务器时可用。了解更多

LDAP目录：启用后，身份验证请求将转发到配置的 LDAP 目录服务器，并且根据结果，允许用户访问 PAM360。在 PAM360登录屏幕中提供用户名、密码和使用 LDAP 身份验证的选项。此方案仅适用于以前从 LDAP 目录导入详细信息的用户。了解更多

PAM360 本地身份验证：身份验证由 PAM360 服务器在本地完成。无论启用AD或 LDAP 身份验证，此方案始终可供用户在登录页面中选择。此方案具有用户单独的密码，并且 AD 或 LDAP 密码永远不会存储在 PAM360 数据库中。但是，出于安全原因，我们建议您在启用 AD/LDAP 身份验证后禁用用户的本地身份验证。

Azure AD：在环境中将 PAM360 与 Azure 活动目录（ Azure AD）集成后，可以允许用户使用 Azure AD 凭据在 Windows 和 Linux 平台中登录到 PAM360。若要使用此身份验证，首先应将 PAM360 添加为 Azure AD 门户中的本机客户端应用程序。了解更多

智能卡身份验证：启用此功能将要求用户拥有智能卡，并了解其个人标识号（ PIN ）。请注意，智能卡身份验证将绕过其他第一因素身份验证方法，如 AD、 LDAP 或本地身份验证。了解更多

RADIUS 身份验证：您可以将 PAM360 与 RADIUS 服务器集成到您的环境中，并使用 RADIUS 身份验证替换 PAM360 提供的本地身份验证。使用 RADIUS 服务器凭据访问 PAM360 的用户必须作为 PAM360first 中的用户添加。这样做时，您需要确保 PAM360 中的"用户名"与用于访问 RADIUS 服务器的用户名相同。了解更多

SAML SSO:P AM360 作为服务提供商（SP），它使用 SAML 2.0 与身份提供商（ IdP ）集成。集成基本上涉及向 IdP 提供有关 SP 的详细信息，反之亦然。使用 IDP 集成 PAM360 后，用户只需登录到 IDP ，即可从相应的 IDP GUI 自动登录到 PAM360 ，而无需再次提供凭据。 PAM360 支持与 Okta 、AD FS、 OneLogin 和 Azure AD SSO 的集成。

4.PAM360 中可用的用户角色有哪些？他们的访问级别是多少？

PAM360 具有三个预定义角色:

管理员
密码管理员
密码用户

任何管理员都可以作为超级管理员，并享有查看和管理所有资源的权限。有关访问级别的详细信息，请参阅帮助文档。

5.如果我忘记了我的 PAM360登录密码怎么办？

PAM360 具有三个预定义角色:

如果您已经获得有效的 PAM360 帐户，您可以使用"忘记密码"？登录页中提供的链接可重置密码。提供的用户名/电子邮件 ID 对应与已为用户配置的 ID 配对匹配，在这种情况下，将为该用户重置密码，并将新密码通过电子邮件发送至该电子邮件 ID。

6.为什么互联网浏览器7（和其他浏览器）在访问 PAM360 控制台时抱怨？

PAM360 具有三个预定义角色:

PAM360web 控制台始终使用 HTTPS 与 PAM360 服务器进行通信。 PAM360 服务器附带默认的自签名 SSL 证书，标准 Web 浏览器无法识别该证书并发出警告。特别是 IE 7 的警告消息似乎很严重。忽略此警告仍保证 PAM360 控制台和服务器之间的加密通信，但如果您希望用户特别确定他们只连接到 PAM360 服务器，则需要安装您从证书颁发机构购买的 SSL 证书，该证书由所有标准 Web 浏览器识别。

安全

1.我在 PAM360 中的密码有多安全？

确保密码的安全存储并提供高防御入侵能力是 PAM360 的强制性要求。以下措施确保密码的高级别安全性:

密码使用高级加密标准（ AES ）进行加密，该标准是目前最强的加密算法，并存储在数据库中。（ AES 已被美国采用为加密标准。政府）
存储所有密码的数据库仅接受来自运行在主机上的主机的连接，并且外部不可见
基于角色的细粒度用户访问控制机制可确保允许用户根据所提供的授权查看密码
PAM360 控制台和服务器之间的所有事务都通过 HTTPS 进行
内置密码生成器可以帮助您生成强密码

有关详细信息，请参阅产品安全规范文档。

2.通过密码管理 API 完成 A 到 A、A 到 DB 密码管理的安全？

PAM360 公开的 Web API 为 PAM360 中的应用程序到应用程序/数据库密码管理提供基础。应用程序与 PAM360 通过 HTTPS 进行连接和交互。通过强制它颁发有效的 SSL 证书来验证应用程序的身份，匹配已提供给 PAM360 与该应用程序相关的详细信息。

3.可以安装自己的 SSL 证书吗？如何安装？

PAM360 作为 HTTPS 服务运行。它需要一个有效的 CA 签名 SSL 证书，其主体名称是运行其主机的名称。默认情况下，在首次启动时，它会创建一个自签名证书，用户浏览器将不信任该证书。因此，在连接到 PAM360 时，需要仔细验证 PAM360 服务器的证书信息和主机名，并强制浏览器接受证书。

要使 PAM360 服务器受 Web 浏览器和用户信任，:

从 PAM360 主机的 CA 获取新的签名证书。 [OR]
配置从 CA 获取的现有证书，并具有对 PAM360host 的通配符主体支持。

生成已签名的 SSL 证书的方法有很多:

通过使用 PAM360的证书管理模块。
通过使用 OpenSSL 或 Keytool （与 Java 捆绑）创建证书，请由 CA 签名并使用 PAM360。
通过安装通配符证书。

您可以根据安全管理员建议确定生成已签名的 SSL 证书的模式。使用上述每种方法的详细步骤在以下链接下提供。

注意：如果您已经有一个由 CA 签名的证书，那么我们建议使用 OpenSSL 创建密钥库并在 PAM360 中配置密钥库（以下说明中的步骤 4 和 5）。

1.使用 PAM360 的证书管理模块生成签名 SSL 证书

您可以通过 PAM360 的证书管理模块生成已签名的 SSL 证书，还可以直接从 PAM360 控制台应用证书更改（证书密钥存储）。这涉及三个过程:

1.1生成证书签名请求（ CSR ）：:

若要通过 PAM360 从本地 CA 请求和获取证书，首先需要生成证书签名请求（ CSR ）。以下是相同的步骤:

导航到证书 >> 创建CSR。

单击创建按钮。将显示"创建 CSR"页。

根据是要创建新的 CSR还是从现有的私钥创建 CSR ，请选择其中任一选项"创建 CSR"或"从 KeyStore 创建 CSR"。

如果选择了"创建CSR"，请填写详细信息，如通用名称、 SAN 、组织单位、组织位置、状态、国家、密钥算法和密钥大小。选择密钥算法和密钥库类型。输入有效性和存储密码

如果您选择了"从密钥存储创建 CSR"，请浏览并附加所需的私钥文件以及私钥密码。

单击创建按钮。。您将被重定向到显示 CSR 内容的窗口。您可以复制 CSR 内容或将其导出到邮箱。

电子邮件ndash;选择此选项可通过电子邮件将证书文件发送到指定的邮件 ID（N(&N)。

导出 CSR/私钥- 选择此选项可根据您的要求单独导出 CSR 或相应的私钥。

在"证书>>创建 CSR"下查看保存的 CSR 。

注意：与每个 CSR 对应的"显示密码"眼图标允许管理员查看 CSR 文件的密钥存储密码。

1.2签署证书:

PAM360 提供从 Microsoft 证书颁发机构或使用环境中受信任的自定义根 CA 证书向网络中的所有客户端签名和颁发证书的选项。

注意：请记住，在从本地 CA 签名证书之前，您应该已生成有效的证书签名请求（ CSR ）。

按照以下步骤对证书进行签名:

导航到证书 >> 创建CSR

从表中选择所需的 CSR ，然后单击顶部菜单中的"签名"。

在显示的弹出窗口中，提供运行内部证书颁发机构（CA Name ）的服务器名称，并根据您的要求选择证书模板。单击签名证书。 CSR 现已签名，在"证书>> 证书"下查看已颁发的证书。

1.3应用 PAM360web 服务器的证书密钥存储：:

要应用证书密钥库，首先需要创建它。

导航到证书 >> 证书。单击标题"通用名称"下的签名证书链接。在显示的证书详细信息页面中，单击屏幕右上角的"导出"图标。证书文件将下载到您的本地计算机。

现在，导航到证书 >> 创建CSR

单击与已签名证书的 CSR 对应的导入证书图标。浏览并选择本地计算机中下载的证书文件，然后单击"导入。现在证书将与私钥绑定形成密钥库。

现在导航回证书，然后单击标题"通用名称"下的证书链接。在显示的证书详细信息页面中，向下滚动并单击导出链接。这会将证书密钥存储下载到您的本地计算机。

最后一步是导航到管理 >> 配置 >> PAM360Server然后执行以下操作：

选择密钥库类型作为JKS或PKCS12"，无论您在生成 CSR 时选择哪一个。

浏览并上传密钥存储文件

输入相同的密钥库密码，您在生成 CSR 时输入。

如果需要，修改服务器端口。

单击保存。

重新启动 PAM360 服务一次，使证书更改生效。

2.使用 OpenSSL 生成签名的 SSL 证书

OpenSSL 大多与 Linux 发行版捆绑在一起。如果您正在使用 Windows 服务器，并且未安装 OpenSSL ，请从 http://www.slproweb.com/products/Win32OpenSSL.html下载它。确保 OpenSSL安装下的"bin"文件夹包含在"PATH"环境变量中。

步骤 1：第一步是创建将用于 SSL 握手的公私密钥对:

打开命令提示符。

执行 '打开根萨 -des3- out . 键 1024]

<privatekey_filename> 是您指定用于存储私钥的文件名。

系统将提示您输入私钥的密码短语。输入密码或您选择的密码短语。（虽然没有记录，但 Tomcat 的密码包含特殊字符有问题，因此请使用只有字母字符的密码）

文件将创建一个文件的名称.key在同一文件夹中。

步骤 2：创建证书签名请求（ CSR ），用于提交到证书颁发机构，以使用上一步生成的公钥创建签名证书：

执行 '打开 s.req - 新 - 键 . 键 - 出 .csr]

<privatekey_filename>.key是上一步中使用的键。

<certreq_filename>.csr是您指定将证书创建请求携带到 CA（证书颁发机构）的文件名。

系统将提示您输入一系列值，这些值是托管 PAM360 的服务器的可分辨名称（DN）的一部分。

输入所需的值。重要的是，对于通用名称"，提供托管 PAM360的服务器的完全限定名称（通过浏览器访问该名称）。

将在同一文件夹中以

第 3 步：将 CSR 提交证书颁发机构（CA）以获取 CA 签名证书

一些著名的 CAs 是威瑞信（ http://verisign.com ），Thawte（http://www.thawte.com），RapidSSL（http://www.rapidssl.com）。查看他们的文档/网站，了解提交 CSR 的详细信息，这将涉及向 CA 支付的费用

此过程通常需要几天时间，您将返回您签名的 SSL 证书和 CA 的根证书作为 .cer 文件

将它们都保存在存储步骤 1 和 2 的文件的同一工作文件夹中

步骤 4：将 CA 签名证书导入密钥存储：:

打开命令提示符并导航到同一工作文件夹。

执行'openssl pkcs12 导出 - 在 .cer -inkey . 键输出 .p12 名称 pmp -CAfile .

其中，

cert_file.cer是具有 .cer 扩展名的已签名 SSL 证书。

privatekey_filename.key是具有 .key 扩展名的私钥文件。

keystore_filename.p12名称是使用 .p12 分位生成的密钥库。

root_cert_file.cer是 CA 的根证书，具有 .cer 扩展名。

当提示输入密码时，输入相同的密码，您在步骤1中用于私钥。此要求是由于 tomcat 固有的限制，这需要两个密码匹配。

现在，名称<>.p12中的键 keystore_filename 存储文件将在同一文件夹中生成。

步骤 5：最后，配置 PAM360 服务器以使用带 SSL 证书的密钥库:

将步骤 4 中生成的 <keystore_filename gt2}.p12复制到<>PMP_Install_Folder conf文件夹。

打开命令提示符并导航到<PMP_Install_Folder >conf文件夹。

打开文件服务器.xml并执行以下操作更改:

搜索条目密钥存储文件"，该条目的默认值将设置为conf/server.keystore"。将值更改为conf/
从版本 9700 开始，密钥存储密码经过加密，无法直接在 server.xml 文件中更新。为了手动更新 .xml 文件中的密钥存储密码，请先禁用加密，将值"密钥存储密码加密=true更改为"密钥存储密码加密=false"。

注意：此步骤仅适用于使用版本 9700 或以上时。

现在，在创建密钥存储时，将密钥存储 Pass"的值设置为"passtrix或您上一步中指定的密码。

在密钥存储密码条目旁边添加新的条目密钥存储类型="PKCS12"。

保存服务器.xml文件。

重新启动 PAM360 服务器并通过 Web 浏览器进行连接。如果您能够在浏览器没有任何警告的情况下查看 PAM360登录控制台，则已成功在 PAM360 中安装 SSL 证书。

3.使用 Keytool 生成签名的 SSL 证书

步骤 1：第一步是创建将用于 SSL 握手的公私密钥对:

转到<PMP_Home >/jre/bin文件夹。

执行命令：
""./键托 -基因 - 别名 pmp -keyalg RSA -sigalg SHA256 与 RSA - 键通 - 商店通行证有效性 - 键存储
其中，
<keystore_password>是访问密钥库的密码，<{privatekey_password\>是保护您的私钥的密码。请注意，由于 tomcat 中固有的限制，这两个密码必须相同。（虽然没有记录，但 Tomcat 的密码包含特殊字符有问题，因此请使用只有字母字符的密码）
<no_of_days>是密钥对在天数内的有效性，从创建之日起

上述命令将提示您输入有关您和您的组织的详细信息。

对于名字和姓氏"，请输入正在运行 PAM360的服务器的 FQDN。

对于附加字段，输入相关详细信息。

将在同一文件夹中的名称中创建一个密钥存储文件，并生成密钥对。

步骤 2：创建证书签名请求（ CSR ），用于提交到证书颁发机构，以使用上一步生成的公钥创建签名证书：

转到<PMP_Home >/jre/bin文件夹。

执行命令："键托-certreq -keyalg RSA -alias pmp -keypass - 存储通文件 - 键存储。

注意：您选择的应具有.csr扩展。

名称< 中的 CSR 文件 csr_filename >将在同一文件夹中创建。

第 3 步：将 CSR 提交证书颁发机构（CA）以获取签名证书:

一些著名的 CAs 是威瑞信（ http://verisign.com ），Thawte（http://www.thawte.com），RapidSSL（http://www.rapidssl.com）。查看他们的文档/网站，了解提交 CSR 的详细信息。请不要说这是有偿服务。

这个过程通常需要几天的时间。您将收到已签名的 SSL 证书和 CA 的证书作为 .cer 文件。

将两个文件保存在<PMP_Home >/jre/bin文件夹中。

步骤 4：将 CA 签名证书导入 PAM360 服务器:

使用命令提示符转到 <PMP_Home >/jre/bin文件夹。

如果您有一个文件作为证书捆绑包（ p7b ），则运行以下命令:

"键托 - 导入 - 别名 pmp - 键通 - 商店通行证键存储 - 信任记录 - 文件 "

其中，

<your_ssl_bundle>是从 CA 获得的证书捆绑包，a.p7b 文件保存在上一步中。<[privatekey_password1gt2]，<[keystore_password>和<[keystore_filename 1gt2]是前面步骤中使用的。

如果您有 3 个文件，根文件、中间证书和实际证书，则需要使用以下命令导入每个文件。

"键托 - 导入 - 别名根 - 键通 - 商店通行证键存储 - 信任记录 - 文件

"键托 - 导入 - 别名之间 - 键通 - 商店通行证键存储 - 信任记录 - 文件 "

"键托 - 导入 - 别名 pmp - 键通 - 商店通行证键存储 - 信任记录 - 文件 "

现在，将<keystore_filename >复制到 <PMP_Home >/conf文件夹。

步骤 5：最后，配置 PAM360 服务器以使用带 SSL 证书的密钥库:

转到<PMP_Home >/conf文件夹。

打开文件服务器.xml 。

搜索条目密钥存储文件"，该条目的默认值将设置为conf/server.密钥存储"。将值更改为conf/<[keystore_filename>"，其中<{keystore_filename gt2}是前面步骤中使用的值。

从版本9700开始，密钥存储密码被加密，不能直接在 server.xml 文件中更新。为了手动更新 .xml 文件中的密钥存储密码，请先禁用加密，将值"密钥存储密码加密=true更改为"密钥存储密码加密=false"。
注意：此步骤仅适用于使用版本9700 或上面的版本时。

将"密钥存储通行证"的值设置为密码"或创建密钥存储时在上一步中指定的密码。

重新启动 PAM360 服务器并通过 Web 浏览器进行连接。如果您能够在浏览器没有任何警告的情况下查看 PAM360登录控制台，则已成功在 PAM360 中安装 SSL 证书。

注意：默认情况下， Tomcat 仅接受 JKS （ Java 密钥存储）和 PKCS #12format 密钥存储。万一，密钥存储是 PKCS #12format ，在服务器.xml文件中包括以下选项以及密钥库名称，密钥存储类型="PKCS12？这将通知 tomcat 格式为 PKCS12=。在此更改后重新启动服务器。

4.通过安装现有的通配符支持的 SSL 证书生成签名的 SSL 证书:

转到<PMP_Home >/conf文件夹。

打开文件服务器.xml。

搜索条目密钥存储文件，该条目的默认值将设置为conf/server.键存储。将值更改为conf/<keystore_filename>其中<{keystore_filename 1gt2}属于现有通配符证书。

也搜索条目 [键存储通行证] （在键存储文件旁边找到），这将具有默认值设置为通过。将值更改为<{keystore_password[1gt2}"，其中<{keystore_password 1gt2}保护现有通配符证书密钥库。

重新启动 PAM360 服务器并通过 Web 浏览器控制台进行连接。如果您能够在浏览器没有任何警告的情况下查看 PAM360登录控制台，则已成功在 PAM360 中安装 SSL 证书。

请注意:P请参考您的 CA 文档以了解更多详细信息和故障排除。

4.如何为 MySQL 服务器生成唯一 SSL 证书？（适用于 PAM360 6500）

按照以下步骤为 MySQL 服务器生成 SSL 证书。（如果你想有一个自签名的密钥，请按照所有步骤操作。如果使用 CA 签名证书，请跳过步骤 1、2 和 5。

步骤 1 创建证书颁发机构密钥

打开命令提示符
执行命令打开 s genrsa -out ca.key 1024
这将创建一个名为ca.key 的密钥

步骤 2 创建自签名证书颁发证书

执行命令打开 s req -new -x509 天 365 键 ca. 键 - 输出 Caert.pem
此处ca.key是您在第 1 步中创建的文件
这将创建一个名为CAcert.pem 的文件

步骤 3 生成私钥

打开命令提示符
执行命令打开根萨 - 出服务器密钥. 键 1024
这将创建一个名为ServerKey.key 的文件

步骤 4 生成证书请求

执行命令打开 s req - 新 - 键服务器密钥. 键 - 输出服务器.csr
在这里， ServerKey.key是您在第 3 步创建的文件
这将创建一个名为server.csr 的文件

步骤 5 创建证书签名请求（ CSR ）以提交到证书颁发机构（仅当您使用自签名证书时执行此步骤）。否则，继续执行步骤 6）

执行命令打开 sl x509- req - 天 365- in 服务器.csr -caAcert.pem -caakey ca.key -set_serial 01 输出 ServerCer.cer
在这里， server.csr是您在第 4 步中创建的文件;CAcert.pem是步骤 2 中创建的文件;ca.key是步骤 2 中创建的文件
这将创建一个名为ServerCer.cer 的文件

步骤 6 生成.p12file

执行命令打开 pkcs12 导出 - 在 Servercer.cer -inkey Serverkey. 键 - 出 Pmpkeystore.p12 名称 pmp -Cacert.pem -caname pmp - 链
在这里， ServerCer.cer是您在第 5 步中创建的文件。如果使用 CA 签名证书，请使用 .cer 扩展名输入已签名的 SSL 证书;如果使用.cer扩展名，请输入已签名的 SSL 证书。ServerKey.key是您在第 3 步中创建的密钥;CAcert.pem是步骤 2 中创建的文件
这将创建一个名为PMPKeyStore.p12 的文件
此处，系统会提示您输入"导出密码"。此处指定的密码必须输入 PAM360 配置文件中的包装器.conf （在 Windows 安装中）和 wrapper_lin.conf （在 Linux 安装中），如下所述。

打开包装器.conf （在 Windows 安装中）和 wrapper_lin.conf （在 Linux 安装中）并搜索以下行：

包装.java. 额外.22= -djavax.net.ssl.keyStore 密码 _passtrix

在上面，用上面输入的密码替换密码。

步骤 7配置 PAM360 服务器以将密钥库与 SSL 证书一起使用

通过执行上述步骤，您将有四个文件，即 CAcert.pem ， ServerKey.key ， ServerCer.cer 和 PMPKeyStore.p12。您需要将这些文件复制并粘贴到<PAM360-Installation Folder>/conf目录

步骤 8 表示证书.pem 到 PAM360

导航到<PAM360-Installation Folder>/bin并执行以下命令:

在 Windows 中：导入证书.bat < 在步骤 2> 中创建的 CAcert.pem 文件的绝对路径
在 Linux 中：sh 导入证书.shat < 在步骤 2> 中创建的 CAcert.pem 文件的绝对路径

步骤 9 将这些文件放入 MySQL

您需要复制步骤 6 后创建的以下三个文件，并将其重命名如下:

CAcert.pem将重命名为ca -cert.pem
ServerKey.key将重命名为服务器密钥.pem
ServerCer.cer将重命名为服务器证书.pem

然后，将重命名的文件放入<PAM360-Installation Folder/mysql/data>

重要说明：如果您有高可用性设置，请执行步骤 7、8 和 9in PAM360 秒安装。

5.我们能否使用主题外部名称（ SAN ）创建服务器证书？

可以，您可以使用具有别名的 SAN 名称创建证书，并可以在 PAM360 中应用。

方法 1：使用 Microsoft 内部 CA 使用 SAN 创建证书

请确保按照以下步骤使用 Microsoft 内部 CA 使用主题外部名称创建服务器证书。此外，在"其他属性"中，指定"san ： dns=1lt2=用于访问 PAM360>的 URL"，然后可以尝试创建证书。

第 1 步：连接到运行 Microsoft 证书服务的服务器。

第 2 步：打开命令提示符并执行证书 -setreg 策略=编辑 EDITF_ATTRIBUTESUBJECTALTNAME2

第 3 步：然后，重新启动微软证书服务（证书）

第4步：使用以下命令创建私钥，"键托-基因键 - 别名 pmp -keyalg RSA -密钥通 - 存储通 - 有效性 - 密钥存储 pmp.keystore

在这里，当它提示名字和姓氏时，指定用于访问 PAM360 的名称。

第 5 步：使用以下命令创建证书签名请求（ CSR ）："keytool -certreq -keyalg RSA -alias pmp -keypass -存储通 -文件-密钥存储 pmp.keystore

向 Microsoft 内部 CA 提交 CSR 请求
- 打开 IE 并转到 CA 的证书请求页
- 请求高级证书
- 提交证书请求
- 复制和粘贴<csr_filename >.cer文件的内容
- 证书模板应为 Web 服务器
- 在"附加属性"中，输入san ： dns=密码管理器=密码管理器.tcu.ad.local"，然后单击提交（和;D）(&D)。
- 下载基础 64 格式中的证书链作为 pmpcert.p7b

步骤 6：将下载的pmpcert.p7b"文件导入 pmp.keystore"keytool -导入-alias pmp -keypass

注意：如果通过上述命令收到错误消息"无法建立从回复建立链"，则表示 CA 的根证书和中间证书在 PAM360 的受信任存储中不可用。因此，在导入实际证书之前，必须使用不同的别名导入根证书，然后导入实际证书。此外，如果您有多个根证书，则必须一个使用不同的别名导入它们。例如，

./密钥托 - 导入 - 别名 root1- keypass 密码 123- 商店通行证密码 123- 密钥存储 PAM360. 键存储 -trustcacerts - 文件 root1.cer

./密钥托 - 导入 - 别名 root2- keypass 密码 123- 商店通行证密码 123- 密钥存储 PAM360. 键存储 - 信任记录 - 文件 root2.cer

根据根根或中间根的数量，您必须使用不同的别名执行上述命令，然后继续使用实际证书。

注意：实际证书应采用 .cer 或 .crt 格式。

第 7 步：转到 <PMP_Home >/conf 文件夹

步骤 8：打开文件服务器.xml

步骤 9：搜索条目密钥存储文件"，该条目的默认值将设置为conf/server.密钥存储。将值更改为"conf/<keystore_filename>"，其中 <{keystore_filename\>是前面步骤中使用的值。

第 10 步：也搜索条目密钥存储通行证"（实际上将在密钥存储文件旁边），这将具有默认值设置为passtrix。将值更改为"<{keystore_password>""其中 <{keystore_password\1gt2} 是前面步骤中使用的值。

步骤11：重新启动 PAM360 服务器并通过 Web 浏览器进行连接。如果您能够在浏览器没有任何警告的情况下查看 PAM360登录控制台，则已成功在 PAM360 中安装 SSL 证书。

上述步骤将为 Web 服务器配置 SSL 证书（ 8282。若要在 RDP 网关（端口 8283 ）上应用相同的证书，请按照以下步骤操作。

编辑包装器.conf 文件存在于
搜索文本包装.java.a进.21=-Djavax.net.ssl.keyStore=./conf/server.keystore"，并将其替换为包装.java.附加.21=-djavax.net.ssl.keystore"，其中是密钥存储文件。
搜索包装.java.附加.22=-djavax.net.ssl.keyStorePassword=passrx"，并将其替换为包装.java.附加.22=-Djavax.net.ssl.键存储密码=密码"，其中 ltpassword>是密钥存储文件的密码（L）(&L)

方法2：创建证书与 SAN 唱第三方供应商，如戈达迪，威瑞信，康莫多等。

确保按照以下步骤从第三方供应商处获得 SAN 证书

第 1 步：使用以下命令创建私钥，"键托-基因键 - 别名 pmp -keyalg RSA -密钥通 - 存储通 - 有效性 - 密钥存储 pmp.keystore

在这里，当它提示名字和姓氏时，指定用于访问 PAM360 的名称。

第 2 步：使用以下命令创建证书签名请求（ CSR ）："keytool -certreq -keyalg RSA -alias pmp -keypass -存储通 -文件-密钥存储 pmp.keystore

第 3 步：向第三方签名工具提交 CSR 请求，并确保使用 SAN 名称签名证书。下载基础 64 格式中的证书链作为 pmpcert.p7b

第4步：将下载的pmpcert.p7b"文件导入 pmp.keystore 密钥托-导入-别名 pmp-keypass -商店通行证-密钥存储 pmp.keystore-trustcacerts -file pmpcert.p7b

注意：如果您收到错误消息"无法建立链从答复""与上述命令。然后，CA 的根证书和中间证书在 PAM360 的受信任存储中不可用。因此，在导入实际证书之前，必须使用不同的别名导入根证书，然后导入实际证书。此外，如果您有多个根证书，则必须一个使用不同的别名导入它们。示例如下

./密钥托 - 导入 - 别名 root1- keypass 密码 123- 商店通行证密码 123- 密钥存储 PAM360. 键存储 -trustcacerts - 文件 root1.cer

./密钥托 - 导入 - 别名 root2- keypass 密码 123- 商店通行证密码 123- 密钥存储 PAM360. 键存储 - 信任记录 - 文件 root2.cer

根据根根或中间根的数量，您必须使用不同的别名执行上述命令，然后继续使用实际证书。

注意：实际证书应采用 .cer 或 .crt 格式。

第 5 步：转到 <PMP_Home >/conf 文件夹

步骤 6：打开文件服务器.xml

第 7 步：搜索条目密钥存储文件"，该条目的默认值将设置为conf/server.密钥存储。将值更改为"conf/<keystore_filename>"，其中 <{keystore_filename\>是前面步骤中使用的值。

步骤 8：也搜索条目密钥存储通行证"（实际上将在密钥存储文件旁边），这将具有默认值设置为passtrix。将值更改为"<{keystore_password>""其中 <{keystore_password\1gt2} 是前面步骤中使用的值。

步骤 9：重新启动 PAM360 服务器并通过 Web 浏览器进行连接。如果您能够在浏览器没有任何警告的情况下查看 PAM360登录控制台，则已成功在 PAM360 中安装 SSL 证书。

上述步骤将为 Web 服务器配置 SSL 证书（ 8282。若要在 RDP 网关（端口 8283 ）上应用相同的证书，请按照以下步骤操作。

编辑包装器.conf 文件存在于
搜索文本包装.java.a进.21=-Djavax.net.ssl.keyStore=./conf/server.keystore"，并将其替换为包装.java.附加.21=-djavax.net.ssl.keystore"，其中
搜索包装.java.a进.22=-Djavax.net.ssl.keyStorePassword=passrx"，并将其替换为包装.java.a分.22=-Djavax.net.ssl.键存储密码=密码"，其中<密码>是密钥存储文件的密码。

密码同步

1.我能否从 PAM360 控制台更改资源密码？

是的，当然。 PAM360 可以更改当前 Windows 、 Windows 域和 Linux 系统的密码。更改数据库、路由器、交换机等其他类型的资源密码的功能将逐步增加。 PAM360 支持基于代理和无代理的更改密码模式。

2.何时使用代理和无代理模式进行密码同步？

让我们先看看这两种模式的必要条件:

代理模式要求代理作为服务安装，并运行具有管理权限以执行密码更改。 PAM360 服务器和代理之间的通信通过 TCP 进行，用于正常信息和用于密码传输的 HTTPS ，因此服务器和代理之间必须存在通信路径（端口保持打开）。

对于无代理模式，您必须提供管理凭据才能执行密码更改。对于 Linux ，您必须指定两个帐户，一个具有根权限，另一个具有普通用户权限，可用于从远程登录。 Telnet 或 SSH 服务必须在资源上运行。对于 Windows 域，您必须提供域管理员凭据。对于 Windows 和 Windows 域， PAM360 使用远程调用，并且必须在资源上打开相关端口。

基于此，您可以选择您想要用于环境的模式，由以下提示指示:

选择代理模式时，

在 PAM360 中没有为特定资源存储的管理凭据
您没有在资源上运行所需的服务（ Telnet /SSH 表示 Linux ， RPC 表示 Windows ）
运行 PAM360in Linux ，并想要对 Windows 资源进行密码更改

在所有其他情况下选择无代理模式，因为更改密码是一种更方便、更可靠的方法。

3.如果我为 Linux/其他版本的 Windows 的其它版本添加资源类型，能否启用更少的代理密码同步？

是的，你可以。只要资源类型标签包含字符串"Linux"或"Windows"，您仍然可以为这些资源配置更少的代理密码同步。

用于启用密码同步的有效资源类型标签的示例:

Debian Linux ， Linux -Cent OS， SuSE Linux ， Windows XP 工作站， Windows 2003 服务器

4.Is对资源类型进行远程密码同步，而不是现在支持远程重置的资源类型？

是的，您可以使用密码重置监听器，它允许调用自定义脚本或可执行文件作为在 PAM360 中密码重置操作的后续行动。有关详细信息，请参阅帮助文档。

5.当密码不同步时，如何排除故障？

在代理模式下，

通过查看条目"PMPAgent.exe"的 Windows 活动进程列表或 Linux 中是否存在名为 PMPAgent 的进程来检查代理是否正在运行
检查安装代理的帐户是否具有更改密码的足够权限

在无代理模式下，

检查是否提供正确的管理凭据集，并且启用了远程同步选项
检查资源上是否运行必要的服务（ Telnet /SSH 表示 Linux ， RPC 表示 Windows ）
使用提供的 DNS 名称检查资源是否可从 PAM360 服务器访问

6.Windows 域密码重置失败，错误消息："身份验证机制未知

当 PAM360 作为 Windows 服务运行，并且将服务的"登录为"属性设置为本地系统帐户时，将发生这种情况。将它更改为任何域用户帐户，以便能够重置域密码。按照以下说明执行该设置:

转到 Windows 服务小程序（从控制面板 -> 管理工具 -> 服务）
选择"ManageEngine PAM360"服务，右键单击 -->选择属性
单击"登录"选项卡并选择"此帐户"单选按钮，并提供任何域用户的用户名和密码 - 格式为 < 域名><用户名>>
保存配置并重新启动服务器

7.启用 Windows 服务帐户重置的前提条件是什么？

在启用 windows 服务帐户重置之前，请确保在运行从属服务的服务器中是否启用了以下服务:

(1)Windows RPC 服务应已启用
(2)窗口管理检测（ WMI ）服务应已启用

备份和灾难恢复

1.我可以为 PAM360 数据库设置灾难恢复吗？

是的，你可以。 PAM360 可以定期备份数据库的全部内容，可以通过 PAM360 控制台进行配置。有关详细信息，请参阅帮助文档。

2.备份数据存储在哪里？是否加密？

备份文件中的所有敏感数据以加密形式存储在

故障排除和一般提示

1.Do使用 PAM360 之前，我需要安装任何必备软件吗？

使用 PAM360 不需要安装必备软件。

2.其他人能看到我添加的资源吗？

除了超级管理员（如果在 PAM360 设置中配置），没有人，包括管理员用户将能够看到您添加的资源。除此之外，如果您决定与其他管理员共享您的资源，他们将能够看到他们。

3.我可以将自己的属性添加到 PAM360 资源吗？

可以，您可以扩展 PAM360 资源属性和用户帐户的属性，以包含特定于您需求的详细信息。有关详细信息，请参阅帮助文档。

4.如果未共享其敏感密码的用户离开企业怎么办？

这在任何企业都可能发生，但使用 PAM360 时，您不必担心密码成为孤儿。管理员可以"将用户拥有的资源"传输到其他管理员用户，并且在这个过程中，他们本身无法访问这些资源，除非他们进行将其名称的传输。有关详细信息，请参阅帮助文档。

5.从 AD 导入用户/资源失败...

确保以下事项:

检查用户凭据是否正确
如果您尝试使用管理员用户，但失败，请尝试输入非管理员用户的凭据。这只是为了验证连接是否正确建立

万一，如果失败，即使确保上述 support@manageengine.cn。

6.PAM360 是否提供高可用性支持？

是，请参阅帮助文档了解更多详细信息

7.如何使 PAM360 应用程序与安装在单独计算机上的 MySQL 数据库服务器一起使用（除了运行 PAM360 服务器的计算机）？

为了更好的安全性，始终建议在同一台计算机中运行 PAM360 应用程序（通过 Tomcat Web 服务器构建）和 MySQL 数据库。我们已经配置了捆绑的 MySQL 数据库，以便它位于安装的计算机外部不可见（它将仅接受从本地主机请求的连接），并且当您分离它们时，您将丢失此方面。如果迫切需要在其他地方运行 MySQL ，请按照下面详细操作:

如果 PAM360 服务器已在运行，关闭它
将 MySQL 服务器安装到不同的计算机中，并创建一个名为PassTrix的数据库（外壳很重要，尤其是在 Linux 中）
启动 MySQL 服务器，确保能够从远程连接到数据库（使用 MySQL 命令行客户端）
在 PAM360 中进行以下配置更改
- 转到<PMP_Install_Dir >{conf}持久性文件夹
- 打开文件持久性配置.xml 并搜索条目StartDBServer"，并将其值设置为false"（默认值为"true"）
- 保存该文件
- 转到<PMP_Install_Dir >conf文件夹
- 打开文件database_params.txt并进行以下更改
  - 在 URL 属性中，将条目"本地主机和[5768]更改为与远程 MySQL 服务器对应的主机名和端口号
  - 如果要以 root 方式连接，请保留用户名属性。否则对该属性进行更改。请注意， PAM360 要求 MySQL 中的根权限
  - 如果在远程 MySQL 服务器中设置了密码，请根据密码属性指定密码。否则删除或注释掉该行
  - 保存该文件
现在再次启动 PAM360 服务器，它应该与远程数据库一起使用（应该已经运行）

8.我可以用我们的标志重新命名 PAM360 吗？

是的。如果您想将登录屏幕和 Web 界面上的 PAM360logo 替换为您的，可以从 Web 界面本身进行替换。最好有大小为 210*50 像素的徽标。

要重新命名徽标，

转到"管理"选项卡
单击自定义 >> 换标
浏览并选择所需的图像
单击"保存"
PAM360 将显示为换标后的外观

9.域 SSO 是否跨防火墙 /VPN 工作？

域单点登录（窗口集成身份验证）在 Windows 环境中通过在 HTTP 标头中设置非标准参数实现，这些参数通常由防火墙 /VPN 等设备剥离。 PAM360 设计用于网络内。因此，如果您有从网络外部连接的用户，则不能启用 SSO。

10.PAM360 是否记录用户查看密码的尝试和检索？

是， PAM360 记录用户执行的所有操作，包括密码查看和复制操作。通过密码检索，您可以从审核跟踪获得用户所有操作和尝试的完整列表。审核的操作列表（使用时间戳和 IP 地址）包括:

创建、删除和修改用户帐户
用户登录并注销应用程序
创建、访问、修改和删除的资源和密码

11. 为什么 PostgreSQL wal_archive 文件的速度会迅速增加？

当在 PAM360 中指定的备份位置无法再访问以保存备份文件时，将发生此问题。简单地说，每当 PostgreSQL 数据库备份失败时， wal_archive 文件夹大小都会开始增加。

解决方案：

检查 PAM360drive 上是否有足够的磁盘空间。
如果没有，请删除日志目录和一些文件。目录。
您只需要一两个备份。
登录到 PAM360 并导航到管理 >> 配置 >> 数据库备份。
单击"立即备份"按钮。
这将触发即时备份并自动清除 wal_archive 目录。

12.PAM360 的软件要求是什么？

微软 .NET 框架 4.5.2 或以上必须安装在安装 PAM360 的服务器中。
必须安装微软 Visual C 2015 redistributable。

要检查是否配置了这些软件要求，

转到支持 >> 软件要求。
单击检查配置。
在打开的弹出框中，将显示配置状态。

13.PAM360can 存储的密码的最大大小是多少？

资源密码以加密文本（ SQL 类型 TEXT ）存储在数据库中，因此内容的大小可以高达 64KB。对于 PAM360 应用程序登录密码，最大密码长度为 100 个字符。

发牌

1.PAM360 的许可政策是什么？

评估版 - 评估版允许您有2个管理员在30天。您可以管理无限的资源并评估企业版的所有功能。在评估期间，您可以获得免费的技术支持。

免费版 - 永远下载，最多只能支持1个管理员。您最多可以管理 10 个资源，您将具有标准版的所有功能。

注册版本 - 需要根据所需的管理员数量和版本标准/高级/企业类型购买许可证:

标准版 - 如果您要求有一个安全的密码存储库来存储您的密码，并在企业用户之间有选择地共享它们，标准版将是理想的。
高级版 - 除了存储和共享您的密码，如果你想有企业级密码管理功能，如远程密码同步，密码警报和通知，应用程序到应用程序密码管理，报表，高可用性等，高级版将是最好的选择。
企业版 - 如果您需要更多企业级功能，如自动发现特权帐户、与工单系统和 SIEM 解决方案集成、跳转服务器配置、应用程序到应用程序密码管理、开箱即用的合规性报表、 SQL 服务器/群集作为后端数据库，企业版将是理想的。

区别

特点

标准版

高级版

企业版

集中式密码保管库

手动添加资源

从 CSV 文件导入资源

从 KeePass 导入资源

从活动目录导入资源

密码策略

密码共享和管理

审核和即时通知

用户/用户组管理

本地身份验证

RADIUS 身份验证

AD/Azure AD/LDAP 集成

AD /Azure AD 同步 -用户组和欧斯

导出用于离线访问的密码

密码重置监听器

备份和恢复

远程 RDP 、 SSH 、 Telnet 和 SQL 会话

双因素验证 - 通过电子邮件发送的 OTP

换标

手机客户端（安卓、 iOS 、Windows）

浏览器扩展（Chrome、Firefox、IE）

检查数字证书的有效性

VNC 协作支持

转移审批人权限

IIS AppPool 密码重置

IIS 网络配置发现

SSL 证书组

受密码保护的导出

备份文件加密

备份文件加密

管理未识别的电子邮件地址

紧急措施

用户界面个性化（夜间模式主题）

通知电子邮件 ID

SAML 2.0 支持

微软 CA 证书签名

SSL 证书同步隐私设置的 CMDB 集成

密码重置插件

SSH 密钥和 SSL 证书

用户会话

回收站用户

IP 限制 - API 访问和代理访问

禁用特权帐户的密码重置

自动登录帮助程序

密码访问控制工作流

管理员仪表板（实时源、报表和图表）

密码操作通知（特定于资源组）

远程密码重置（按需、计划和基于操作）- 受支持的平台列表

基于代理的密码重置

内置报表

双因素验证 - 电话因子、 RSA SecurID 、 Google 身份验证器、 Duo Security 、 YubiKey 、任何符合 RADIUS 的身份验证、微软身份验证器、 Okta 验证

高可用性

特权会话录制

使用 SSH 命令集重置密码

CI/CD 平台集成 - 詹金斯，Ansible

MS SQL 服务器作为后端数据库

密码管理 API （ XML RPC ， SSH CLI ）

特权帐户发现

活动目录同步 - 资源

LDAP 同步 -用户和用户组

自动 SSH/SSL 发现

SSH 密钥对生命周期管理

SSH 密钥定期轮换

CSR 流程管理

SSL 证书部署和跟踪

SSL 证书管理

SSL 漏洞扫描

SSL 证书过期警报

角色自定义

工单系统集成- ServiceDesk Plus云，ServiceDesk Plus MSP ，ServiceDesk Plus，ServiceNow， JIRA 服务台

自定义密码重置监听器

计划导出加密的 HTML 文件

SIEM 集成 - SNMP 陷阱和系统日志消息生成

用于通知配置的电子邮件模板

登陆服务器配置

联合标识管理

智能卡 /PKI /证书身份验证

双因素验证 - RADIUS

自定义报表

开箱即用的合规性报表（ PCI DSS 、 NERC-CIP 、 ISO/IEC 27001 、 GDPR ）

SQL 查询报表

特权会话阴影和终止

SQL 服务器故障转移群集

restAPI

加密密钥轮换

使用安全网络 HSM 进行数据加密和保护

MS SQL 服务器作为后端数据库

加密密钥轮换

证书生命周期管理，Let's Encrypt

角色自定义

使用 MS SQL 作为后端数据库时支持 EAR

使用自定义根 CA 清除选择性会话录制对证书进行签名

跟踪域过期

通过远程桌面会话进行文件传输

安全的云存储选项

可以购买 PAM360 的永久许可证吗？有哪些选项可用？

虽然 PAM360 遵循年度定价订阅模式，但我们还提供永久许可选项。有关详细信息china-sales@zohocorp.com 。

我希望有一个具有多个服务器的高可用性设置。单个许可证是否足以满足此要求？

是的，如果您购买单个高级版或企业版许可证，您有权获得高可用性设置。您可以在主服务器和辅助服务器上应用相同的许可证。按照以下步骤操作：

停止主服务器中的 PAM360 服务。

以管理员身份登录 PAM360 使用辅助服务器 URL。

单击控制台右上角用户"菜单下的"许可证"。

更新您应用于主服务器的相同许可证文件。

PAM360 能否支持 100 多个管理员？

是的，非常。如果您想获得超过 100 个管理员用户的许可证，请联系 china-sales@zohocorp.com support@manageengine.cn 了解更多详情。

我可以扩展我的评估以包括更多的管理员用户或更多的天数吗？

是的。在网站上填写所需详细信息，我们将向您发送许可证密钥。

移动到高级版或企业版时，是否必须重新安装 PAM360 ？

否，您无需重新安装或关闭服务器。您只需在 PAM360web 界面右上角的"许可证"链接中输入新的许可证文件。