PAM360 - 常见问题
1.一般问题
- 使用PAM360之前,我需要安装什么必备软件?
- 其他人能看到我添加的资源吗?
- 我可以将自己的属性添加到 PAM360 资源吗?
- 如果用户离开组织而未将其所有的敏感密码分享给其他人,会发生什么?
- 如果从 AD 导入用户/资源失败,如何排除故障?
- 我是否可以运行自定义查询获取结果,用于与其他第三方报表系统的集成?
- 基于域的SSO功能是否能够跨防火墙/VPN运行?
- 我可以使用自己的Logo和组织信息为 PAM360 换标吗?
- PAM360是否记录用户尝试查看和检索密码的动作?
- 为什么PostgreSQL的wal_archive文件增长非常快?
- PAM360是否支持高可用性?
- PAM360支持什么样的syslog格式?
2.Web界面与身份验证
- 我是否可以更改PAM360的默认监听端口-8282?
- 如果我的用户未收到PAM360帐户通知,怎么办?
- PAM360有哪些身份认证方法?
- PAM360有哪些用户角色?他们的访问级别是什么?
- 如果我忘记了PAM360登录密码,怎么办?
- 为什么在通过浏览器访问PAM360控制台时,我有时会看到一个安全警告?
3.安全
- PAM360如何保证密码存储的安全性?
- 通过密码管理API实现应用程序到应用程序和应用程序到数据库之间密码管理的安全性如何?
- 如何在PAM360中部署自有的SSL证书?
- 如何生成签名的SSL证书?[或]如何让浏览器和用户可以信任PAM360的服务?
- 我们能否使用Subject Alternative Name (SAN)创建服务器证书?
4.密码同步
- 我可以从PAM360 控制台更改资源密码吗?
- 在什么场景下使用代理或非代理方式的密码同步?
- 如果我将Linux的其他发行版本或其他的Windows版本添加为自定义的资源类型,我能否使用非代理方式的密码重置?
- 是否有方法对PAM360中未支持的自定义资源类型,执行远程密码同步操作?
- 密码同步未生效,如何排除故障?
- 当执行Windows域密码重置时,出现错误消息:"身份验证机制未知",导致重置失败,我应该怎么做?
- 启用Windows服务帐户重置的前提条件是什么?
- 域SSO是否能够跨防火墙/VPN工作?
5.备份和灾难恢复
6.许可
- PAM360的许可策略是什么?
- 我可以购买PAM360的永久许可证吗?有哪些可用选项?
- 设置高可用性时,涉及多个服务器,单个许可证是否足以满足?
- PAM360能否支持1000+管理员?
- 是否支持扩展我的试用期,包括更多管理员和天数?
7.SSH 密钥管理
8.SSL 证书管理
- 是否有PAM360不兼容的证书类型?
- 是否可能在PAM360证书存储库中识别并更新证书的最新版本?
- PAM360的Linux版本是否支持从活动目录和微软证书库发现证书?
- 是否可以在PAM360证书存储库中追踪具有相同通用名称的证书的过期时间?
- 如何导入证书的私钥?
- 如何将证书部署到证书存储区并将其映射到使用证书的应用程序?
- PAM360是否支持基于子网的证书发现?
- PAM360是否支持设置自动化计划从微软证书库自动发现证书?
- 证书相关的邮件告警是为证书的所有版本(包括"证书历史记录"中的证书)生成的,还是仅为 PAM360证书库中列出的证书生成的?
- 公司内部的证书颁发机构 (CA) 颁发的证书是否计入许可?
1.一般问题
1. 使用PAM360之前,我需要安装什么必备软件?
安装和运行PAM360不需要必备软件,但您需要在PAM360服务器上部署以下组件才能使用特权帐户发现和密码重置功能:
- Microsoft .NET framework 4.5.2或以上版本
- Microsoft Visual C++ 2015 redistributable
检查这些软件是否已部署:
- 转到支持,在软件需求下点击检查配置。
在打开的弹出框中,将显示配置状态。
2.其他人能看到我添加的资源吗?
除了超级管理员(需在PAM360中提升管理员/特权管理员/密码管理员的权限),其他人不能看到您添加的资源。如果您与其他管理员分享资源,他们将能够看到所分享的资源。
3.我可以将自己的属性添加到 PAM360 资源吗?
可以,您可以扩展PAM360资源及帐户的属性,以包含符合您需求的信息。有关详细信息,请参阅此文档。。
4.如果用户离开组织而未将其所有的敏感密码分享给其他人,会发生什么?
如果具有管理权限的用户离开了组织,他们可以将其拥有的资源转移给其他管理员。关详细信息,请参阅此文档。
5.如果从 AD 导入用户/资源失败,如何排除故障?
- 检查用户凭据是否正确。
- 如果您配置的是域管理员用户,可尝试更改一个普通用户,来验证与域控之间的连接是否可以正确建立。
如果上述验证失败,请联系support@manageengine.cn。
6.我是否可以运行自定义查询获取结果,用于与其他第三方报表系统的集成?
是的,你可以。您可以联系我们的支持人员,我们将就您的需求提供SQL查询以生成XML输出。
7.域 SSO 是否跨防火墙 /VPN 工作?
域单点登录( Windows 集成身份验证)的实现方式是在 Windows 环境中通过在 HTTP 标头中设置非标准参数实现,这些参数通常会被防火墙/VPN 等设备剥离。PAM360的设计是应用于网络内部。 因此,如果您的用户是从外部网络接入的,就不能使用SSO。
8.我可以使用自己的Logo和组织信息为 PAM360 换标吗?
可以。PAM360提供以下自定义和换标选项:
- 在WEB端和移动APP端使用您的logo(建议的图像大小为 210*50 像素)。
- 设置产品的登录页面说明。
- 更改用户界面的默认颜色。
- 显示包含自定义法律内容的提示栏。
- 自定义隐私政策内容并显示相应的接受按钮。
启用上述功能:
提示:您可以随时停止/修改此配置,了解更多。
9.PAM360是否记录用户尝试查看和检索密码的动作?
是的,PAM360将记录所有由用户执行的操作,包括密码查看和复制操作。从审计记录,您将可以看到所有用户执行的动作包括密码的提取。了解更多
10.为什么PostgreSQL的wal_archive文件增长非常快?
此问题经常出现在PAM360指定的备份位置无法再访问以保存备份文件时,简单地说,每当PostgreSQL 数据库备份失败时,wal_archive文件夹大小将会开始增加。
解决方法:
- 检查PAM360驱动器上是否有足够的磁盘空间。
- 如果没有,请删除日志目录和目录中的一些其他无用文件。
- 备份目录下,您仅需保留最近的两个备份文件。
- 登录到PAM360并导航到管理 >> 配置 >> 数据库备份。
- 单击"立即备份"按钮。
这将触发即时备份并自动清除wal_archive目录。
11.PAM360是否支持高可用性?
支持,请参阅高可用性文档以了解更多。
12. PAM360支持什么样的syslog格式?
以下是PAM360用于将系统日志消息发送到您的syslog收集器的三种不同类型的syslog格式:
i. 资源审计
operatedName+":"+operatedIp operationType operatedDate statusMess resourceName+":"+accName+":"+reason
ii. 用户审计
operatedName+":"+operatedIp operationType operatedDate statusMess auditUserName+":"+reason
SSL: <190> Parent_Domain: manageengine.com Included_Domain: kmp.com Days_to_Expire: 100 Expire_Date: 5.08.2020
SSH: <190> Key_Name:172.21.147.130_test123_id Days_Exceeded:0 Modified_On:2016-02-16 17:41:24.008
2.Web界面与身份验证
1.我是否可以更改PAM360的默认监听端口-8282?
- 以管理员身份登录 PAM360。导航到管理 >> 配置 >> PAM360服务器
- 在服务器端口字段输入所需的端口,然后单击保存。
- 重新启动PAM360服务使配置生效。
2.如果我的用户未收到PAM360帐户通知,怎么办?
通常,用户只能通过电子邮件收到其PAM360帐户通知。如果用户没有收到通知电子邮件,请验证:
- 您是否已正确配置了邮件服务器的设置,SMTP信息是否正确
- 您是否提供了有效的发件箱凭证信息,需要注意的是邮箱服务器可配置为发件无需密码,对应的这里也无需勾选“需求身份验证”,反之请检查提供的用户名和密码是否有效。
- 发件人电子邮件地址是否配置正确,某些邮件服务器拒绝没有发件人地址发送邮件或不接收来自未知域的邮件。
3.PAM360有哪些身份认证方法?
您可以使用 PAM360 的以下身份验证方法:
- 活动目录:启用后,身份验证请求将转发到配置的域控制器,并基于结果,允许用户或拒绝用户访问PAM360。在 PAM360的登录页面上,用户应提供域的登录名、密码和域名。此方案仅适用于已从AD导入详细信息到PAM360的用户,并且仅适用于Windows安装的PAM360。
- LDAP目录:启用后,身份验证请求将转发到配置的 LDAP 目录服务器,并基于结果,允许用户或拒绝用户访问PAM360。在 PAM360的登录页面上,用户应提供域的登录名、密码和LDAP身份认证的相关内容。此方案仅适用于已从LDAP导入详细信息到PAM360的用户。
- PAM360本地身份验证:由PAM360提供的本地身份认证方法,无论是否启用了AD/LDAP认证,本地身份认证对PAM360的用户都是可用。对于本地登录,用户的密码存储在PAM360的数据库中,而AD/LDAP则不同,PAM360不会存储他们的密码。出于安全考虑,我们建议如果您已经启用了AD/LDAP身份认证后,在设置中禁用本地身份认证方法。
- Azure AD:当您将PAM360与Azure 活动目录( Azure AD)集成后,您的用户就可以使用Azure AD凭据登录到 PAM360,无论PAM360是Windows还是Linux环境。使用此身份验证,首先应在Azure AD门户中将PAM360添加为一个本地客户端应用程序
- 智能卡身份验证:启用此功能将要求用户拥有智能卡,并知晓其个人标识号 ( PIN )。请注意,智能卡身份验证将跳过其他第一因素身份验证方法,如 AD、 LDAP 或本地身份验证。
- RADIUS身份验证:您可以集成PAM360与您环境中的RADIUS认证服务器,使用RADIUS身份验证来代替PAM360 提供的本地身份验证方法。使用RADIUS凭证访问PAM360服务,首先应导入这些用户,同时应确保PAM360所使用的登录名(用户名)与RADIUS的登录名一致。
- SAML SSO:使用该认证方法,PAM360服务将作为服务提供商 (SP)角色,通过SAML 2.0集成到您的身份提供商 ( IdP )。 集成完成后,用户首先需要登录到身份提供商的服务,然后他们就可以从服务提供商页面登陆到PAM360而无需再次提供凭证。PAM360 支持与 Okta 、AD FS、 OneLogin 和 Azure AD SSO集成。
注意:
对于SAML SSO认证,缺省断言使用者URL使用服务器的主机名称,更新断言URL,请使用以下步骤:
- 导航到管理 >> 设置 >> 邮箱服务器设置。
- 在访问URL,更新PAM360服务的WEB访问地址,然后点击保存。
现在服务提供者明细下的断言使用者URL就会更新了。
4.PAM360有哪些用户角色?他们的访问级别是什么?
PAM360缺省具有五个预定义角色:
除了这些默认角色外,任何管理员都可以被提升为"超级管理员",以查看和管理所有资源。此外,系统也提供设置自定义角色的能力。单击此处 了解默认角色的访问级别的详细信息。
5.如果我忘记了PAM360登录密码,怎么办?
如果您具有有效的PAM360用户帐户,您可以使用登录页上的"忘记密码?"链接,来重置您的密码。需要注意,提供的用户名/电子邮件 ID必需与用户配置的信息匹配。用户的密码重置后,新密码将发送到相应的电子邮件地址。如果您启用了AD/LDAP 身份验证,则需要与相关AD/LDAP的管理员联系,以重置您的密码。
6.为什么在通过浏览器访问PAM360控制台时,我有时会看到一个安全警告?
PAM360服务仅支持以HTTPS协议提供服务,缺省安装PAM360将会自生成一个自签名的SSL证书,标准浏览器无法识别自签名的证书,故而会提示安全报警。如果您是在测试或评估产品,可忽略此告警。而如果您准备将PAM360作为生产系统使用,我们建议您从第三方受信的证书颁发机构(CA)购买一个证书,并配置在PAM360中,使浏览器可以识别。
3.安全
1.PAM360如何保证密码存储的安全性?
确保密码的安全存储以及可靠的防御入侵是PAM360的优先任务,以下措施可确保密码在PAM360中具有高级别安全性:
- 密码在数据库中使用高级加密标准 ( AES ) 执行加密,AES 是目前已知的最强的加密算法。
- PAM360数据库仅接受来自于其服务器本身的连接请求,对外部不可见。
- 基于角色的细粒度用户访问控制机制可确保用户只能访问这些已经授予的密码。
- PAM360控制台和服务器之间的所有事务都通过HTTPS协议进行通讯。
- PAM360的内置密码生成器可帮助您生成强密码。
2.通过密码管理API实现应用程序到应用程序和应用程序到数据库之间密码管理的安全性如何?
PAM360提供RESTful API和基于SSH的CLI API可用于应用程序到应用程序/数据库之间的密码管理。应用程序与PAM360通过HTTPS协议 进行连接和交互。首先通过验证应用的SSL证书以验明其身份,然后在验证其所在的源IP/主机名。 每个应用程序/数据库都必须在PAM360中注册注册一个对应的API用户。在此注册期间,必须提供应用程序服务器的主机名/IP,系统将生成API资源的令牌。此令牌需要与 API 资源的身份验证请求一起发送。除了这些安全检查之外,每个应用程序/数据库只能访问由管理用户授予他们的资源或账户。 请参阅本文档了解有关共享/委派密码的详细信息。
3.如何在PAM360中部署自有的SSL证书?
请参照以下步骤,在PAM360中部署您的证书:
- 导航到管理 >> 配置 >> PAM360服务器。
- 在生成 CSR 时选择密钥库类型JKS或PKCS12。
- 浏览并上传SSL证书文件。
- 输入SSL证书的密码。
- 修改服务器端口(可选)。
- 单击保存,然后重新启动PAM360服务,使证书更改生效。
4.如何生成签名的SSL证书?
[或]
如何让浏览器和用户可以信任PAM360的服务?PAM360采用HTTPS协议运行服务,它需要一个有效的CA签名的SSL证书,其主体名称与运行PAM360的主机的名称一致。 默认情况下,在首次启动时,PAM360会创建一个自签名证书,而浏览器无法识别自签名的证书,所以您需要人工验证证书的有效性,并强制浏览器信任它。
使PAM360服务器受WEB浏览器和用户信任:
- 为PAM360服务购买一个有效的CA签名证书。[或]
- 如果您已经从CA获得了一个通配符证书,您可以将它配置到PAM服务上。
生成签名的SSL证书的方法有很多:
- 通过使用PAM360证书管理模块。
- 通过使用OpenSSL或Keytool(内置在Java安装目录中)创建您的证书,然后提交到CA并由CA进行签名,然后将签名的证书配置到PAM360。
- 使用通配符证书。
您可以根据安全管理员的建议确定采用何种方式来生成签名的SSL证书,关于以上方法来生成证书的步骤,可以参考以下说明。
注意:如果您已经有一个由 CA 签名的证书,那么我们建议使用 OpenSSL 创建一个keystore文件,然后在 PAM360 中进行配置(参考以下说明中的步骤 4 和 5)。
1.使用PAM360的证书管理模块生成签名的SSL证书
您可以通过 PAM360 的证书管理模块生成签名的SSL 证书,还可以直接从PAM360控制台对证书(证书密钥库)执行更改。 这涉及三个过程:
通过PAM360从本地CA请求和获取证书,首先您需要生成一个证书签名请求(CSR):
- 导航到证书>>创建CSR。
- 单击创建按钮。
- 根据需要,选择创建CSR或从密钥库创建CSR。
- 如果选择创建CSR,请填写详细信息,如通用名称、 SAN 、组织单位、机构、机构地址信息、密钥算法和密钥长度,以及签名算法、密钥库类型、有效期类型、有效时间、密钥库密码、签名类型等。
如果您选择了从密钥库创建CSR,请浏览并选择所需的私钥文件以及私钥密码。 4.单击创建按钮。系统将显示CSR列表窗口,您可以在这里打开复制CSR内容,或执行导出、发送邮件动作。
- 电子邮件- 选择此选项可通过电子邮件将证书文件发送到指定的邮件ID。
- 导出- 在CSR内容窗口,点击导出,选择要导出的文件类型,如CSR、密钥库、私钥。
5.在证书>>创建 CSR下查看保存的CSR 。
提示:与每个CSR 对应的"显示密码"图标(眼睛形状)允许管理员查看CSR文件的密钥库密码。1.2签署证书:
PAM360提供从Microsoft证书颁发机构或您环境中受信任的自定义根CA证书向网络中的所有客户端签发证书的选项。
注意:使用本地CA签名证书之前,您必需已经生成了一个有效的证书签名请求(CSR)。
按照以下步骤对证书进行签名:
- 导航到证书 >> 创建CSR。
- 从表中选择所需的CSR,然后单击顶部菜单中的签名按钮。
- 在显示的弹出窗口中,设置运行本地证书颁发机构服务的服务器名称、以及CA名称,根据要求选择证书模板。单击签名,CSR现已签名,您可以在证书下查看已颁发的证书。
1.3将证书密钥库配置到PAM360服务::
配置证书密钥库文件之前,您需要先创建它:
2.使用OpenSSL生成签名的SSL证书
- 导航到证书 >> 证书。点击证书名称链接,在打开的证书详细信息页面中,单击页面右上角的导出图标,将证书文件下载到您的本地计算机。
- 现在,导航到证书 >> 创建CSR。
- 单击上述已签名的CSR对应的导入证书图标,从本地计算机选择上述步骤下载的证书文件,然后单击导入,将证书与私钥绑定,形成密钥库。
- 导航到证书,点击证书名称链接,在打开的证书详细信息页面,向下滚动并单击密钥库对应的导出链接,将密钥库文件下载到您的本地计算机。
- 接下来,将此密钥库配置到PAM360中,打开管理 >> 配置 >> PAM360服务器,然后执行以下操作:
- 选择密钥库类型,即在生成CSR时选择的JKS或PKCS12。
- 浏览并上传密钥库文件。
- 输入您在生成CSR时设置的密钥库密码。
- 如需要,修改服务器端口。
- 单击保存,重新启动PAM360服务,使配置生效。
大多数Linux发布版本都已经集成了OpenSSL,如果您使用的是Windows机器,且从未安装过OpenSSL,请从 http://www.slproweb.com/products/Win32OpenSSL.html下载并安装,安装完成后,将OpenSSL 安装下的"bin"文件夹添加到Windows系统环境变量的"PATH"中。
2.1 创建用于SSL握手的公-私密钥对
- 打开命令提示符。
- 执行 'openssl genrsa -des3 -out <privatekey_filename>.key 1024'
<privatekey_filename> 即指定用于存储私钥的文件名。
- 系统将提示您输入私钥的密码短语,请输入并谨记。(请勿使用特殊字符,建议仅采用字母)
- 在命令执行目录下将会生成一个名为 <privatekey_filename>.key 的文件。
2.2创建一个证书签名请求( CSR )提交到证书颁发机构,以获得一个包含前阶段中生成的公钥的签名证书
- 执行 'openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr'
- <privatekey_filename>.key即上个步骤中生成的私钥文件。
- <certreq_filename>.csr是携带您的证书签名请求以发送到 CA(证书颁发机构)的文件。
- 系统将提示您输入一系列属性值,这些设置是托管PAM360服务器DN的一部分。
- 输入所需的值,注意:对于“通用名称”,应指定访问PAM360服务的完全限定名称,您在浏览器中就是通过这个名称来访问PAM360的服务的。
- 将在命令执行目录下,将会生成一个名为<certreq_filename>.csr的文件。
2.3将CSR提交给证书颁发机构(CA)以获得CA签名证书
一些知名的CA有Verisign、Thawte、RapidSSL。查看他们的文档/网站,了解有关提交CSR的详细信息,需要注意,使用受信证书办法机构的服务会涉及到付费。证书签名过程一般需要数天时间,之后您将获得签名的SSL证书以及CA的根证书文件,这些证书一般为.cer类型。将它们与前两个步骤生成的私钥以及CSR文件放置到同一位置下。
2.4 将CA签名证书导入密钥库
- 打开命令提示符并切换到存储上述文件的目录。
- 执行openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name PAM360 -CAfile <root_cert_file>.cer -caname PAM360 -chain'
其中,
- cert_file.cer是从CA获得的签名证书文件。
- privatekey_filename.key是步骤1中获得的密钥文件。
- keystore_filename.p12是要生成的p12证书库文件。
- root_cert_file.cer是CA的根证书。
- 当提示输入密码时,输入您在步骤1中设置的私钥的密码。
- 现在,名为<keystore_filename>.p12的密钥库文件将在命令的执行目录中生成。
2.5在PAM360服务器上配置使用p12存储库的SSL证书
这是使用OpenSSL生成签名SSL证书的最后一步。
- 将步骤4中生成的 <keystore_filename>.p12复制到<PAM360_Install_Folder>conf文件夹下。
- 打开<PAM360_Install_Folder>conf目录下的server.xml,执行以下更改:
- 搜索属性"keystoreFile",该属性的默认值为conf/server.keystore"。将其更改为“conf/<keystore_filename>.p12”。
- 从版本9700开始,密钥库密码经过加密处理,您不能直接在server.xml文件中更新。为了手动更新 .xml 文件中的密钥库密码,请先禁用加密,将keystorePassEncrypted=true更改为keystorePassEncrypted=false。
- 现在,将keystorePass的值设置为密钥库文件的密码,即同在步骤1中设置的密码。
- 在keystorePass参数后,添加一条新的参数keystoreType=PKCS12,或PKCS11。
- 保存server.xml文件,然后重启PAM360服务。
- PAM360服务启动后,访问PAM360,如果您没有看到任何告警提示,则您就配置成功了。
3.使用Keytool生成签名SSL证书
3.1 创建用于SSL握手的公-私密钥对
- 打开一个命令行,切换到<PAM360_Home >/jre/bin目录下。
- 执行命令:
"keytool -genkey -alias PAM360 -keyalg RSA -sigalg SHA256withRSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keystore <keystore_filename>其中,
<keystore_password>是访问密钥库的密码,<privatekey_password>是保护您私钥的密码。 请注意,由于tomcat中固有的限制,这两个密码必须相同。(Tomcat在处理具有特殊字符的密码时会遇到问题,请使用纯字母密码,以避免出错)
<no_of_days>是密钥对从创建之日起有效的时限。- 上述命令将提示您输入有关您和您的组织的详细信息。
- 对于您的名称与姓氏,请输入运行PAM360的服务器的完全限定域名(FQDN)。
- 完成其它字段的信息补充。
- 包含生成的密钥对的<keystore_filename>文件,将在命令执行目录下生成。
3.2创建证书签名请求(CSR)提交到证书颁发机构以获取签名证书
- 转到<PAM360_Home >/jre/bin文件夹。
- 执行命令:keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore <keystore_filename>。
注意:您设置的 <csr_filename> 应为.csr扩展名的文件。
- 名为 <csr_filename> 的CSR文件将在同一目录下生成。
3.3将 CSR 提交证书颁发机构 (CA)以获取已签名的证书
一些知名的CA有Verisign、Thawte、RapidSSL。查看他们的文档/网站,了解有关提交CSR的详细信息,需要注意,使用受信证书办法机构的服务会涉及到付费。证书签名过程一般需要数天时间,之后您将获得签名的SSL证书以及CA的根证书文件,这些证书一般为.cer类型。将它们与前两个步骤生成的私钥以及CSR文件放置到同一位置下。
3.4将CA签名证书导入PAM360服务器
keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_bundle.p7b>
- 使用命令提示符转到 <PAM360_Home >/jre/bin文件夹。
- 如果您获得的是一个证书包文件( p7b格式 ),则运行以下命令:
其中,
- <your_ssl_bundle.p7b>是从CA获得的证包,即保存的.p7b文件。<privatekey_password>,<keystore_password> 和 <keystore_filename> 是前面步骤中使用的。
- 如果您获得了3个.cer类型的文件:根证书、中间证书和实际的证书,您需要使用以下步骤来分别导入它们:
- keytool -import -alias root -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <rooter>
- keytool -import -alias inter -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <inter.cer>
- keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_cert.cer>
- 现在,将<keystore_filename>复制到 <PAM360_Home >/conf文件夹。
3.5在PAM360服务器上配置SSL证书设置
这是使用Keytool生成签名SSL证书的最后一步。
- 在<PAM360_Home >/conf文件夹下
- 使用文本编辑器打开文件server.xml进行编辑
- 搜索条目keystoreFile,该条目的默认值为conf/server.keystore,将其值更改为conf/<[keystore_filename>,其中<{keystore_filename>是放置到conf下的新的keystore文件。
- 从版本9700开始,密钥库密码经过加密处理,您不能直接在server.xml文件中更新。为了手动更新 .xml 文件中的密钥库密码,请先禁用加密,将keystorePassEncrypted=true更改为keystorePassEncrypted=false。
注意:此步骤仅适用于使用9700或以上版本。
注意:默认情况下, Tomcat 仅接受 JKS ( Java 密钥存储)和 PKCS #格式密钥存储文件。如果密钥存储文件是 PKCS #12格式,在server.xml文件中,应指定以下参数名:keystoreType="PKCS12",用于告知tomcat证书格式为 PKCS12。而后重新启动服务器。
4.通过安装通配符证书生成签名的SSL证书
提示:请参考CA的文档,以了解更多详细信息和故障排除措施。
- 在<PAM360_Home >/conf文件夹下
- 使用文本编辑器打开文件server.xml进行编辑
- 搜索条目keystoreFile,该条目的默认值为conf/server.keystore,将其值更改为conf/<[keystore_filename>,其中<{keystore_filename>为通配符证书。
- 然后找到条目 [keystorePass] ,将其值更改为<{keystore_password>,即保护现有通配符证书密钥库的密码。
- 重新启动PAM360服务,然后再WEB浏览器中访问其客户端,如果您能够在浏览器没有任何警告的情况下打开PAM360登录 控制台,则已成功在PAM360中安装了SSL证书。
5.我们能否使用Subject Alternative Name (SAN)创建服务器证书?
可以,您可以使用SAN创建证书,并将其应用于PAM360。 按照以下步骤操作:
1.使用PAM360的SSL证书管理模块创建一个CSR,并将其提交任意CA进行签名
1.1创建证书签名请求(CSR)
- 以管理员身份登录到PAM360。
- 导航到证书 >> 创建CSR。
- 单击"创建"按钮。
- 在这里,提供证书的通用名称。
- 当您提供了通用名称,然后将鼠标移动到SAN字段后,该字段将会自动使用通用名称自动填充,您可以设置其它的主题别名。
- 设置其它详细信息,包括组织详细信息、位置、有效性和密码等。
- 单击"创建"。
- 完成后,您将找到证书和私钥的导出选项,或通过电子邮件发送CSR到指定地址。
1.2 将CSR提交给证书颁发机构(CA)以获得CA签名证书
创建CSR后,下一步是由 CA 验证并签名,您有两个选项:
- 您可以导出CSR文件,然后手工将其提交到第三方CA以进行签名。
- 您可以通过您的Microsoft证书颁发机构或使用环境中受信任的自定义根CA证书签名证书,在PAM360 Web客户端,导航到证书 >> 创建 CSR ,选择一个证书,然后单击"签名"按钮。有关证书签名的更多详细信息,请参阅本文档。
签名后,您可以在"证书"下查看证书。
1.3 将CA签名的证书导入PAM360
导入您网络中的证书:
- 导航到证书。
- 单击"添加"。
- 选择所需的选项:
Ⅰ 基于文件的证书:从您的本地系统选择并提交证书文件。
Ⅱ 基于内容的证书:复制所需证书文件的内容并将其粘贴到文本框中。
Ⅲ 基于密钥库的:同时导入密钥存储中所有可用的单个证书。选择所需的密钥库文件并输入其相应的密码。
- 单击"添加"按钮。
2.使用Microsoft内部CA创建包含SAN的证书
请参照以下步骤使用Microsoft内部CA创建包含主题别名(SAN)的服务器证书。此外,需要在"其它属性"中,指定 'san:dns=<访问PAM360的URL>', ,然后创建证书。
- 连接到运行 Microsoft 证书服务的服务器。
- 打开一个命令提示符并执行certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
- 然后,重新启动微软证书服务(certsvc)。
使用以下命令创建私钥:
./keytool -genkey -alias PAM360 -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>- 当提示名字和姓氏时,指定用于访问PAM360的名称。
- 使用以下命令创建证书签名请求( CSR ):
keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore PAM360.keystore6.将下载的"PAM360cert.p7b"文件导入PAM360.keystore ,执行命令:"keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore PAM360.keystore -trustcacerts -file PAM360cert.p7b"
- 然后将生成CSR提交到Microsoft内部CA。
- 打开浏览器,登陆到您的内部CA证书请求页面。
- 请求高级证书。
- 提交一个证书请求。
- 复制和粘贴 <csr_filename>.cer文件的内容。
- 证书模板选择为Web服务器。
- 在"其它属性"中,输入 'san:dns=pam360&dns=pam360.tcu.ad.local' ,然后单击"提交"。
- 下载证书链文件为base64格式,如PAM360cert.p7b。
注意:如果您执行以上命令后收到错误消息"无法从回复创建证书链",则表示CA的根证书和中间证书不在PAM360的受信资源库中。 因此,在导入实际证书之前,您必须使用不同的别名导入根证书,然后再导入实际证书。 此外,如果您有多个根证书,则必须使用不同的别名将它们逐个导入。 例如:
./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root1.cer
./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root2.cer
根据根证书或中间根证书的数量,您需使用不同的别名执行上述命令,然后继续导入实际证书。
注意:实际证书应为 .cer 或 .crt 格式。
- 在PAM360中应用证书密钥库。
- 以管理员身份登录到PAM360。
- 导航到管理 >> 配置 >> PAM360服务器。
- 选择 PKCS12 或者 PKCS11 作为密钥库类型。
- 单击"浏览"并选择您的 PFX/P12 文件。
- 提供正确的密钥存储密码并保存配置。
- 重新启动PAM360服务以使配置生效。
3.通过第三方供应商如GoDaddy、Verisign、Commodo等创建包含SAN的签名证书
请参考以下步骤,从第三方供应商生成包含SAN的证书。
1.使用以下命令创建私钥,
'./keytool -genkey -alias PAM360 -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>"'
当提示名字和姓氏时,指定用于访问PAM360的名称。
2.使用以下命令创建证书签名请求( CSR ):
'keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore PAM360.keystore'
3.向第三方签名工具提交 CSR 请求,并确保使用SAN名称签名证书。 下载base64格式的证书链,如PAM360cert.p7b
4.将下载的"PAM360cert.p7b"文件导入PAM360.keystore:keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore PAM360.keystore -trustcacerts -file PAM360cert.p7b
注意:如果您收到错误消息"无法通过上述命令建立从回复的链",则表示 CA 的根证书和中间证书在 PAM360 的受信任存储中不可用。 因此,在导入实际证书之前,必须使用不同的别名导入根证书,然后导入实际证书。 此外,如果您有多个根证书,则必须一个使用不同的别名导入它们。 例如,
./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root1.cer
./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root2.cer
根据根级证书或中间根证书的数量,您必须使用不同的别名执行上述命令,然后继续使用实际证书。
5.在PAM360中应用证书密钥库。
- 以管理员身份登录到 PAM360。
- 导航到管理 >> 配置 >> PAM360服务器。
- 选择 PKCS12 或 PKCS11 作为密钥库类型。
- 单击"浏览"并选择您的 PFX/P12 文件。
- 提供正确的密钥存储密码并保存配置。
- 重新启动 PAM360 服务以使配置生效。
1.我可以从PAM360 控制台更改资源密码吗?
可以,PAM360支持远程重置多种终端设备的密码。PAM360同时提供基于代理和非代理模式的改密方式。详细信息,请参阅此文档。
2.在什么场景下使用代理或非代理方式的密码同步?
让我们先看看这两种模式的工作特点:
代理模式要求代理作为服务安装在每个终端设备上,且以管理员权限运行以执行密码重置操作。 代理采用单向通讯模式,即终端向PAM360服务器方向。
对于非代理的模式,您必须提供管理员凭证才能执行密码更改。对于Linux,您必须指定两个帐户,一个具有root 权限,另一个帐户具有远程登录设备能力的正常权限用户。Telnet或SSH服务必须在目的资源上可用。对于 Windows 域资源,您必须提供域管理员的凭据。对于Windows和Windows域,PAM360使用远程调用,因此必须在资源上打开相关端口。
基于此,您可以根据您的网络环境来选择采用何种模式,参考以下提示:
选择代理模式,当您:
- 没有在PAM360中为特定资源配置管理凭证
- 从PAM360无法通过协议连接到目的资源( 对于Linux:Telnet/SSH,对于Windows:RPC )
- 将PAM360安装在Liunx设备上,而希望修改Windows资源的密码
其它场景下,可以选择使用非代理模式。
3.如果我将Linux的其他发行版本或其他的Windows版本添加为自定义的资源类型,我能否使用非代理方式的密码重置?
是的,您可以。只要资源类型标签包含字符串"Linux"或"Windows",您就可以为这些资源配置非代理密码重置。
启用密码重置的有效资源类型标签示例:
Debian Linux、Linux-Cent OS、SuSE Linux、Windows XP 工作站、Windows 2003 服务器
4.是否有方法对PAM360中未支持的自定义资源类型,执行远程密码同步操作?
PAM360支持通过SSH 命令集、密码重置插件和密码重置监听器为自定义资源类型进行远程密码重置。
- SSH命令集:对于SSH类型的设备,您可以直接从PAM360构建一套使用缺省或自定义的SSH命令集的可执行命令序列,这些命令序列可以关联到目的资源账户上,来执行针对账户的密码重置。
- 密码重置插件:您可以构建自己的实现类,然后通过PAM360 运行它,以执行针对自定义资源类型的自动密码重置。借助该插件,您还可以结合系统的账户访问控制流程,在使用结束后立即自动重置密码。
- 密码重置监听器:监听器是在本地密码被修改后可被调用的自定义脚本或可执行文件,它同样可以用于重置PAM360所不支持的资源类型的密码。您可以针对每种资源类型包括自定义资源配置监听器。
5.密码同步未生效,如何排除故障?
代理模式:
- 检查代理是否在正常运行,可查看Windows进程种是否存在条目“PAM360Agent.exe”,对于Linux,查看是否在进程中存在“PAM360Agent”。
- 检查安装代理的帐户是否具有足够的权限修改密码。
在非代理模式下:
- 检查是否提供了正确的管理凭证,以及远程同步选项是否已启用。
- 检查目的资源上的服务是否对于PAM360可用( 对于Linux:Telnet/SSH,对于Windows:RPC )。
- 在PAM360服务器上检查是否可以通过资源的DNS名称连接到资源。
6.当执行Windows域密码重置时,出现错误消息:"身份验证机制未知",导致重置失败,我应该怎么做?
当PAM360作为Windows服务运行,并且服务的"登录为"属性设置为本地系统帐户时,将发生这种情况。 将其更改为域用户帐户,以便能够重置域密码。 按照以下说明执行该设置:
- 打开Windows服务程序(控制面板 -> 管理工具 -> 服务)。
- 选择"ManageEngine PAM360"服务,鼠标右键 -->选择"属性"。
- 单击"登录"选项卡并选择"此帐户"单选按钮,点击浏览,选择位置,搜索并设置一个域用户账户。
- 输入域账户的密码,然后重启PAM360服务。
7.启用Windows服务帐户重置的前提条件是什么?
在启用Windows服务帐户重置之前,请确保目的服务器中是否启用了以下依赖服务:
- Windows RPC服务应启用
- Windows Management Instrumentation (WMI)服务应启用
8.域SSO是否能够跨防火墙/VPN工作?
域单点登录(Windows 集成身份验证)在 Windows 环境中通过在 HTTP 头中设置非标准参数实现,这些参数通常会被防火墙/VPN 等设备剥离。PAM360设计用于网络内部环境,因此如果您是从网络外部连接的,则无法使用域SSO。
5.备份和灾难恢复
1.我可以将PAM360从一台服务器移动到另一台服务器吗?
是的,您可以通过以下步骤将PAM360迁移到其他服务器:
- 停止PAM360服务,退出托盘图标。
- 确保Postgres进程已完全停止。
- 复制整个PAM360目录到新服务器。
- 使用管理员权限打开一个命令提示符,并导航到 <PAM360HOME>\bin目录中,执行PAM360.bat install,该操作用于安装PAM360服务。
- 将加密密钥(PAM360_key.key )复制到新服务器,并在PAM360HOME/conf/manage_key.conf文件中指定其位置。 单击此处了解有关加密密钥的信息。
- 打开Windows服务控制台,为PAM360服务设置服务账户,然后启动服务。
- 如果需要显示托盘图标,请转到 <PAM360HOME>,右键单击PAM360.exe并选择"以管理员身份运行"。
现在,您就可以通过新服务器的URL地址来访问PAM360了。
2.我可以为PAM360数据库设置灾难恢复吗?
是的,可以。PAM360可以定期备份数据库的全部内容,您可以登陆PAM360控制台进行配置。有关详细信息,请参阅本文档。
3.备份数据存储在何处?它是加密的吗?
备份文件中的所有敏感数据以加密形式存储在<PAM360_Install_Directory/backUp> 目录下的 .zip文件中。 建议您将备份文件保存在一个安全的备用存储位置,以用于灾难恢复。
6.许可
1.PAM360的许可策略是什么?
PAM360提供三种许可场景:
- 评估版(下载/试用)- 您可以直接下载并安装此试用版。 它功能齐全,含有5个管理员的许可,您可以对所有功能进行30天的试用和评估。
- 免费版 - 允许您拥有1个管理员,管理10个资源。
- 注册版 - 您将获得企业级功能,许可基于您所需的管理员的数量。诸如企业级的功能,如自动发现特权帐户、与工单系统和 SIEM 解决方案的集成、跳转服务器配置、应用程序到应用程序密码管理、开箱即用的合规性报表、 SQL 服务器/群集作为后端数据库等。
提示:PAM360缺省提供五个用户角色 - 管理员、密码管理员、特权管理员、密码审核员和密码用户 。关于许可中的术语"管理员",表示具有管理员、密码管理员和特权管理员角色的用户。 因此,许可中管理员的数量限制了管理员、密码管理员和特权管理员的数量。而对于密码用户和密码审核员的数量,则没有限制。 了解有关五个用户角色的更多详细信息,请参阅我们的这里。
2.我可以购买PAM360的永久许可证吗?有哪些可用选项?
是的,我们提供永久授权模式。试用永久授权您可以使用软件的当前版本,而如果您需要升级产品,需要确保您的许可维保(AMS)是有效的。永久许可一般包含一年的维保服务,维保到期后,您需要另外购买。了解更多关于PAM360的销售策略,请联系china-sales@zohocorp.com。
3. 设置高可用性时,涉及多个服务器,单个许可证是否足以满足?
是的,搞可用性功能包含在我们的许可文件中,您可以在主服务器和辅助服务器上应用相同的许可证。参考以下步骤进行注册:
- 停止主服务器中的PAM360服务。
- 使用管理员登陆备服务器中的PAM360控制台。
- 单击控制台右上角用户下拉菜单里的许可证。
- 更新您的许可。
4.PAM360能否支持1000+管理员?
是的,如果您想获得超过1000个管理员用户的许可证,请联系china-sales@zohocorp.com了解更多。
5.是否支持扩展我的试用期,包括更多管理员和天数?
是的,您可以联系china-sales@zohocorp.com获得需要的许可。
7.SSH 密钥管理
1.使用PAM360管理SSH用户帐户和SSH服务帐户的方式是否有任何差异?
没有,PAM360采用同样的方法来管理SSH用户帐户和SSH服务帐户。唯一的区别是,在资源发现期间,如果提供服务/root帐户凭据 以建立与资源的连接,您将获得更大的权限,能够管理资源中所有用户账户导入的密钥。
当使用用户帐户凭据建立与资源的连接时,您仅获得该特定帐户中存在的SSH密钥的管理权限。
2.有什么办法可以查看未轮换的 SSH 密钥吗?
是的。 我们提供仪表板,显示通知策略中指定的预定义时间段内未轮换的密钥数。
3.PAM360是否支持管理SSH密钥和SSL证书以外的数字密钥?
PAM360 内置"密钥库",用于存储和管理任何类型的数字密钥。但是,对于发现和导入选项仅限于SSH密钥和SSL 证书,不适用于其他类型的数字密钥。
1.是否有PAM360不兼容的证书类型?
没有。PAM360支持所有 X.509证书类型。
2.是否可能在PAM360证书存储库中识别并更新证书的最新版本?
可以。 您可以创建计划任务来执行自动证书发现,通过它,您可以导入新的证书,更新PAM360证书库中的旧证书。 单击此处查看有关创建计划的详细说明。
3.PAM360的Linux版本是否支持从活动目录和微软证书库发现证书?
不支持,AD用户证书和MS证书库仅适用于Windows部署。
4.是否可以在PAM360证书存储库中追踪具有相同通用名称的证书的过期时间?
PAM360通过证书的通用名称来区分证书,并在其存储库中,通过证书的通用名来记录每个证书。我们设计PAM360的 许可是基于证书的数量,而我们不希望客户为同一证书消耗过多的许可。
但是,如果需要单独管理两个证书,可以通过将它们作为单独的条目在 PAM360 证书存储库中列出来。 操作完成后,新添加的证书将消耗您的许可。
- 导航到证书选项卡并单击证书,然后单击证书旁边的证书历史记录图标。
- 单击所需证书版本旁的证书设置图标,然后单击管理证书。
- 所选证书版本将作为单独证书列在证书库中。
- 如果您只想管理证书的一个版本,请单击所需版本旁边的证书设置图标,然后选择"设置为当前证书"选项。
5.如何导入证书的私钥?
按照以下步骤将证书的私钥导入PAM360。
浏览包含私钥的文件,输入密钥库的密码,然后单击"导入"。 私钥将被导入并附加到所选证书。
6.如何将证书部署到证书存储区并将其映射到使用证书的应用程序?
PAM360提供证书部署能力,通过PAM360您可以将证书从其存储库部署到目标服务器的Microsoft证书存储区。
单击此处查看证书部署的分步说明。
将证书映射到其相应的应用程序,您需要手工重启应用所在的服务器,以使配置生效。
7.PAM360是否支持基于子网的证书发现?
PAM360当前不支持基于子网的证书发现功能。
8.PAM360是否支持设置自动化计划从微软证书库自动发现证书?
PAM360不支持从MS证书存储自动计划证书发现
9.证书相关的邮件告警是为证书的所有版本(包括"证书历史记录"中的证书)生成的,还是仅为 PAM360证书库中列出的证书生成的?
电子邮件通知仅适用于PAM360证书存储库中列出的证书,不适用于"证书历史记录"部分中显示的证书。
10.公司内部的证书颁发机构 (CA) 颁发的证书是否计入许可?
是的。使用PAM360管理的所有类型的SSL证书、SSH密钥和任何其他数字密钥都会被计算在内。 PAM360仪表板"许可证详细信息"提供了有关PAM360管理的各类数字证书类型及其数量。
