用于应用程序到应用程序密码管理的密码管理 API
(仅在高级版和企业版中可用)
如果您的基础结构中的应用程序需要使用密码连接到其他应用程序,它们可以查询 PAM360 以检索密码。 这样,应用程序到应用程序(A-A)密码也可以遵循良好的密码管理实践,如定期轮换,而无需在很多地方手动进行更新的麻烦。 应用程序到数据库的密码管理(A 到 DB)也可用于相同的过程。
A 到 A /A 到 DB 密码检索和管理工作?
PAM360 公开的 Web API 构成了 PAM360 中的 A 到 A 密码管理的基础。 应用程序与 PAM360 通过 HTTPS 进行连接和交互。 通过强制它颁发有效的 SSL 证书来验证应用程序的身份,匹配已提供给 PAM360 与该应用程序相关的详细信息。 PAM360 通过提供命令行脚本来抽象使用 Web API 的复杂性,使应用程序更容易使用。 命令行脚本调用使用 Web API 的库。
如何设置密码管理 API?
当您希望应用程序使用 PAM360web API 时,首先您应该向 PAM360 注册应用程序,提供有关应用程序的特定详细信息。 然后, PAM360 将创建一个包含库和命令行脚本的集成工具包。 然后,应用程序可以使用工具包在 PAM360 存储库上执行密码操作。 请按照下面详细步骤操作::
步骤 1- 下载 API 工具包
- 转到管理 >> 配置,单击密码管理 API
- 在打开的 GUI 中,单击"添加应用程序并提供有关应用程序的详细信息。 填写以下详细信息
- 单击保存。 现在,使用您提供的详细信息, PAM360 将为应用程序创建一个工具包
- 单击下载工具包,将工具包保存在应用程序运行的服务器中
| 术语 | 定义 |
|---|---|
应用程序名称 |
要在其中部署使用 PAM360 的 A 到 A 密码管理的应用程序的名称 |
DNS 名称/IP 地址 |
这是应用程序与 PAM360 之间建立通信所需的 |
资源类型 |
选择应用程序运行的操作系统。 只有下拉列表拉下列出的操作系统受 PAM360 支持(目前 Windows 和支持 Linux ) |
允许的操作 |
选择要为应用程序允许的密码管理操作 - 创建密码/重置密码/检索密码。 |
继承 |
您需要为应用程序设置密码访问权限。 不能允许应用程序管理所有密码。 必须分配可访问的特定密码。 PAM360 已为用户提供全面、明确定义的访问权限。 可允许应用程序继承 PAM360 用户之一的相同访问级别。 从下拉列表中选择用户的名称。 |
步骤 2- 在应用程序中设置 PAM360 API
如上所述,通过强制应用程序颁发有效的 SSL 证书来验证应用程序的身份,匹配已提供给 PAM360 与该应用程序相关的详细信息。 要进行这些设置,
创建 SSL 客户端证书和私钥
- 创建 SSL 客户端证书和私钥
PAM360 API 的配置
- 打开命令提示符并导航到安装 PAM360 API 的目录
- 编辑 PAM360_API.conf ,并设置客户端证书及其私钥(如上文所述创建和存储的)的绝对路径,用于参数客户端警报路径和客户端键路径
步骤 3- 在 PAM360 安装中创建信任库
- 此步骤是创建 PAM360 中的信任存储,用于 A 到 A /A 到 DB 身份验证。 打开命令提示符并导航到目录中的 [1lt2PAM360_SERVER_HOME]>,然后执行以下命令:
- 重新启动 PAM360 服务器
对于 Windows
导入证书<由您创建的客户端证书的绝对路径>
对于 Linux
importCert.sh < 您创建的客户端证书的绝对路径 >
重要说明:客户端证书和私有应强制存在于要使用 A 到 A /A 到 DB 密码管理的应用程序服务器中。
应用程序中将包含的命令,用于自动 A 到 A /A 到 DB 密码管理
上述步骤表示在应用程序中完成 PAM360 API 安装。 对于自动 A 到 A 密码管理,您需要在应用程序中使用以下命令来调用 API。
用于密码检索
打开命令提示符并导航到目录中的 [1lt2PAM360_SERVER_HOME]>,然后执行以下命令:
对于 Windows
PAM360_API.bat RETRIEVE< 资源名称,如 PAM360>< 帐户名称,如 PAM360> 中显示的
对于 Linux
PAM360_API.sh RETRIEVE< 资源名称,如 PAM360>中存在的 < 帐户名称, 如在 PAM360> 中显示的
执行上述命令将单独返回密码。
用于本地重置密码
打开命令提示符并导航到目录中的 [1lt2PAM360_SERVER_HOME]>,然后执行以下命令:
对于 Windows
PAM360_API.bat RESET_LOCAL< 资源名称,如 PAM360>< 帐户名称,如 PAM360><新密码>
对于 Linux
PAM360_API.sh RESET_LOCAL< 资源名称,如 PAM360>< 中的帐户名称,如PAM360><新密码>
用于远程密码重置
打开命令提示符并导航到目录中的 [1lt2PAM360_SERVER_HOME]>,然后执行以下命令:
对于 Windows
PAM360_API.bat RESET_REMOTE< 资源名称,如 PAM360>< 帐户名称,如 PAM360><新密码>
对于 Linux
PAM360_API.sh RESET_REMOTE< 资源名称,如 PAM360>< 中的帐户名称,如 PAM360><新密码>
执行上述命令将尝试执行远程密码重置。 如果操作成功,它将更改 PAM360too 中的密码,并返回消息"密码更改成功"。 万一远程密码重置失败,它不会改变 PAM360 中的密码,并将返回消息密码重置失败。
用于创建新资源和用户帐户
打开命令提示符并导航到目录中的 [1lt2PAM360_SERVER_HOME]>,然后执行以下命令:
对于 Windows
PAM360_API.bat 创建< 资源名称 >< 帐户名称 ><密码>
对于 Linux
PAM360_API.sh 创建< 资源名称 >< 帐户名称 ><密码>
执行上述命令将在 PAM360 中创建新资源和帐户。 如果不为帐户提供密码, PAM360 将自动生成一个。