Change secrets

Automação para rotação de segredos (Password ou Chave SSH) com politicas e definições de segurança.

Especificações para rotacionar segredo de contas de dominio

⚙️ Rotação de credenciais de Dominio

A conta de dominio precisa estar cadastrada como template no PAM

Esse template precisa estar associado aos hosts que necessitará da autenticacao

(Isso nao é apenas para rotacao da credencial, é para o uso dela de fato)

Ao rotacionar a crecencial, deve se especificar o host que terá essa automacao executada e os hosts que deverao receber a nova credencial.

A senha alterada nos hosts associados, pode ser consultada em logins
A senha nao é alterada no template
- A senha do template sempre permanecerá a primeira cadastrada, mudanças deve ser de forma manual
Ao associar o template de senha a um novo host, quando já existe uma rotacao de senha aplicada para essa credencial, o novo host precisa ser incluido na automacao de rotacao de credencial, do contrário ele irá continuar com a credencial originalmente cadastrada no template, que por ser de dominio, nao funciona mais.
O PAM precisa conseguir se conectar host a host, para validar a rotacao e garantir o sucesso da nova credencial. Os hosts com erros de conexao nao terao a senha associada alterada.

✔️ Checklist dos requerimentos

Asset cadastrado no PAM
Credencial cadastrada
Não importa o metódo, pode ter sido descoberto por automação ou de forma manual)
Credencial vinculada ao host
Pode ser por um template ou direto no asset, para a automação é indiferente.
Protocolo de comunicação implementado
Windows: WinRM ou OpenSSH, ambos compativeis (para OpenSSH verifique esse documento)
Regras de Firewall criadas
- Firewall de rede
- Firewall do Windows
WinRM: Adicionar o IP do PAM como confiavel
Para ambientes com boas práticas implementadas, se o seu não tem essa regra, recomendamos fortemente aplicar. Pesquise sobre o poder do WinRM.

Especificações para rotacionar segredo de contas local (não dominio)

⚙️ Rotação de contas nao dominio (local)

Step by Step

Crie a automação

Acesse o menu: SYSADMIN >> ACCOUNTS >> AUTOMATIONS >> CHANGE ACCOUNTS SECRET

Campos: Preencha os campos de acordo com a sua estratégia de execuçāo:

Campo

Descriçāo

Name*

Nome da atividade para a sua organizaçāo

Accounts*

Logins que terāo as senhas alteradas, esse campo é keysensitive. Se desejar, pode inserir mais de um login, porem ambas seguirao a mesma senha que o JOB imputar.

Assets or Nodes

Sistema Operacional alvo, ou Unidade Organizacional do FSafer que terá os hosts executados.

Password policy

Defina aqui a estratégia de execução e complexidade da senha

Automations >> Parameters

É possivel mudar os grupos que o usuário é menbro, use essa funçāo para garantir que nenhuma conta é alterada sem o seu conhecimento

Periodic

Frequencia de execuçāo de forma agendada

Também é possivel a execução manual sempre que desejar

Active

Ative ou desative aqui a atividade

Recipient

Notifique por email o resultado da execuçāo

Consulte o status da execuçāo

Erros comuns

#Advanced knowledge (consulte seu Partner)

msg: The password does not meet the password policy requirements

Correção: Verifique a complexidada da senha configurada no JOB, ela não atende os requisitos do sistema operacional.

Detalhamento do log:

An exception occurred during task execution. To see the full traceback, use -vvv. The errorwas: at , : line 260 fatal: [AD01(stani-temp)]: FAILED! => {"changed": false, "msg": "Unhandled exception while executing module: Exception calling "SetPassword" with "1" argument(s): "The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements.\r\n""}

AnteriorPush accounts PróximoGather accounts

Atualizado há 9 dias

Isto foi útil?