# Change secrets

### Especificações para rotacionar segredo de contas de dominio

<details>

<summary>⚙️ Rotação de credenciais de Dominio</summary>

1. A conta de dominio precisa estar cadastrada como template no PAM
2. Esse template precisa estar associado aos hosts que necessitará da autenticacao

(Isso nao é apenas para rotacao da credencial, é para o uso dela de fato)

3. Ao rotacionar a crecencial, deve se especificar o host que terá essa automacao executada e os hosts que deverao receber a nova credencial.

* A senha alterada nos hosts associados, pode ser consultada em logins
* A senha nao é alterada no template
  * A senha do template sempre permanecerá a primeira cadastrada, mudanças deve ser de forma manual
* Ao associar o template de senha a um novo host, quando já existe uma rotacao de senha aplicada para essa credencial, o novo host precisa ser incluido na automacao de rotacao de credencial, do contrário ele irá continuar com a credencial originalmente cadastrada no template, que por ser de dominio, nao funciona mais.
* O PAM precisa conseguir se conectar host a host, para validar a rotacao e garantir o sucesso da nova credencial. Os hosts com erros de conexao nao terao a senha associada alterada.

</details>

<details>

<summary><span data-gb-custom-inline data-tag="emoji" data-code="2714">✔️</span> Checklist dos requerimentos</summary>

* [ ] Asset cadastrado no PAM
* [ ] Credencial cadastrada

  Não importa o metódo, pode ter sido descoberto por automação ou de forma manual)
* [ ] Credencial vinculada ao host

  Pode ser por um template ou direto no asset, para a automação é indiferente.
* [ ] Protocolo de comunicação implementado

  Windows: WinRM ou OpenSSH, ambos compativeis ([para OpenSSH verifique esse documento](https://wiki.datadike.com/additional/pam/requerimentos-automacao#openssh))
* [ ] Regras de Firewall criadas
  * [ ] Firewall de rede
  * [ ] Firewall do Windows
* [ ] WinRM: Adicionar o IP do PAM como confiavel

  <mark style="background-color:$success;">Para ambientes com boas práticas implementadas</mark>, <mark style="background-color:orange;">se o seu não tem essa regra, recomendamos fortemente aplicar</mark>. Pesquise sobre o poder do WinRM.

</details>

***

### Especificações para rotacionar segredo de contas local (não dominio)

<details>

<summary>⚙️ Rotação de contas nao dominio (local)</summary>

</details>

***

### Step by Step

{% stepper %}
{% step %}
Cadastre o Asset
{% endstep %}

{% step %}
Cadastre a credencial
{% endstep %}

{% step %}
Aplique o protocolo de acesso

WinRm ou OpenSSH, verifique os requerimentos
{% endstep %}

{% step %}
Cadastre o asset

#### Crie a automação

**Acesse o menu**: SYSADMIN >> ACCOUNTS >> AUTOMATIONS >> CHANGE ACCOUNTS SECRET

<div align="left"><figure><img src="/files/GsY7QFYaTp88aGdivPHz" alt="" width="198"><figcaption></figcaption></figure></div>

<figure><img src="/files/EnMJbjk745Y00S1KdoHm" alt="Funçāo: CREATE"><figcaption></figcaption></figure>
{% endstep %}

{% step %}

####

{% endstep %}
{% endstepper %}

1. **Campos**: Preencha os campos de acordo com a sua estratégia de execuçāo:

<table><thead><tr><th width="243.55859375">Campo</th><th>Descriçāo</th></tr></thead><tbody><tr><td>Name<mark style="color:$danger;">*</mark></td><td>Nome da atividade para a sua organizaçāo</td></tr><tr><td>Accounts<mark style="color:$danger;">*</mark></td><td>Logins que terāo as senhas alteradas, esse campo é keysensitive.<br>Se desejar, pode inserir mais de um login, porem ambas seguirao a mesma senha que o JOB imputar.</td></tr><tr><td>Assets or Nodes</td><td>Sistema Operacional alvo, ou Unidade Organizacional do DataDike que terá os hosts executados.</td></tr><tr><td>Password policy</td><td>Defina aqui a estratégia de execução e complexidade da senha</td></tr><tr><td>Automations >> Parameters</td><td>É possivel mudar os grupos que o usuário é menbro, use essa funçāo para garantir que nenhuma conta é alterada sem o seu conhecimento</td></tr><tr><td>Periodic</td><td><p>Frequencia de execuçāo de forma agendada</p><p>Também é possivel a execução manual sempre que desejar</p></td></tr><tr><td>Active</td><td>Ative ou desative aqui a atividade</td></tr><tr><td>Recipient</td><td>Notifique por email o resultado da execuçāo</td></tr></tbody></table>

3. Consulte o status da execuçāo

<figure><img src="/files/i9MtNe058psgA2ygsBMi" alt=""><figcaption></figcaption></figure>

***

## Erros comuns

\#Advanced knowledge (consulte seu Partner)

### **msg:** The password does not meet the password policy requirements

Correção: Verifique a complexidada da senha configurada no JOB, ela não atende os requisitos do sistema operacional.

Detalhamento do log:

An exception occurred during task execution. To see the full traceback, use -vvv. The errorwas: at , : line 260\
fatal: \[AD01(stani-temp)]: FAILED! => {"changed": false, "msg": "Unhandled exception while executing module: Exception calling "SetPassword" with "1" argument(s): "<mark style="color:$danger;">**The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements.**</mark>\r\n""}

<figure><img src="/files/TnZFqdoVEybDrU9bStQy" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://wiki.datadike.com/product-guide/configuracoes/pam/sysadmin/accounts/automations/change-secrets.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.