Change secrets

1. A conta de dominio precisa estar cadastrada como template no PAM

2. Esse template precisa estar associado aos hosts que necessitará da autenticacao

(Isso nao é apenas para rotacao da credencial, é para o uso dela de fato)

1. Ao rotacionar a crecencial, deve se especificar o host que terá essa automacao executada e os hosts que deverao receber a nova credencial.

• A senha alterada nos hosts associados, pode ser consultada em logins

• A senha nao é alterada no template

  • A senha do template sempre permanecerá a primeira cadastrada, mudanças deve ser de forma manual

• Ao associar o template de senha a um novo host, quando já existe uma rotacao de senha aplicada para essa credencial, o novo host precisa ser incluido na automacao de rotacao de credencial, do contrário ele irá continuar com a credencial originalmente cadastrada no template, que por ser de dominio, nao funciona mais.

• O PAM precisa conseguir se conectar host a host, para validar a rotacao e garantir o sucesso da nova credencial. Os hosts com erros de conexao nao terao a senha associada alterada.

• Asset cadastrado no PAM

• Credencial cadastrada

  Não importa o metódo, pode ter sido descoberto por automação ou de forma manual)

• Credencial vinculada ao host

  Pode ser por um template ou direto no asset, para a automação é indiferente.

• Protocolo de comunicação implementado

  Windows: WinRM ou OpenSSH, ambos compativeis (para OpenSSH verifique esse documento)

• Regras de Firewall criadas

  • Firewall de rede

  • Firewall do Windows

• WinRM: Adicionar o IP do PAM como confiavel

  Para ambientes com boas práticas implementadas, se o seu não tem essa regra, recomendamos fortemente aplicar. Pesquise sobre o poder do WinRM.