SSH 设备连接信息
内容
cminder12901cn
内容
SSH 设备类型允许您管理特权 UNIX 帐户。
重要信息!
配置 SAM SSH 端点设置之前,需禁用端点上的隧道明文密码。创建此类设备需提供以下信息,以便
Privileged Identity Manager
企业控制台可与设备进行连接:- 用户登录定义该端点的管理用户的名称。 SAM 使用该账户在端点上执行管理任务,例如,连接到端点、发现帐户和更改密码。请注意:如果指定了“高级”选项,SAM 将不会使用“用户登录”帐户执行管理任务。 相反,SAM 使用指定的特权帐户在端点上执行管理任务。 如果您指定操作管理员帐户,SAM 将使用该帐户在端点上执行管理任务。
- 密码定义该端点的管理用户的密码。
- Host定义该端点的主机名称。
- 使用 Telnet指定使用 Telnet(而不是 SSH)连接到 SSH 设备。
- 操作管理员用户登录(可选)定义端点的操作管理员用户的名称。 SAM 使用该帐户在端点上执行管理任务,例如,发现和更改特权帐户的密码。 如果您不指定操作管理员用户,SAM 将使用“用户登录”帐户在端点上执行管理任务。如果为使用检查点防火墙的 SSH 端点指定操作管理员用户,则请指定专家用户。 但是,您无法使用 SAM 更改端点上专家帐户的密码。 此限制意味着,专家帐户必须是 SAM 中的断开帐户。
- 操作管理员密码(可选)定义操作管理员用户的密码。
- 配置文件指定 SSH 设备 XML 配置文件的名称。 您可以根据需要自定义 XML 文件。注意:如果未指定该字段的值,Privileged Identity Manager企业控制台将使用 ssh_connector_conf.xml 文件。
- 高级指定是否要使用特权管理帐户在端点上执行管理任务,例如:连接到端点、发现帐户和更改密码。 例如:您可以指定一个可以在多个端点上执行管理任务的特权域帐户。如果指定此选项,SAM 不使用“用户登录”帐户来执行管理任务。
- 禁用独占会话指定是否禁用该端点上的独占会话检查。 选中此选项后,SAM 将不检查端点上的打开会话。
- 拒绝独占紧急情况指定在独占帐户上阻止 break-glass 签出操作。
SAM 连接到 UNIX 端点的方式
当创建端点时,您指定 SAM 用来连接到端点并执行管理任务(如发现和更改特权帐户的密码)的管理员帐户。 对于 UNIX 帐户,最合适的管理员帐户通常是 root。 但是,SAM 使用 SSH 连接到 UNIX 端点,而某些组织禁止用户和应用程序以 root 用户身份进行 SSH 连接。
要克服该问题,您可以在创建“SSH 设备”端点时同时指定一个连接帐户和一个操作管理员帐户。 (SAM 使用“SSH 设备”作为 UNIX 端点的端点类型。)通过使用两个帐户,您还可以使用与操作管理员帐户相比具有更少权限的连接帐户。
以下过程说明了 SAM 使用这些帐户连接到“SSH 设备”端点的方式:
- SAM 使用连接帐户的凭据连接到端点。
- SAM 使用操作管理员帐户的凭据切换到该帐户。例如,如果操作管理员帐户是 root 帐户,SAM 使用 root 凭据切换到 root 帐户。
- SAM 以操作管理员身份执行管理任务。例如,如果操作管理员帐户是 root 帐户,则 SAM 以 root 用户身份执行管理任务。
当您查看“SSH 设备”端点上的特权帐户时,连接帐户和操作管理员帐户都被列为端点管理员帐户。
如何创建自定义的 SSH 设备端点
如果 SAM 用来发现特权帐户的默认设置不适用于“SSH 设备”端点,您可以创建自定义的“SSH 设备”端点。
要创建自定义的“SSH 设备”端点,请执行以下操作:
- 自定义“SSH 设备”XML 文件。
- 在Privileged Identity Manager企业控制台中创建“SSH 设备”端点。 在“配置文件”字段中,输入您创建的 XML 文件的名称。使用自定义的设置创建了“SSH 设备”端点。
- 在您创建的端点上运行特权帐户发现向导。Privileged Identity Manager企业控制台使用您在 XML 文件中定义的参数搜索端点中的特权帐户。
- 审阅 JCS 连接器日志文件 (jcs_stdout.log) 和 JCS 连接器错误文件 (jcs_sterr.log)。 文件位于:ACServerInstallDir/Connector Server/logs
- 如果需要,请修改 XML 文件以解决出现在日志文件中的错误。
注意:
有关 SSH 设备 XML 文件格式的详细信息,请参阅《参考指南
》。自定义 SSH 设备 XML 文件
SSH 网络和设备 XML 文件定义 SAM 连接到 SSH 设备或网络设备端点的方式,在端点上查找用户帐户和更改特权帐户密码。
Privileged Identity Manager
提供几个不同的 SSH 设备和网络设备 XML 文件。 这些文件包含 SAM 用来连接到各种类型的 SSH 设备和网络设备端点的默认设置。如果 SSH 设备或网络设备端点使用备用方法更改端点上的特权帐户密码,那么您自定义设备 XML 文件来指定非默认设置。 例如,自定义“SSH 设备”XML 文件,以便为使用非标准方法发现用户帐户并更改特权帐户密码的路由器、交换机或防火墙创建端点。
注意
:企业管理服务器和分发服务器均使用本地设备 XML 文件连接到端点。 如果在企业管理服务器中自定义了设备 XML 文件,请验证 Privileged Identity Manager
环境中所有分发服务器中的设备 XML 文件是否也已更新。请按下列步骤操作:
- 在Privileged Identity Manager企业控制台中查找想要自定义的 XML 文件。 这些文件位于以下目录中:
- SSH 设备:ACServerInstallDir/conf/override/sshdyn
- 网络设备:ACServerInstallDir/conf/override/netdevicedyn
- 复制想要自定义的文件,然后打开新文件进行编辑。注意:将新文件保存在相同的目录中。
- 修改文件中的参数来适应您的企业要求。文件中的每个 <item> 元素都定义了特定命令的参数。 SAM 使用这些命令在端点上获取用户和更改密码。 可通过修改 <item> 元素来定义 SAM 发送至端点的命令。 也可对 SAM 用于连接到端点的设置进行修改。
- 保存并关闭文件。您已经针对端点自定义了设备 XML 文件。
注意:
有关 SSH 设备 XML 文件格式的详细信息,请参阅《参考指南
》。注意:
如果您使用的是中文、日文或朝鲜语字符自定义文件,您应当使用 UTF-8 编码来保存文件。示例:SSH 设备 XML 文件定义 SAM 命令的方式
该示例说明 SSH 设备 XML 文件的一部分是如何定义 SAM 在 SSH 设备端点上执行的命令的。 该部分中的每个 <item> 元素都定义了特定操作的参数。 所有的 <item> 元素一起创建了一个脚本,该脚本定义了 SAM 与端点交互的方式。
每个 <item> 元素都以 sCommand 参数开头。 sCommand 参数定义了 SAM 在端点上执行的命令。 sCommand 参数后的参数定义了 SAM 在该命令之后执行的任何其他操作。
该示例说明 Cisco-UCS_connector_conf.xml 文件中的一部分是如何定义 SAM 用于更改 Cisco 交换机特权帐户密码的命令的。 Cisco-UCS_connector_conf.xml 文件位于以下目录:
ACServerInstallDir/Connector Server/conf/override/sshdyn
该示例仅显示 Cisco-UCS_connector_conf.xml 文件的一部分。 文件中的其他元素配置与 Cisco 交换机的连接,并指定 SAM 用户获取用户所执行的命令。
注意:
有关 SSH 设备 XML 文件格式的详细信息,请参阅《参考指南
》。以下显示了 SAM 执行命令更改 Cisco 交换机上特权帐户密码的过程。 为展示 <item> 元素配置 SAM 执行的命令的方法,在每一步的结尾给出了相应的 <item> 元素。
- SAM 指定更改特权帐户的密码。 SAM 执行以下操作以完成该步骤:
- SAM 发出以下命令:set password
- SAM 等待 500 毫秒。
- SAM 等待接收单词:文本字符串。 当接收到该字符串时,会进入下一步骤。
以下 <item> 元素指定了 SAM 在该步骤采取的操作:<item> <param name="sCommand" value="set password" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item> - SAM 指定特权帐户的新密码。 SAM 执行以下操作以完成该步骤:
- SAM 将新密码发送到端点。SAM 不将新密码写入到日志文件中。
- SAM 等待 500 毫秒。
- SAM 等待接收单词:文本字符串。 当接收到该字符串时,会进入下一步骤。
以下 <item> 元素指定该命令的参数:<item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item> - SAM 确认特权帐户的新密码。 SAM 执行以下操作以完成该步骤:
- SAM 将新密码重新发送到端点。SAM 不将新密码写入到日志文件中。
- SAM 等待 500 毫秒。
- SAM 等待接收local-user* #文本字符串。 当接收到该字符串时,会进入下一步骤。如果 SAM 接收到failure、invalid或error字符串,则密码更改失败。
以下 <item> 元素指定该命令的参数:<item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user* #" /> <param name="sFailureResult" value="failure;invalid;error" /> </item> - SAM 提交特权帐户的新密码。 SAM 执行以下操作以完成该步骤:
- SAM 发出以下命令:commit-bufferSAM 不将此命令写入到日志文件。
- SAM 等待 500 毫秒。
- SAM 等待接收local-user* #文本字符串。 当接收到该字符串时,密码更改已完成。如果 SAM 接收到Error: Update failed:文本字符串,则密码更改失败。
以下 <item> 元素指定该命令的参数:<item> <param name="sCommand" value="commit-buffer" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user #" /> <param name="sFailureResult" value="Error: Update failed:" /> </item>密码更改已完成。