配置端点以便使用 CLI 密码使用方
内容
cminder12901cn
内容
CLI 密码使用方是一种“软件开发工具包”密码使用方。 您可以使用 CLI 密码使用方将脚本中的硬编码密码替换为特权帐户密码。 CLI 密码使用方表示的脚本可获取、签出或签入特权帐户密码。 脚本会调用 SAM 代理,该代理从
Privileged Identity Manager
企业控制台检索特权帐户密码。使用 CLI 密码使用方编写 .bat 或 .sh 脚本,这些脚本受限于其功能而无法更改其他文件或脚本。 例如,您可以编写使用 acpwd 实用工具的脚本来手动更新文件中的硬编码密码。 此外,使用 CLI 密码使用方可让用户从端点的命令行运行 acpwd 实用工具。
注意:
您还可以使用 SAM SDK 将脚本中的硬编码密码替换为特权帐户密码。 例如,使用 SAM SDK 编写自定义脚本来替换多个文件中的密码。配置端点以便使用 CLI 密码使用方
- 验证在端点上安装了Privileged Identity Manager,并启用了 SAM 集成功能。
- 将以下命令添加到您的脚本中:acpwd {-checkout | -get} -account name -ep name -eptype type [-container name] -nologo注意:有关 acpwd 实用工具语法的详细信息,请参阅《参考指南》。
- 修改您的脚本以便使用命令的输出(特权帐户密码)。您已经配置端点以使用 CLI 密码使用方。 现在,您必须在Privileged Identity Manager企业控制台中创建脚本的“软件开发工具包”(SDK/CLI) 密码使用方。
CLI 密码使用方的工作原理
您可以使用 CLI 密码使用方将脚本中的硬编码密码替换为特权帐户密码。 CLI 密码使用方表示的脚本使用 acpwd 实用工具获取、签出或签入特权帐户密码。 此外,使用 CLI 密码使用方可让用户从端点的命令行运行 acpwd 实用工具。 了解 CLI 密码使用方的工作原理可帮助您使用 acpwd 实用工具。
注意:
要在脚本中或从命令行使用 acpwd 实用工具,必须首先在 Privileged Identity Manager
企业控制台中将脚本或实用工具定义为“软件开发工具包”(SDK/CLI) 密码使用方。 该密码使用方定义允许获取特权帐户密码的用户的列表。以下过程说明了 CLI 密码使用方的工作原理:
- 以下列方式之一调用端点上的 acpwd 实用工具:
- 用户从命令提示符窗口运行该实用工具。
- 脚本或应用程序服务器运行并调用该实用工具。
- acpwd 实用工具请求特权帐户密码。 SAM 代理将请求转发到Privileged Identity Manager企业控制台,以进行授权。
- Privileged Identity Manager企业控制台将特权帐户密码发送到端点。 SAM 代理显示该密码,或将该密码转发给原始程序并记录确认信息。
- 您、脚本或应用程序服务器或者Privileged Identity Manager企业控制台会重新签入该帐户密码,而 SAM 代理会记录确认信息。
- SAM 代理会记录签入成功的确认信息。注意:具有数字零 (0) 的确认信息表示 SAM 代理已成功检索、签出或签入密码。 有关 acpwd 实用工具语法的详细信息,请参阅《参考指南》。
示例:获取密码的脚本
以下内容是提取的脚本示例,该脚本在 Windows 上获取特权帐户密码。 该示例假定,SAM 代理已安装在
Privileged Identity Manager
端点上。该示例脚本尝试使用从
Privileged Identity Manager
企业控制台获取的特权帐户密码,在 Windows 注册表中添加和删除条目。set AdminUser=PowerUser FOR /F "tokens=*" %%i IN ('"C:\Program Files\AccessControl\bin\acpwd.exe" -get -account PowerUser -ep comp1_123 -eptype "Windows Agentless" -container "Windows Accounts" -nologo') DO SET AdminPassword=%%i set runasadmin="C:\utils\psexec.exe" -u %AdminUser% -p %runasadmin% %AdminPassword% REG ADD "HKLM\SOFTWARE\PUPM Registry" %runasadmin% %AdminPassword% REG DELETE "HKLM\SOFTWARE\PUPM Registry" /F
在该示例中,脚本运行 SAM 代理来获取特权帐户密码
。
该脚本包含帐户名称 (PowerUser
)、端点名称 (comp1_123
)、端点类型 (Windows Agentless
)、用户(Windows 帐户
)的容器名称。 该脚本指示 SAM 代理仅显示密码,并使用该密码以管理用户身份运行 PsExec 程序来添加和删除注册表项。