配置端点以便使用 CLI 密码使用方

内容
cminder12901cn
内容
CLI 密码使用方是一种“软件开发工具包”密码使用方。 您可以使用 CLI 密码使用方将脚本中的硬编码密码替换为特权帐户密码。 CLI 密码使用方表示的脚本可获取、签出或签入特权帐户密码。 脚本会调用 SAM 代理,该代理从
Privileged Identity Manager
企业控制台检索特权帐户密码。
使用 CLI 密码使用方编写 .bat 或 .sh 脚本,这些脚本受限于其功能而无法更改其他文件或脚本。 例如,您可以编写使用 acpwd 实用工具的脚本来手动更新文件中的硬编码密码。 此外,使用 CLI 密码使用方可让用户从端点的命令行运行 acpwd 实用工具。
注意:
您还可以使用 SAM SDK 将脚本中的硬编码密码替换为特权帐户密码。 例如,使用 SAM SDK 编写自定义脚本来替换多个文件中的密码。
配置端点以便使用 CLI 密码使用方
  1. 验证在端点上安装了
    Privileged Identity Manager
    ,并启用了 SAM 集成功能。
  2. 将以下命令添加到您的脚本中:
    acpwd {-checkout | -get} -account name -ep name -eptype type [-container name] -nologo
    注意:
    有关 acpwd 实用工具语法的详细信息,请参阅《
    参考指南
    》。
  3. 修改您的脚本以便使用命令的输出(特权帐户密码)。
    您已经配置端点以使用 CLI 密码使用方。 现在,您必须在
    Privileged Identity Manager
    企业控制台中创建脚本的“软件开发工具包”(SDK/CLI) 密码使用方。
CLI 密码使用方的工作原理
您可以使用 CLI 密码使用方将脚本中的硬编码密码替换为特权帐户密码。 CLI 密码使用方表示的脚本使用 acpwd 实用工具获取、签出或签入特权帐户密码。 此外,使用 CLI 密码使用方可让用户从端点的命令行运行 acpwd 实用工具。 了解 CLI 密码使用方的工作原理可帮助您使用 acpwd 实用工具。
注意:
要在脚本中或从命令行使用 acpwd 实用工具,必须首先在
Privileged Identity Manager
企业控制台中将脚本或实用工具定义为“软件开发工具包”(SDK/CLI) 密码使用方。 该密码使用方定义允许获取特权帐户密码的用户的列表。
以下过程说明了 CLI 密码使用方的工作原理:
  1. 以下列方式之一调用端点上的 acpwd 实用工具:
    • 用户从命令提示符窗口运行该实用工具。
    • 脚本或应用程序服务器运行并调用该实用工具。
  2. acpwd 实用工具请求特权帐户密码。 SAM 代理将请求转发到
    Privileged Identity Manager
    企业控制台,以进行授权。
  3. Privileged Identity Manager
    企业控制台将特权帐户密码发送到端点。 SAM 代理显示该密码,或将该密码转发给原始程序并记录确认信息。
  4. 您、脚本或应用程序服务器或者
    Privileged Identity Manager
    企业控制台会重新签入该帐户密码,而 SAM 代理会记录确认信息。
  5. SAM 代理会记录签入成功的确认信息。
    注意:
    具有数字零 (0) 的确认信息表示 SAM 代理已成功检索、签出或签入密码。 有关 acpwd 实用工具语法的详细信息,请参阅《
    参考指南
    》。
示例:获取密码的脚本
以下内容是提取的脚本示例,该脚本在 Windows 上获取特权帐户密码。 该示例假定,SAM 代理已安装在
Privileged Identity Manager
端点上。
该示例脚本尝试使用从
Privileged Identity Manager
企业控制台获取的特权帐户密码,在 Windows 注册表中添加和删除条目。
set AdminUser=PowerUser FOR /F "tokens=*" %%i IN ('"C:\Program Files\AccessControl\bin\acpwd.exe" -get -account PowerUser -ep comp1_123 -eptype "Windows Agentless" -container "Windows Accounts" -nologo') DO SET AdminPassword=%%i set runasadmin="C:\utils\psexec.exe" -u %AdminUser% -p %runasadmin% %AdminPassword% REG ADD "HKLM\SOFTWARE\PUPM Registry" %runasadmin% %AdminPassword% REG DELETE "HKLM\SOFTWARE\PUPM Registry" /F
在该示例中,脚本运行 SAM 代理来获取特权帐户密码
该脚本包含帐户名称 (
PowerUser
)、端点名称 (
comp1_123
)、端点类型 (
Windows Agentless
)、用户(
Windows 帐户
)的容器名称。 该脚本指示 SAM 代理仅显示密码,并使用该密码以管理用户身份运行 PsExec 程序来添加和删除注册表项。