CLI 암호 소비자를 사용하기 위한 끝점 구성
목차
cminder12902kr
목차
CLI 암호 소비자는 소프트웨어 개발 키트 암호 소비자의 유형입니다. CLI 암호 소비자를 사용하여 하드 코드된 암호를 권한 있는 계정 암호로 대체할 수 있습니다. CLI 암호 소비자는 권한 있는 계정 암호를 가져오고, 체크 아웃하고, 체크 인하는 스크립트를 의미합니다. 이 스크립트가 SAM 에이전트를 호출하면 에이전트가
Privileged Identity Manager
엔터프라이즈 콘솔에서 권한 있는 계정 암호를 가져옵니다.다른 파일 또는 스크립트를 변경할 수 있는 권한이 제한된 .bat 또는 .sh 스크립트를 작성하려면 CLI 암호 소비자를 사용하십시오. 예를 들어, 파일에서 하드 코드된 암호를 수동으로 업데이트하기 위해 acpwd 유틸리티를 사용하는 스크립트를 작성할 수 있습니다. 또한 CLI 암호 소비자를 사용하여 사용자들이 끝점의 명령줄에서 acpwd 유틸리티를 실행하도록 할 수 있습니다.
참고:
SAM SDK를 사용하면 스크립트의 하드 코드된 암호를 권한 있는 계정 암호로 대체할 수도 있습니다. 예를 들어 여러 파일에서 암호를 대체하는 사용자 지정 스크립트를 작성하려면 SAM SDK를 사용하십시오.CLI 암호 소비자를 사용하기 위해 끝점을 구성하려면
- SAM 통합 기능이 활성화된 끝점에Privileged Identity Manager가 설치되어 있는지 확인합니다.
- 스크립트에 다음 명령을 추가합니다.acpwd {-checkout | -get} -account name -ep name -eptype type [-container name] -nologo참고:acpwd 유틸리티 구문에 대한 자세한 내용은참조 안내서를 참조하십시오.
- 명령의 출력(권한 있는 계정 암호)을 사용하도록 스크립트를 수정합니다.CLI 암호 소비자를 사용하기 위해 끝점을 구성했습니다. 이제Privileged Identity Manager엔터프라이즈 콘솔에서 스크립트에 대한 소프트웨어 개발 키트(SDK/CLI) 암호 소비자를 만들어야 합니다.
CLI 암호 소비자가 작동하는 방식
CLI 암호 소비자를 사용하여 하드 코드된 암호를 권한 있는 계정 암호로 대체할 수 있습니다. CLI 암호 소비자는 권한 있는 계정 암호를 가져오고, 체크 아웃하고, 체크 인하기 위해 acpwd 유틸리티를 사용하는 스크립트를 의미합니다. 또한 CLI 암호 소비자를 사용하여 사용자들이 끝점의 명령줄에서 acpwd 유틸리티를 실행하도록 할 수 있습니다. CLI 암호 소비자가 작동하는 방식을 이해하면 acpwd 유틸리티를 사용하는 데 도움이 됩니다.
참고:
스크립트나 명령줄에서 acpwd 유틸리티를 사용하려면 먼저 Privileged Identity Manager
엔터프라이즈 콘솔에서 스크립트 또는 유틸리티를 소프트웨어 개발 키트(SDK/CLI) 암호 소비자로 정의해야 합니다. 암호 소비자는 권한 있는 계정 암호를 획득하도록 허용된 사용자의 목록을 정의합니다.다음 프로세스는 CLI 암호 소비자가 작동하는 방식을 설명합니다.
- 다음 방법 중 하나로 끝점에서 acpwd 유틸리티가 호출됩니다.
- 사용자가 명령줄 프롬프트 창에서 유틸리티를 실행합니다.
- 스크립트 또는 응용 프로그램 서버가 실행되고 유틸리티를 호출합니다.
- acpwd 유틸리티가 권한 있는 계정 암호를 요청합니다. SAM 에이전트가 권한 부여를 위해 이 요청을Privileged Identity Manager엔터프라이즈 콘솔에 전달합니다.
- Privileged Identity Manager엔터프라이즈 콘솔이 권한 있는 계정 암호를 끝점으로 보냅니다. SAM 에이전트가 이 암호를 표시하거나 원래 프로그램에 전달하고 확인 메시지를 로그에 기록합니다.
- 사용자, 스크립트나 응용 프로그램 서버 또는Privileged Identity Manager엔터프라이즈 콘솔이 계정 암호를 다시 체크 인하고 SAM 에이전트가 확인 메시지를 로그에 기록합니다.
- SAM 에이전트가 체크 인 성공을 알리는 확인 메시지를 로그에 기록합니다.참고:숫자 0이 포함된 확인 메시지는 SAM 에이전트가 암호 가져오기, 체크 아웃 또는 체크 인 작업에 성공했음을 나타냅니다. acpwd 유틸리티 구문에 대한 자세한 내용은참조 안내서를 참조하십시오.
예: 암호를 가져오는 스크립트
다음은 Windows에서 권한 있는 계정 암호를 가져오는 예제 스크립트 내용입니다. 이 예에서는 SAM 에이전트가
Privileged Identity Manager
끝점에 설치되어 있다고 가정합니다.이 예제의 스크립트는
Privileged Identity Manager
엔터프라이즈 콘솔에서 가져오는 권한 있는 계정 암호를 사용하여 Windows 레지스트리 항목을 추가 및 삭제합니다.set AdminUser=PowerUser FOR /F "tokens=*" %%i IN ('"C:\Program Files\AccessControl\bin\acpwd.exe" -get -account PowerUser -ep comp1_123 -eptype "Windows Agentless" -container "Windows Accounts" -nologo') DO SET AdminPassword=%%i set runasadmin="C:\utils\psexec.exe" -u %AdminUser% -p %runasadmin% %AdminPassword% REG ADD "HKLM\SOFTWARE\PUPM Registry" %runasadmin% %AdminPassword% REG DELETE "HKLM\SOFTWARE\PUPM Registry" /F
이 예에서 스크립트는 SAM 에이전트를 실행하여 권한 있는 계정 암호를 가져옵니다
.
이 스크립트는 계정 이름(PowerUser
), 끝점 이름(comp1_123
), 끝점 유형(Windows Agentless
), 사용자의 컨테이너 이름(Windows Accounts
)을 포함하고 있습니다. 스크립트는 SAM 에이전트가 암호만 표시하도록 지시하고, 레지스트리 항목을 추가 및 삭제하기 위한 관리 사용자로 PsExec 프로그램을 실행하기 위해 암호를 사용합니다.