本帖最后由 小白又不白 于 2021-2-24 16:23 编辑
【应用背景】 很多时候客户想修改设备的登录密码,来确保设备的安全性 但是每次都自己一个个去登录设备修改密码太浪费时间,其次不想将这些密码都告诉运维人员 因此就会产生自动改密+单点登录结合的需求。本次分享就是让大家了解怎么样去实现这种场景。
【环境准备】 OSM堡垒机(软硬件均可) 目标改密设备(Windows、Linux类型均可) 保证OSM和目标改密设备网络连通 考虑到适用性和全面性,本次示例以windows7系统作为改密设备
【操作步骤】 1、使用初始化用户登录OSM创建密码包接收人以及解密密钥接收人两个账户
选择接受协议,所有插件都选择安装,其余配置非特殊情况保持默认即可 一直点击下一步,直到安装完成 3、创建一个非管理员的用户test用于改密,授权远程桌面权限(单点登录测试用)
4、使用安全管理员登录OSM,创建一个Common Windows类型的资源 确保红框内的信息填写正确,且连通性检测都显示绿勾
5、点击“账号管理”将资源的用户单点登录设置好(此处为了便于观察设置为错误的密码)
6、使用运维操作员单点登录测试(因密码设置错误所以无法正常登录)
7、使用密码包接收人登录OSM,添加密码修改计划 选择手动指定密码,输入更改后的密码 发送方式可以选择不发送 改密后密码包接收人和解密密钥接收人分别可以看到改密计划执行后的密码包和密钥包 【注意】 资源和资源账号这里,如果需要将资源的所有用户密码都进行更改,则只需要选择对应资源
若只需要修改某一个用户的密码,则只选择资源账号
同时选择资源账号不会生效,会对资源的所有用户均执行改密操作
保存后,我们可以在账号列表观察到设置的需要改密的账号 可以点击立即修改无视配置时间进行执行 在日志中可以改到改密进度(大致时间在5-10分钟左右)
9、分别使用密码包接收人和密钥接收人,在备份文件中分别下载密码包和解密密钥文件
证明改密计划完成后,单点登录配置中的密码也会直接修改 这样则可以进一步保证密码的保密性和安全性
【注意】 针对Linux类型的资源,因本身具备Openssl协议支持,不需要安装Openssl插件,直接执行其他步骤即可。
【附件】
本帖仅供学习参考 若对以上内容有任何疑问或建议,欢迎大家评论区留言交流 本次分享就到这里 感谢大家! |