数据中心运维安全管理TOP10问题——堡垒机特权账号管理PAM篇

关于数据中心的运维安全管理,客户最关心哪些问题?齐治客服(400电话、在线服务)将过去一年中被问及最多的10个PAM相关问题及解答进行整理,与客户、合作伙伴分享。

1. Windows使用RPC方式改密报错“wait arm timeout”。
解决方法:
• 目标资产上已打开TCP的135、139和445端口,且防火墙允许PAM访问这些端口;
• 在Windows资产的服务列表,查看Remote Procedure Call是否处于运行中;
• 在Windows资产的进程列表,查看是否存在lsass.exe进程。
2.如何消除僵尸账号?
回答:
•托管到 PAM 的账号,实际超过90天未登录,巡检后会标记为僵尸账号;
•若要消除僵尸账号,则需要纳管这些账号,并修改白名单重新触发巡检,或者针对这些僵尸账号触发登录,或者确认不需要,在目标资产上清理这些账号。
3.删除账号提示:该资产被应用身份关联,请解除绑定后再编辑。
解决方法:
台账>应用身份,在应用配置中取消关联账号变更禁用选项。

4.台账账号维护的分项统计显示为空。
解决方法:
该功能依赖资产属性,若不配置资产属性,则无法正常显示。
5.一个资产托管多个特权账号,改密逻辑是什么?
回答:
针对一个资产托管多个特权账号,改密时会根据特权账号的创建时间顺序,依次尝试使用各个特权账号进行改密。
6.改密提示“没有可改密的条目”。
解决方法:
•  查看账号是否存在可改密属性;
• 查看是否在账号管理页面进行密码登录测试;
• 尝试删除重建账号;
• 确认是否存在历史密码失败记录。
7.执行改密后进行巡检,仍然提示账号超过3个月未改密。
解决方法:
在账号巡检,编辑任务明确,确认巡检任务是否勾选了账号信息收集,如果未勾选不会更新异常信息。
8.部分资产登录过程很长,通过 PAM 登录提示 timeout when matching xxx。
解决方法:
• 先尝试后台手工登录目标资产,预估实际登录需要的时间;
•  登录堡垒机Web界面,根据实际登录需要的时间,在“资产适配”处调大交互超时时间。
9.使用API接口申请密码工单,请求提示 404 错误。
解决方法:
404 代表请求地址不存在,确认请求方法是否为 POST及API地址是否正确。
10.配置PAM从RIS同步后,RIS侧的数据未同步或未完全同步至PAM侧。
解决方法:

•使用超级管理员身份登录PAM的Web界面,在系统设置>系统>基本设置>第三方,检查以下配置项:

①检查配置的第三方名称是否和PAM后台插件中config.ini文件的ServerName一致;

②检查配置的第三方IP地址与端口是否正确;

③检查配置的插件信息分别在PAM后台的/var/lib/sync/$ServerName和/usr/lib/systemd/system目录下是否存在,其中$ServerName为第三方系统名称。
•检查 PAM 后台配置文件 config.ini 中的 aca.token 与 ACA 后台 /etc/shterm/api_tokens 中的是否一致。
•检查 ACA 后台配置文件 /etc/shterm/api_tokens 中的允许地址是否为正确的 PAM 端地址,HA或多站等场景,请将所有实地址以及虚地址都进行配置,多个地址之间使用逗号分隔。
•ACA 后台配置完成后,需要重启 tomcat 服务,才能使该静态 token 生效,允许 PAM 端通过该 token 进行数据请求。

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注