1. Windows使用RPC方式改密报错“wait arm timeout”。
• 目标资产上已打开TCP的135、139和445端口,且防火墙允许PAM访问这些端口;
• 在Windows资产的服务列表,查看Remote Procedure Call是否处于运行中;
• 在Windows资产的进程列表,查看是否存在lsass.exe进程。
•托管到 PAM 的账号,实际超过90天未登录,巡检后会标记为僵尸账号;
•若要消除僵尸账号,则需要纳管这些账号,并修改白名单重新触发巡检,或者针对这些僵尸账号触发登录,或者确认不需要,在目标资产上清理这些账号。
3.删除账号提示:该资产被应用身份关联,请解除绑定后再编辑。
台账>应用身份,在应用配置中取消关联账号变更禁用选项。
该功能依赖资产属性,若不配置资产属性,则无法正常显示。
针对一个资产托管多个特权账号,改密时会根据特权账号的创建时间顺序,依次尝试使用各个特权账号进行改密。
7.执行改密后进行巡检,仍然提示账号超过3个月未改密。
在账号巡检,编辑任务明确,确认巡检任务是否勾选了账号信息收集,如果未勾选不会更新异常信息。
8.部分资产登录过程很长,通过 PAM 登录提示 timeout when matching xxx。
• 先尝试后台手工登录目标资产,预估实际登录需要的时间;
• 登录堡垒机Web界面,根据实际登录需要的时间,在“资产适配”处调大交互超时时间。
9.使用API接口申请密码工单,请求提示 404 错误。
404 代表请求地址不存在,确认请求方法是否为 POST及API地址是否正确。
10.配置PAM从RIS同步后,RIS侧的数据未同步或未完全同步至PAM侧。
•使用超级管理员身份登录PAM的Web界面,在系统设置>系统>基本设置>第三方,检查以下配置项:
①检查配置的第三方名称是否和PAM后台插件中config.ini文件的ServerName一致;
②检查配置的第三方IP地址与端口是否正确;
③检查配置的插件信息分别在PAM后台的/var/lib/sync/$ServerName和/usr/lib/systemd/system目录下是否存在,其中$ServerName为第三方系统名称。
•检查 PAM 后台配置文件 config.ini 中的 aca.token 与 ACA 后台 /etc/shterm/api_tokens 中的是否一致。
•检查 ACA 后台配置文件 /etc/shterm/api_tokens 中的允许地址是否为正确的 PAM 端地址,HA或多站等场景,请将所有实地址以及虚地址都进行配置,多个地址之间使用逗号分隔。
•ACA 后台配置完成后,需要重启 tomcat 服务,才能使该静态 token 生效,允许 PAM 端通过该 token 进行数据请求。
发表回复