Перейти к основному содержимому
Версия: Privileged Access Manager 2.9

Шифрование паролей и секретов

По умолчанию, для дополнительной защиты системы, во время установки компонентов происходит автоматическое шифрование файлов конфигурации.

Для защиты системы рекомендуется выполнять шифрование файлов конфигурации после внесения окончательных правок.

Во время работы с системой может потребоваться редактирование фалов конфигурации. Для этого понадобится снятие шифрования и дальнейшее шифрование файлов конфигурации.

Это можно сделать с помощью утилиты на Windows или скрипта на Linux.

Шифрованию подлежат конфигурационные файлы компонентов Core, Idp, ProxyApp и Log Server.

Утилита на Windows

Снятие шифрования

  • Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.

  • Запустите PowerShell от имени администратора.

  • Для снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:

    .\Pam.Tools.Configuration.Protector.exe unprotect
  • Для снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:

    .\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонента

    Например:

    .\Pam.Tools.Configuration.Protector.exe unprotect --component core
  • Снятие шифрования с файла, расположенного вне стандартной директории:

    .\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонента --file путь_к_файлу

    Например:

    .\Pam.Tools.Configuration.Protector.exe unprotect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
примечание

Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json

Шифрование

  • Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.

  • Запустите PowerShell от имени администратора.

  • Для шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:

    .\Pam.Tools.Configuration.Protector.exe protect
  • Для шифрования файлов конфигурации отдельных компонентов выполните команду:

    .\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонента

    Например:

    .\Pam.Tools.Configuration.Protector.exe protect --component core
  • Шифрование файла, расположенного вне стандартной директории:

    .\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонента --file путь_к_файлу

    Например:

    .\Pam.Tools.Configuration.Protector.exe protect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
примечание

Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json.s

Скрипт на Linux

Снятие шифрования

  • Перейдите в директорию с файлом протектора

    cd /etc/indeed/indeed-pam/tools
  • Для снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:

    bash protector.sh unprotect
  • Для снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:

    bash protector.sh unprotect –component Имя_компонента

    Например:

    bash protector.sh unprotect –component core

Шифрование

  • Перейдите в директорию с файлом протектора

    cd /etc/indeed/indeed-pam/tools
  • Для шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:

    bash protector.sh protect
  • Для шифрования файлов конфигурации отдельных компонентов выполните команду:

    bash protector.sh protect –component Имя_компонента

    Например:

    bash protector.sh protect –component core

О механизме шифрования

Шифрование конфигурационных файлов (критичных файлов) Indeed PAM выполняется при помощи ключа шифрования AES-256 сгенерированного Data Protection API. Ключ сохраняется на сервере Indeed PAM и дополнительно шифруется Windows Data Protection API.

Расположение ключа:

  • ОС Windows Server — %ProgramData%\Indeed\Pam\Keys
  • ОС Linux — /etc/indeed/indeed-pam/keys

Право на использование директории предоставляется только приложениям Indeed PAM.