Шифрование паролей и секретов
По умолчанию, для дополнительной защиты системы, во время установки компонентов происходит автоматическое шифрование файлов конфигурации.
Для защиты системы рекомендуется выполнять шифрование файлов конфигурации после внесения окончательных правок.
Во время работы с системой может потребоваться редактирование фалов конфигурации. Для этого понадобится снятие шифрования и дальнейшее шифрование файлов конфигурации.
Это можно сделать с помощью утилиты на Windows или скрипта на Linux.
Шифрованию подлежат конфигурационные файлы компонентов Core, Idp, ProxyApp и Log Server.
Утилита на Windows
Снятие шифрования
Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
Запустите PowerShell от имени администратора.
Для снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
.\Pam.Tools.Configuration.Protector.exe unprotect
Для снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонента
Например:
.\Pam.Tools.Configuration.Protector.exe unprotect --component core
Снятие шифрования с файла, расположенного вне стандартной директории:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонента --file путь_к_файлу
Например:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json
Шифрование
Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
Запустите PowerShell от имени администратора.
Для шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
.\Pam.Tools.Configuration.Protector.exe protect
Для шифрования файлов конфигурации отдельных компонентов выполните команду:
.\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонента
Например:
.\Pam.Tools.Configuration.Protector.exe protect --component core
Шифрование файла, расположенного вне стандартной директории:
.\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонента --file путь_к_файлу
Например:
.\Pam.Tools.Configuration.Protector.exe protect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json.s
Скрипт на Linux
Снятие шифрования
Перейдите в директорию с файлом протектора
cd /etc/indeed/indeed-pam/tools
Для снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
bash protector.sh unprotect
Для снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:
bash protector.sh unprotect –component Имя_компонента
Например:
bash protector.sh unprotect –component core
Шифрование
Перейдите в директорию с файлом протектора
cd /etc/indeed/indeed-pam/tools
Для шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
bash protector.sh protect
Для шифрования файлов конфигурации отдельных компонентов выполните команду:
bash protector.sh protect –component Имя_компонента
Например:
bash protector.sh protect –component core
О механизме шифрования
Шифрование конфигурационных файлов (критичных файлов) Indeed PAM выполняется при помощи ключа шифрования AES-256 сгенерированного Data Protection API. Ключ сохраняется на сервере Indeed PAM и дополнительно шифруется Windows Data Protection API.
Расположение ключа:
- ОС Windows Server — %ProgramData%\Indeed\Pam\Keys
- ОС Linux — /etc/indeed/indeed-pam/keys
Право на использование директории предоставляется только приложениям Indeed PAM.