Шифрование паролей и секретов
По умолчанию, для дополнительной защиты системы, во время установки компонентов происходит автоматическое шифрование файлов конфигурации.
Для защиты системы рекомендуется выполнять шифрование файлов конфигурации после внесения окончательных правок.
Во время работы с системой может потребоваться редактирование фалов конфигурации. Для этого понадобится снятие шифрования и дальнейшее шифрование файлов конфигурации.
Это можно сделать с помощью утилиты на Windows или скрипта на Linux.
Шифрованию подлежат конфигурационные файлы компонентов Core, Idp, ProxyApp и Log Server.
Утилита на Windows
Снятие шифрования
Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
Запустите PowerShell от имени администратора.
Для снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
.\Pam.Tools.Configuration.Protector.exe unprotectДля снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонентаНапример:
.\Pam.Tools.Configuration.Protector.exe unprotect --component coreСнятие шифрования с файла, расположенного вне стандартной директории:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Имя_компонента --file путь_к_файлуНапример:
.\Pam.Tools.Configuration.Protector.exe unprotect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json.
Шифрование
Перейдите в каталог с дистрибутивом PAM по пути ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
Запустите PowerShell от имени администратора.
Для шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
.\Pam.Tools.Configuration.Protector.exe protectДля шифрования файлов конфигурации отдельных компонентов выполните команду:
.\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонентаНапример:
.\Pam.Tools.Configuration.Protector.exe protect --component coreШифрование файла, расположенного вне стандартной директории:
.\Pam.Tools.Configuration.Protector.exe protect --component Имя_компонента --file путь_к_файлуНапример:
.\Pam.Tools.Configuration.Protector.exe protect --component Core --file C:\inetpub\wwwroot\pam\core\appsettings.json
Стандартной директорией файлов конфигурации является директория C:\inetpub\wwwroot\pam\имя_компонента\appsettings.json
Скрипт на Linux
Снятие шифрования
Перейдите в директорию с файлом протектора
cd /etc/indeed/indeed-pam/toolsДля снятия шифрования со всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
bash protector.sh unprotectДля снятия шифрования с файлов конфигурации отдельных компонентов выполните команду:
bash protector.sh unprotect –component Имя_компонентаНапример:
bash protector.sh unprotect –component core
Шифрование
Перейдите в директорию с файлом протектора:
cd /etc/indeed/indeed-pam/toolsДля шифрования всех файлов конфигурации, расположенных в стандартных директориях, выполните команду:
bash protector.sh protectДля шифрования файлов конфигурации отдельных компонентов выполните команду:
bash protector.sh protect –component Имя_компонентаНапример:
bash protector.sh protect –component core
О механизме шифрования
Шифрование конфигурационных файлов (критичных файлов) Indeed PAM выполняется при помощи ключа шифрования AES-256 сгенерированного Data Protection API. Ключ сохраняется на сервере Indeed PAM и дополнительно шифруется Windows Data Protection API.
Расположение ключа:
- ОС Windows Server — %ProgramData%\Indeed\Pam\Keys
- ОС Linux — /etc/indeed/indeed-pam/keys
Право на использование директории предоставляется только приложениям Indeed PAM.