AAPM (Application to Application Password Manager)¶
Informacje ogólne¶
Moduł AAPM umożliwia bezpieczne przesyłanie haseł pomiędzy aplikacjami.
Kluczowym elementem modułu AAPM jest skrypt fudopv. Skrypt jest instalowany na serwerze aplikacyjnym i komunikuje się z modułem Secret Manager w celu pobrania haseł dostępu.
W komunikacji z Wheel Fudo PAM, skrypt fudopv jest uwierzytelniany na podstawie adresu IP oraz hasła jednorazowego/statycznego.
fudopv¶
Parametry wywołania
fudopv [<opcje>] <komenda> [<parametry>]
| Komenda/opcja/parametr | Opis |
|---|---|
| Komendy | |
getcert |
Pobierz certyfikat SSL Wheel Fudo PAM. |
getpass <typ> <konto> |
Pobierz hasło do wybranego konta. typ:
|
| Opcje | |
-c <ścieżka> |
Użyj pliku konfiguracyjnego znajdującego się we wskazanej lokalizacji. |
--cfg <ścieżka> |
|
-h, --help |
Wyświetl listę opcji i parametrów wywołania skryptu. |
- Umieść na serwerze skrypt
fudopvi nadaj mu prawa wykonywalności.
- Zaloguj się do panelu administracyjnego Wheel Fudo PAM.
- Stwórz konto użytkownika o roli
user, uwierzytelnianego hasłem statycznym lub jednorazowym i dodanym adresem IP serwera w sekcji API.
Informacja
- Wybierz z lewego menu > .
- Kliknij .
- Wprowadź nazwę użytkownika.
- Określ termin ważności konta.
- Z listy rozwijalnej Rola, wybierz
user. - Przypisz użytkownikowi sejf i kliknij obiekt, aby wywołać jego właściwości.
- Zaznacz opcję Pokaż hasło.
- W sekcji Uwierzytelnienie, z listy rozwijalnej Typ, wybierz
HasłolubHasło jednorazowe. - Dla uwierzytelnienia hasłem, wprowadź hasło w polach Hasło i Powtórz hasło.
- W sekcji API, kliknij i i wpisz adres IP serwera, na którym uruchamiane będzie skrypt
fudopv. - Kliknij .
- Wykonaj komendę
fudopv getcert, aby zainicjować konfigurację narzędzia.
- Otwórz plik
fudopv.cfg, aby skonfigurować skrypt pobierania haseł.
| Sekcja | Opis |
|---|---|
[FUDO] |
|
address |
Adres IP Wheel Fudo PAM. |
cert_path |
Ścieżka pliku z certyfikatem SSL Wheel Fudo PAM. |
[CONN] |
|
bind_ip |
Adres IP serwera, na którym uruchamiany jest skrypt fudopv. Adres IP musi być taki sam jak podany w sekcji API w konfiguracji użytkownika. |
[AUTH] |
|
username |
Nazwa obiektu użytkownika zdefiniowanego w kroku 3. |
otp |
Ścieżka pliku z hasłem jednorazowym, w przypadku gdy użytkownik jest uwierzytelniany hasłem jednorazowym. |
secret |
Lokalizacja pliku z hasłem statycznym, w przypadku uwirzytelnienia hasłem. |
Informacja
- W sekcji
[FUDO], w liniiaddress, wprowadź adres IP Wheel Fudo PAM. - Linię
cert_pathpozostaw bez zmian, zostanie ona uzupełniona automatycznie przy okazji poprawnego wykonania komendyfudopv getcert. - W sekcji
[CONN], odkomentuj liniębind_ipi wprowadź adres IP serwera, na którym wykonywany jest skryptfudopv. - W sekcji
[AUTH], w liniiusername, uzupełnij nazwę konta obiektu użytkownik, stworzonego w kroku 3. - W zależności od wybranego sposobu uwierzytelnienia, zakomentuj linię odpowiadającą wybranej metodzie.
Na przykład:
[FUDO]
address=10.0.0.8.61
cert_path=<CERT_PATH>
#[CONN]
bind_ip=10.0.0.8.11
[AUTH]
username=fudopv
#otp=/Users/zmroczkowski/.fudopv/otp.txt
secret=/Users/zmroczkowski/.fudopv/secret.txt
- Wykonaj komendę
fudopv getcert, aby pobrać certyfikat Wheel Fudo PAM.
Informacja
Po prawidłowym wykonaniu komendy, ścieżka certyfikatu w pliku konfiguracyjnym zostanie automatycznie uzupełniona.
- W pliku
secret.txt, zapisz hasło konta użytkownika; lub w plikuotp.txtzapisz jednorazowe hasło dostępu.
Informacja
Aby uzyskać hasło jednorazowe, wybierz użytkownika z listy obiektów i przejdź do sekcji Uwierzytelnienie.
- Wykonaj komendę:
fudopv getpass direct <nazwa_konta>, aby pobrać hasło do nawiązania bezpośredniego połączenia z serwerem.
fudopv getpass fudo <nazwa_konta>, aby pobrać hasło do nawiązania połączenia monitorowanego przez moduł PSM.
Ostrzeżenie
Prawidłowe działanie skryptu fudopv wymaga wyłączenia we właściwościach sejfu, opcji wymuszania na użytkowniku podania powodu logowania przy nawiązywaniu połączenia z serwerem docelowym.
Interfejs API¶
Interfejs API modułu AAPM jest opisany w dokumencie Wheel Fudo PAM 3.1 - API documentation.
Tematy pokrewne: