15-自动化改密配置举例
本章节下载 (2.07 MB)
自动化改密可以实现对目标设备的系统账号的密码的自动修改、自动备份。
密码备份支持邮件服务器发送与文件服务器上传两种方式,选择一种即可。
(1) 设置SMTP
使用超级管理员登录,打开[策略配置/系统策略]页面,在系统邮件配置中填写SMTP服务器地址与用户名密码。
图1 设置SMTP
点击<测试>按钮,可以测试邮件是否可以正常发送。
图2 测试
默认情况下运维审计系统使用内置的SMTP,但是需要正确配置运维审计系统的DNS服务器。
如果使用其它SMTP,需提供正确的SMTP信息及用户名密码。
(2) 设置密码保管员邮件地址
使用超级管理员登录,打开[基本控制/用户账号]页面,找到密码管理员用户,点击<管理>按钮,添加邮件地址。
图3 设置密码保管员邮件地址
使用超级管理员登录,打开[策略配置/系统策略]页面,在文件服务器配置中的文件服务器1,协议支持“ftp或sftp”,剩余填写服务信息即可。
图4 设置文件服务器
文件服务器中使用的用户需要具有创建目录与创建文件的权限,否则会由于权限错误导致传输失败。
使用密码保管员登录,把鼠标移动到右上角账号名字上,在弹出的下拉菜单中选择[账户设置],输入当前登录密码后点击<确定>按钮,进入账户设置页面。
图5 设置加密密码
在账户设置页面中,选择<信息交换加密方式>选项卡,在ZIP文件密码中输入用于打开保存改密结果的压缩包。
图6 设置加密密码
在使用系统默认的改密脚本进行改密时,系统是通过登录设备的特权账号,再去改需要改密的账号密码。所以设备的托管账号必须托管密码,且登录测试成功,才可对设备账号进行改密。
若无设备的特权账号密码,可采用自定义改密方式进行改密,在自定义改密方式中不勾选特权改密选项即可,具体见章节3.4.2。
图7 运维审计系统组网图
适用产品版本:ESS 6101。
· 托管root密码,并保证登录测试成功
· 创建改密计划,定期修改设备密码。
(1) 使用配置管理员登录,打开[基本控制/目标设备],找到要改密的设备点击<密码管理>按钮。
图8 密码管理
(2) 托管特权账号root密码,并可以登录测试成功。
图9 登录测试
(3) 打开[密码控制/改密计划],点击<新建计划>按钮,创建定期改密计划。
图10 创建定期改密计划
(4) 设置好的改密计划会按照预期时间进行修改,也可以通过手动方式立即执行。
图11 立即执行
只有同时具备配置管理员和密码保管员权限的用户才可以手工设置密码。
以下以H3C Comware Device设备类型进行举例说明,且以自定义改密方式进行配置。
· 托管特权账号admin密码,并保证登录测试成功
· 托管普通账号hxj密码,并保证登录测试成功
· 添加自定义改密方式H3C-switch
· 将H3C Comware Device设备类型与自定义改密方式H3C-switch关联
· 创建改密计划,定期修改设备密码。
(1) 使用配置管理员登录,打开[基本控制/目标设备],找到要改密的设备点击<密码管理>按钮。
图12 密码管理
(2) 托管特权账号admin密码,并可以登录测试成功。
图13 特权账号登录测试
(3) 托管普通账号admin密码,并可以登录测试成功。
图14 普通账号登录测试
(4) 使用超级管理员打开[策略配置/改密方式],添加改密方式,如图15所示。其中需要注意的是特权改密勾选项,若勾选,则设备必须托管特权账号密码,且登录测试成功;若不勾选,可不托管特权账号密码。系统账号若留空,则针对所有系统账号均可改密;若选定某系统账号,则只针对此账号进行改密。
图15 自定义改密方式
(5) 使用超级管理员在[策略配置/设备类型]将H3C Comware Device设备类型与自定义改密方式H3C-switch关联,如图16所示。
图16 自定义改密与设备类型关联
(6) 打开[密码控制/改密计划],点击<新建计划>按钮,创建定期改密计划。
图17 创建定期改密计划
(7) 设置好的改密计划会按照预期时间进行修改,也可以通过手动方式立即执行。
图18 立即执行
· 在目标设备上安装Winsync程序。
· 创建改密计划,定期修改设备密码。
(1) 登录目标设备,安装winsync程序,保持默认安装即可。
图19 安装winsync程序
(2) 在开始菜单中打开“配置WinSync”工具,填写允许连接的来源IP地址,多个地址时使用分号分隔。
图20 填写登录参数
配置管理员和密码保管员可以在工具下载页面获取Winsync工具。
需使用超级管理员权限安装,并确保SecPath运维审计系统可以连接目标设备的5156端口。
(3) 在开始菜单中点击“重启WinSync”,重启后配置即可生效。若RDP设备改密仍不能与WinSync连接成功,可参考章节4 1. 进行静默安装WinSync工具。
(4) 使用配置管理员登录,打开[基本控制/目标设备],找到要改密的设备点击<密码管理>按钮。
图21 密码管理
(5) 托管特权账号administrator密码,并可以登录测试成功。
图22 登录测试
(6) 打开[密码控制/改密计划],点击<新建计划>按钮,创建定期改密计划。
图23 创建定期改密计划
(7) 设置好的改密计划会按照预期时间进行修改,也可以通过手动方式立即执行。
图24 立即执行
(1) 使用超级管理员登录,打开[策略配置/设备密码],在密码备份规则中勾选“文件服务器”选项。
图25 备份密码到文件服务
(2) 使用密码保管员登录,打开[密码控制/密码备份],点击<上传全部密码>按钮,在弹出的窗口中选择要上传的服务器即可。
图26 备份密码到文件服务
(1) 打开CMD工具,进入到Winsync存放路径。
图27 进入到Winsync存放路径
(2) 输入静默安装命令,并指定来源地址。
图28 输入静默安装命令,并指定来源地址
(3) WinSync静默安装到默认路径,并指定来源地址为192.168.7.72。
图29 配置登录参数
安装时指定参数 /verysilent 为静默安装,/allow_ip=ip;ip;ip则可指定允许连接的来源地址,多个地址用分号隔开。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!