AAPM (Application to Application Password Manager)

Informacje ogólne

Moduł AAPM umożliwia bezpieczne przesyłanie haseł pomiędzy aplikacjami.

Kluczowym elementem modułu AAPM jest skrypt fudopv. Skrypt jest instalowany na serwerze aplikacyjnym i komunikuje się z modułem Secret Manager w celu pobrania haseł dostępu.

W komunikacji z Wheel Fudo PAM, skrypt fudopv jest uwierzytelniany na podstawie adresu IP oraz hasła jednorazowego/statycznego.

fudopv

Parametry wywołania

fudopv [<opcje>] <komenda> [<parametry>]

Komenda/opcja/parametr Opis
Komendy  
getcert Pobierz certyfikat SSL Wheel Fudo PAM.
getpass <typ> <konto>

Pobierz hasło do wybranego konta.

typ:

  • direct - połączenie bezpośrednie, niemonitorowane;
  • fudo - połączenie monitorowane przez moduł PSM
Opcje  
-c <ścieżka> Użyj pliku konfiguracyjnego znajdującego się we wskazanej lokalizacji.
--cfg <ścieżka>  
-h, --help Wyświetl listę opcji i parametrów wywołania skryptu.
  1. Umieść na serwerze skrypt fudopv i nadaj mu prawa wykonywalności.
../../_images/chmod.png
  1. Zaloguj się do panelu administracyjnego Wheel Fudo PAM.
  2. Stwórz konto użytkownika o roli user, uwierzytelnianego hasłem statycznym lub jednorazowym i dodanym adresem IP serwera w sekcji API.

Informacja

  • Wybierz z lewego menu Zarządzanie > Użytkownicy.
  • Kliknij Dodaj.
  • Wprowadź nazwę użytkownika.
  • Określ termin ważności konta.
  • Z listy rozwijalnej Rola, wybierz user.
  • Przypisz użytkownikowi sejf i kliknij obiekt, aby wywołać jego właściwości.
../../_images/user_edit_safe.png
  • Zaznacz opcję Pokaż hasło.
../../_images/reveal_password.png
  • W sekcji Uwierzytelnienie, z listy rozwijalnej Typ, wybierz Hasło lub Hasło jednorazowe.
  • Dla uwierzytelnienia hasłem, wprowadź hasło w polach Hasło i Powtórz hasło.
  • W sekcji API, kliknij i i wpisz adres IP serwera, na którym uruchamiane będzie skrypt fudopv.
  • Kliknij Zapisz.
  1. Wykonaj komendę fudopv getcert, aby zainicjować konfigurację narzędzia.
../../_images/getcert_first_run.png
  1. Otwórz plik fudopv.cfg, aby skonfigurować skrypt pobierania haseł.
../../_images/fudopv_cfg.png
Sekcja Opis
[FUDO]  
address Adres IP Wheel Fudo PAM.
cert_path Ścieżka pliku z certyfikatem SSL Wheel Fudo PAM.
   
[CONN]  
bind_ip Adres IP serwera, na którym uruchamiany jest skrypt fudopv. Adres IP musi być taki sam jak podany w sekcji API w konfiguracji użytkownika.
   
[AUTH]  
username Nazwa obiektu użytkownika zdefiniowanego w kroku 3.
otp Ścieżka pliku z hasłem jednorazowym, w przypadku gdy użytkownik jest uwierzytelniany hasłem jednorazowym.
secret Lokalizacja pliku z hasłem statycznym, w przypadku uwirzytelnienia hasłem.

Informacja

  • W sekcji [FUDO], w linii address, wprowadź adres IP Wheel Fudo PAM.
  • Linię cert_path pozostaw bez zmian, zostanie ona uzupełniona automatycznie przy okazji poprawnego wykonania komendy fudopv getcert.
  • W sekcji [CONN], odkomentuj linię bind_ip i wprowadź adres IP serwera, na którym wykonywany jest skrypt fudopv.
  • W sekcji [AUTH], w linii username, uzupełnij nazwę konta obiektu użytkownik, stworzonego w kroku 3.
  • W zależności od wybranego sposobu uwierzytelnienia, zakomentuj linię odpowiadającą wybranej metodzie.

Na przykład:

[FUDO]
address=10.0.0.8.61
cert_path=<CERT_PATH>

#[CONN]
bind_ip=10.0.0.8.11

[AUTH]
username=fudopv
#otp=/Users/zmroczkowski/.fudopv/otp.txt
secret=/Users/zmroczkowski/.fudopv/secret.txt
  1. Wykonaj komendę fudopv getcert, aby pobrać certyfikat Wheel Fudo PAM.
../../_images/sha.png

Informacja

Po prawidłowym wykonaniu komendy, ścieżka certyfikatu w pliku konfiguracyjnym zostanie automatycznie uzupełniona.

../../_images/fudopv_cfg_cert.png
  1. W pliku secret.txt, zapisz hasło konta użytkownika; lub w pliku otp.txt zapisz jednorazowe hasło dostępu.

Informacja

Aby uzyskać hasło jednorazowe, wybierz użytkownika z listy obiektów i przejdź do sekcji Uwierzytelnienie.

../../_images/user_edit_otp.png
  1. Wykonaj komendę:
  • fudopv getpass direct <nazwa_konta>, aby pobrać hasło do nawiązania bezpośredniego połączenia z serwerem.
../../_images/getpass_direct.png
  • fudopv getpass fudo <nazwa_konta>, aby pobrać hasło do nawiązania połączenia monitorowanego przez moduł PSM.
../../_images/getpass_fudo.png

Ostrzeżenie

Prawidłowe działanie skryptu fudopv wymaga wyłączenia we właściwościach sejfu, opcji wymuszania na użytkowniku podania powodu logowania przy nawiązywaniu połączenia z serwerem docelowym.

../../_images/safe_login_reason.png

Interfejs API

Interfejs API modułu AAPM jest opisany w dokumencie Wheel Fudo PAM 3.1 - API documentation.


Tematy pokrewne: