一、概述
本文主要介绍如何在 JumpServer V4 PAM 中对 MySQL 数据库账号进行改密以及常见改密报错与报错处理方法。
JumpServer 的 Privileged Account Management (PAM) 特权账号管理模块包含账号改密功能(账号改密 - JumpServer 文档)。该功能支持对指定账号、指定资产或节点下的资产进行批量、自动化的密码修改。每次改密操作都会被系统记录,方便后续审计。
二、基于 PAM 实现 MySQL 数据库账号的改密
2.1 改密前提
对于 MySQL 数据库账号的改密,其操作流程与系统账号改密类似,但需确保数据库资产已被 JumpServer 正确管理,并且使用了适当的协议和特权账号。
为确保 JumpServer 对 MySQL 数据库的改密任务能成功执行,您需要满足以下前提条件:
| 前提条件类别 | 具体说明 |
|---|---|
| JumpServer 版本 | JumpServer v4.10.0 或更高版本(确保包含 PAM 模块)。 |
| 启用改密选项 | 在 JumpServer 中,该特权账号必须勾选“可改密”选项。 |
| 数据库协议与访问 | MySQL 数据库资产需已正确添加到 JumpServer 中。确保 JumpServer 能够通过默认端口3306访问到托管 MySQL 的 Windows 服务器。 |
| 特权账号托管 | 托管 MySQL 的 Windows 服务器或 MySQL 本身的特权账号(如 Windows 的 Administrator 或具有 root 权限的 SQL 登录名)必须已成功托管到 JumpServer 的该资产下。 |
2.2 改密流程
以下是一个对 MySQL 数据库账号 wpl 进行改密的示例流程。
登录 JumpServer:使用具有管理员权限的账号登录 JumpServer Web 管理界面。
进入 PAM 改密功能:
在左侧导航栏中,找到并点击 PAM
接着选择 安全设置 → 账号改密
创建改密任务:
在“账号改密任务”页面,点击 创建 按钮
在创建页面中,填写或选择以下基本信息:
名称:为这个改密任务起一个易于识别的名字,例如
修改_MySQL_wpl_密码用户名:选择或输入需要修改密码的数据库账号,例如 wpl
资产:选择托管 MySQL 的目标服务器资产
节点:如果需要修改某个节点下所有资产上的某个账号密码,可以选择节点
密码策略 - 密文生成策略:
选择 随机:由 JumpServer 自动生成复杂密码
选择 指定:则由管理员手动输入新密码
密码策略 - 密文类型:选择密码的类型
密码:如果选择了“随机”生成策略,需设置密码生成规则(如长度、包含字符类型等)
参数:此设置通常对 UNIX/Linux 资产有效,对于 Windows/MySQL 改密,一般无需额外参数
周期执行:如需定期自动改密,可在此设置执行周期(如每月1次)
- 更改后检查连接:更新账号后自动检测可连接性
收件人:如需邮件通知,可选择接收改密结果(含加密密码文件)的用户
执行改密任务:
信息填写完整后,点击 提交 按钮即可生成改密任务,在账号改密任务栏找到对应改密任务点击 执行 即可开始任务
如果设置了周期执行,任务会在预定时间自动运行
5. 执行历史、记录以及改密状态的查看
- 执行日志页面可以查看有关计划的帐户密码更改任务的详细信息,如执行日志和报告
- 执行记录页面主要显示已更改密码的每个账号的记录,您可以查看新旧密码并更改账号密码。查看新旧密码需要用户进行 MFA 验证
- 改密状态页面主要展示当前所有正在执行改密任务,包括执行 ID、资产、用户名、状态以及剩余时间等
三.常见报错及处理办法
- 未找到待处理账户问题, 有两种可能的原因
- 由于 修改特权用户的密码 为高风险操作,所以 JumpServer 默认不允许修改特权用户(如 root)的密码;修改资产的特权账号密码的功能默认不开启,需管理员用户在配置文件中添加选项 CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false ,重启堡垒机服务后生效。
- 待修改账号信息输入错误,未在纳管的账号库中查询到该账户。
- 目标资产没有托管特权账号,JumpServer 无法登录资产执行改密操作。