JumpServer 的 Privileged Account Management (PAM) 特权账号管理模块包含账号改密功能(账号改密 - JumpServer 文档)。该功能支持对指定账号、指定资产或节点下的资产进行批量、自动化的密码修改。每次改密操作都会被系统记录,方便后续审计。
对于 SQL Server 数据库账号的改密,其操作流程与系统账号改密类似,但需确保数据库资产已被 JumpServer 正确管理,并且使用了适当的协议和特权账号。
为确保 JumpServer 对 SQL Server 数据库的改密任务能成功执行,您需要满足以下前提条件:
| 前提条件类别 | 具体说明 |
|---|---|
| JumpServer 版本 | JumpServer v4.10.0 或更高版本(确保包含 PAM 模块)。 |
| 数据库协议与访问 | SQL Server 数据库资产需已正确添加到 JumpServer 中。确保 JumpServer 能够通过默认端口1433访问到托管 SQL Server 的 Windows 服务器。 |
| 特权账号托管 | 托管 SQL Server 的 Windows 服务器或 SQL Server 本身的特权账号(如 Windows 的 Administrator 或具有 sysadmin 权限的 SQL 登录名)必须已成功托管到 JumpServer 的该资产下。 |
| 启用改密选项 | 在 JumpServer 中,该特权账号必须勾选“可改密”选项。 |
以下是一个对 SQL Server 数据库账号 sa 进行改密的示例流程。
登录 JumpServer:使用具有管理员权限的账号登录 JumpServer Web 管理界面。
进入 PAM 改密功能:
在左侧导航栏中,找到并点击
PAM。接着选择
安全设置->账号改密。
创建改密任务:
在“账号改密任务”页面,点击
创建按钮。在创建页面中,填写或选择以下基本信息:
名称:为这个改密任务起一个易于识别的名字,例如
修改_SQL_Server_sa_密码。用户名:选择或输入需要修改密码的数据库账号,例如
sa。资产:选择托管 SQL Server 的目标服务器资产。
节点:如果需要修改某个节点下所有资产上的某个账号密码,可以选择节点。
密码策略 - 密文生成策略:
选择
随机:由 JumpServer 自动生成复杂密码。选择
指定:则由管理员手动输入新密码。
密码策略 - 密文类型:选择密码的类型。
密码:如果选择了“随机”生成策略,需设置密码生成规则(如长度、包含字符类型等)。
参数:此设置通常对 UNIX/Linux 资产有效,对于 Windows/SQL Server 改密,一般无需额外参数。
周期执行:如需定期自动改密,可在此设置执行周期(如每月1次)。
- 更改后检查连接:更新账号后自动检测可连接性
收件人:如需邮件通知,可选择接收改密结果(含加密密码文件)的用户。
4. 执行改密任务:
信息填写完整后,点击
提交按钮即可生成改密任务,在账号改密任务栏找到对应改密任务点击 执行 即可开始任务。如果设置了周期执行,任务会在预定时间自动运行。
5. 执行历史和记录查看
执行日志页面可以查看有关计划的帐户密码更改任务的详细信息,如执行日志和报告
执行记录页面主要显示已更改密码的每个账号的记录,您可以查看新旧密码并更改账号密码。查看新旧密码需要用户进行 MFA 验证。
4. 常见报错及处理办法
- 未找到待处理账户问题, 有两种可能的原因
- 由于 修改特权用户的密码 为高风险操作,所以 JumpServer 默认不允许修改特权用户(如sa)的密码;修改资产的特权账号密码的功能默认不开启,需管理员用户在配置文件中添加选项 CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false ,重启堡垒机服务后生效。
- 待修改账号信息输入错误,未在纳管的账号库中查询到该账户
- 目标资产没有托管特权账号,JumpServer 无法登录资产执行改密操作
