Was ist ein Konto?
Ein Konto ist die Identität, die VaultPAM auf dem Zielsystem verwendet. Das Konto ist nicht dasselbe wie die Anmeldeinformation, die es entsperrt. VaultPAM hält diese Unterscheidung ausdrücklich aufrecht, damit Sie Anmeldeinformationen rotieren, Richtlinien anwenden und die Nutzung prüfen können, ohne das gesamte Zugriffsmodell neu aufzubauen.
Konto versus Anmeldeinformation
- Konto: die Anmeldeidentität auf dem Ziel, etwa
root,Administratoroder ein benanntes Dienstkonto. - Anmeldeinformation: das Passwort oder der Schlüssel, der den Besitz dieses Kontos nachweist.
Diese Trennung ermöglicht es Ihnen, das Konto stabil zu halten, während Sie das darunterliegende Geheimnis ändern.
Statische und Just-in-Time-Anmeldeinformationen
Einige Safes verwenden ein statisches Passwort, das über einen längeren Zeitraum besteht. Andere verwenden Just-in-Time-Anmeldeinformationen, die durch OpenBao gestützt werden. Im JIT-Modell fordert VaultPAM das Geheimnis an, wenn die Sitzung startet, und schleust es am Proxy ein. Das Geheimnis muss niemals in eine benutzerverwaltete Zwischenablage kopiert werden.
Wie VaultPAM die Anmeldeinformation bereitstellt
VaultPAM bindet das Konto an einen Safe. Wenn ein Mitglied eine Sitzung startet, übernehmen der Connector und der Proxy die Übergabe der Anmeldeinformation. Der Benutzer sieht die Sitzung, nicht das Passwort. Wenn die Safe-Richtlinie den Zugriff auf die Zwischenablage blockiert, bleibt die Anmeldeinformation für den Benutzer vollständig unsichtbar.
Dieses Modell verringert das Risiko durchgesickerter Geheimnisse und vereinfacht das Offboarding. Sie entziehen Zugriff, indem Sie die Safe-Mitgliedschaft aktualisieren oder die Kontobindung ersetzen, nicht indem Sie demselben Passwort über ein Dutzend Systeme hinweg nachjagen.