Работа с паролями
Безопасность развернутых компонентов Kaspersky SD-WAN обеспечивают пароли. Вы можете сгенерировать пароли вручную. Если вы не генерируете пароли вручную, они генерируются автоматически при развертывании решения.
Пароли содержатся в следующих файлах:
- keystore.yml – пароли компонентов Kaspersky SD-WAN и их SSL-сертификатов.
- vault_password.txt – мастер-пароль.
Мы рекомендуем хранить файлы с паролями в защищенной директории, так как с их помощью злоумышленники могут получить доступ к развернутому решению.
После развертывания сгенерированные пароли автоматически помещаются в Docker-контейнеры компонентов Kaspersky SD-WAN. При взаимодействии друг с другом компоненты решения обмениваются паролями.
Ручная генерация паролей
Чтобы вручную сгенерировать пароли:
- Создайте директорию /passwords на устройстве администратора. Вам нужно указать путь к созданной директории в блоке
externalконфигурационного файла с помощью параметраvault_password_dirname. - Создайте файл keystore.yml и укажите в нем пароли с помощью следующих параметров:
ZABBIX_DB_SECRET– Root-пароль базы данных системы мониторинга Zabbix.MONGO_ADMIN_SECRET– пароль администратора базы данных MongoDB.MONGO_USER_SECRET– пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.CTL_CERT_SECRET– пароль SSL-сертификата контроллера.ORC_CERT_SECRET– пароль SSL-сертификата оркестратора.ORC_ENC_SECRET– пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.VNFM_CERT_SECRET– пароль SSL-сертификата VNFM.
Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра
ORC_ENC_SECRET, составляет хотя бы 16 символов. - Создайте файл vault_password.txt и укажите в нем мастер-пароль.
- Зашифруйте файл keystore.yml:
- Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:
ansible-vault encrypt --ask-vault-pass keystore.yml - Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:
ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml
- Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:
Пароли будут сгенерированы и зашифрованы.
Изменение паролей
Чтобы изменить пароли:
- Расшифруйте файл keystore.yml:
- Если вы хотите расшифровать файл keystore.yml в режиме attended, выполните команду:
ansible-vault decrypt --vault-password-file vault_password.txt keystore.yml - Если вы хотите расшифровать файл keystore.yml в режиме unattended, выполните команду:
ansible-vault encrypt --ask-vault-pass keystore.yml
- Если вы хотите расшифровать файл keystore.yml в режиме attended, выполните команду:
- Измените следующие пароли в файле keystore.yml:
ZABBIX_DB_SECRET– Root-пароль базы данных системы мониторинга Zabbix.MONGO_ADMIN_SECRET– пароль администратора базы данных MongoDB.MONGO_USER_SECRET– пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.CTL_CERT_SECRET– пароль SSL-сертификата контроллера.ORC_CERT_SECRET– пароль SSL-сертификата оркестратора.ORC_ENC_SECRET– пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.VNFM_CERT_SECRET– пароль SSL-сертификата VNFM.
Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра
ORC_ENC_SECRET, составляет хотя бы 16 символов. - Зашифруйте файл keystore.yml:
- Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:
ansible-vault encrypt --ask-vault-pass keystore.yml - Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:
ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml
- Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:
Пароли будут изменены и зашифрованы.
В начало