Como provisionar contas locais JIT do Windows com Kerberos via Ansible

Prev Next

Este documento fornece instruções sobre como configurar o suporte a contas Just-in-Time (JIT) utilizando o módulo Executions e o PAM Core. Este processo permite que uma conta local efêmera seja criada via Ansible utilizando a autenticação Kerberos, sendo removida automaticamente após o término da sessão.

Requisitos

  • Possuir permissão para criar novas credenciais de acesso na Segura® Platform.
  • Dispositivos alvos Windows inseridos em um domínio.
  • Possuir uma credencial de domínio com permissão para autenticar a criação.

Passo 1: Criar os templates de automação

Você precisará de dois templates distintos no módulo Executions para gerenciar o ciclo de vida da conta.

Template de criação

  1. Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Executions.
  2. No menu lateral, selecione Controle de templates > Templates.
  3. Clique em Adicionar e preencha os seguintes campos:
    • Nome*: informe o nome do template. ex: Windows JIT Kerberos - Create.
    • Status: mantenha habilitado para ativar o template.
    • Executor: selecione Ansible.
    • Tipo de execução: selecione Criação de usuário.
    • Playbook: selecione Windows Kerberos create local user.
    • Inventory: selecione SNC-Windows-PSRP-Kerberos.
  4. Clique em Salvar.
Info

Se o seu ambiente utiliza o Network Connector para alcançar o dispositivo alvo, selecione o playbook SNC Windows Kerberos create local user e o inventário SNC-Windows-PSRP-Kerberos.

Template de remoção

  1. Ainda na tela de Templates, clique em Adicionar para o criar o template de exclusão e preencha os seguintes campos:
    • Nome*: informe o nome do template. ex: Windows JIT Kerberos - Delete.
    • Status: mantenha habilitado para ativar o template.
    • Executor: selecione Ansible.
    • Tipo de execução: selecione Exclusão de usuário.
    • Playbook: selecione Windows Kerberos delete local user.
    • Inventory: selecione Windows-PSRP-Kerberos.
  2. Clique em Salvar.
Info

Se o seu ambiente utiliza o Network Connector para alcançar o dispositivo alvo, selecione o playbook SNC Windows Kerberos delete local user e o inventário SNC-Windows-PSRP-Kerberos.

Passo 2: Configurar a autenticação e JIT no PAM Core

Atenção

A credencial selecionada para autenticar a criação precisa ser um usuário de domínio e possuir permissão explícita para gerenciar usuários locais no alvo. Como a autenticação utiliza Kerberos, esta conta será validada diretamente no KDC.

  1. Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
  2. No menu lateral, selecione Credenciais > Todas credenciais.
  3. No canto superior direito, clique em Adicionar.
  4. Na tela Cadastro da credencial, acesse a aba Informações e preencha os seguintes campos:
    1. Nome do usuário: informe o nome do usuário. ex: jit-kerberos-windows.
    2. Tipo de senha: selecione Local User.
    3. Dispositivo: selecione o dispositivo em que a conta será criada.
    4. Domínio: preencha o domínio inteiramente em letras maiúsculas.
    5. Informação Adicional: insira o hostname do KDC, no formato {"KDC": "hostname"}.
  5. Acesse a aba Configurações Adicionais e preencha os seguintes campos:
    1. Campos adicionais para autenticação: clique em Adicionar.
    2. Name: preencha com USE_KERBEROS.
    3. Valor: preencha com true.
  6. Acesse a aba Configurações JIT e preencha os seguintes campos:
    1. Configuração de Just In Time: selecione a opção Ativo.
    2. Tipo de Just In Time: selecione a opção Criação e exclusão de credencial.
    3. Configuração de autenticação: desmarque a opção Utilizar a própria credencial para conectar.
    4. Credencial de autenticação: selecione a credencial de domínio que fará a autenticação da criação e deleção da conta.
  7. Navegue até a seção Criação e exclusão de credencial e preencha os seguintes campos:
    1. Plugin de criação de credenciais: selecione Ansible.
    2. Template de criação de credencial: selecione o template configurado no passo 1.
    3. Plugin de remoção de credenciais: selecione Ansible.
    4. Template de remoção de credencial: selecione o template configurado no passo 1.
  8. Clique em Continuar ou acesse a aba Revisão diretamente e clique em Salvar no final da página.

Uma mensagem de sucesso será exibida e a lista de credenciais será apresentada.

Info

Embora as máquinas estejam em um contexto de domínio para permitir a autenticação Kerberos, os usuários criados pelo playbook serão sempre locais no dispositivo alvo.

Passo 3: Validar a operação

  1. Ainda na lista de credenciais, identifique a credencial recém-criada e clique em Iniciar sessão no menu de ações localizado no canto direito.
  2. Aguarde a criação do usuário no ambiente Windows.
  3. Verifique em Executions > Operações de senha > Todas as operações se o processo de criação foi realizado e que a exclusão está com o status Aguardando aprovação.
  4. Após o encerramento da sessão, confirme se o processo de exclusão foi executado com sucesso, garantindo que a credencial efêmera foi destruída.
Info

A criação do usuário Windows pode levar alguns minutos. Este é um processo padrão inerente ao sistema operacional, necessário para a configuração inicial do perfil.

A Soberania Digital é um direito fundamental para os cidadãos, instituições e sociedade. É por isso que trabalhamos todos os dias.
Conecte-se conosco
SEGURA
LEARN
EXPLORE
Copyright © Segura. Todos os direitos reservados