Como provisionar contas locais JIT do Windows com Kerberos via Ansible

Este documento fornece instruções sobre como configurar o suporte a contas Just-in-Time (JIT) utilizando o módulo Executions e o PAM Core. Este processo permite que uma conta local efêmera seja criada via Ansible utilizando a autenticação Kerberos, sendo removida automaticamente após o término da sessão.

Quando configurado no modo Criação e exclusão de credencial, múltiplos usuários podem utilizar a mesma credencial simultaneamente. Nesse caso, cada usuário recebe sua própria conta efêmera independente, sem compartilhamento de estado entre as sessões.

Requisitos

Possuir permissão para criar novas credenciais de acesso na Segura® Platform.
Dispositivos alvos Windows inseridos em um domínio.
Possuir uma credencial de domínio com permissão para autenticar a criação.

Passo 1: Criar os templates de automação

Você precisará de dois templates distintos no módulo Executions para gerenciar o ciclo de vida da conta.

Template de criação

Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Executions.
No menu lateral, selecione Controle de templates > Templates.
Clique em Adicionar e preencha os seguintes campos:
1. Nome*: informe o nome do template. ex: Windows JIT Kerberos - Create.
2. Status: mantenha habilitado para ativar o template.
3. Executor: selecione Ansible.
4. Tipo de execução: selecione Criação de usuário.
5. Playbook: selecione Windows Kerberos create local user.
6. Inventory: selecione SNC-Windows-PSRP-Kerberos.
Clique em Salvar.

Info

Se o seu ambiente utiliza o Network Connector para alcançar o dispositivo alvo, selecione o playbook SNC Windows Kerberos create local user e o inventário SNC-Windows-PSRP-Kerberos.

Template de exclusão

Ainda na tela de Templates, clique em Adicionar para criar o template de exclusão e preencha os seguintes campos:
1. Nome*: informe o nome do template. ex: Windows JIT Kerberos - Delete.
2. Status: mantenha habilitado para ativar o template.
3. Executor: selecione Ansible.
4. Tipo de execução: selecione Exclusão de usuário.
5. Playbook: selecione Windows Kerberos delete local user.
6. Inventory: selecione Windows-PSRP-Kerberos.
Clique em Salvar.

Info

Se o seu ambiente utiliza o Network Connector para alcançar o dispositivo alvo, selecione o playbook SNC Windows Kerberos delete local user e o inventário SNC-Windows-PSRP-Kerberos.

Passo 2: Configurar a autenticação e JIT no PAM Core

Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
No menu lateral, selecione Credenciais > Todas credenciais.
No canto superior direito, clique em Adicionar.
Na tela Cadastro da credencial, acesse a aba Informações e preencha os seguintes campos:
1. Nome do usuário: informe o nome do usuário. ex: jit-kerberos-windows.
2. Tipo de senha: selecione Local User.
3. Dispositivo: selecione o dispositivo em que a conta será criada.
4. Domínio: selecione o domínio preenchido inteiramente em letras maiúsculas.
5. Informação Adicional: insira o hostname do KDC, no formato {"KDC": "hostname"}.
Acesse a aba Configurações Adicionais e preencha os seguintes campos:
1. Campos adicionais para autenticação: clique em Adicionar.
2. Nome: preencha com USE_KERBEROS.
3. Valor: preencha com true.
Acesse a aba Configurações JIT e preencha os seguintes campos:
1. Configuração de Just In Time: selecione a opção Ativo.
2. Tipo de Just In Time: selecione a opção Criação e exclusão de credencial. Neste modo, múltiplos usuários podem ter concessões ativas simultaneamente para a mesma credencial. Cada concessão gera uma conta efêmera independente, com tempo de expiração próprio.
Atenção

Um mesmo usuário não pode ter 2 concessões JIT ativas simultaneamente para a mesma credencial. A segunda solicitação será negada enquanto a primeira estiver ativa.
1. Configuração de autenticação: desmarque a opção Utilizar a própria credencial para conectar.
2. Credencial de autenticação: selecione a credencial de domínio que fará a autenticação da criação e deleção da conta. A credencial selecionada deve possuir permissão explícita para gerenciar usuários locais no alvo. Como a autenticação utiliza Kerberos, esta conta será validada diretamente no KDC.
Navegue até a seção Criação e exclusão de credencial e preencha os seguintes campos:
1. Plugin de criação de credenciais: selecione Ansible.
2. Template de criação de credencial: selecione o template configurado no passo 1.
3. Plugin de remoção de credenciais: selecione Ansible.
4. Template de remoção de credencial: selecione o template configurado no passo 1.
Clique em Continuar ou acesse a aba Revisão diretamente e clique em Salvar no final da página.

Uma mensagem de sucesso será exibida e a lista de credenciais será apresentada.

Info

Embora as máquinas estejam em um contexto de domínio para permitir a autenticação Kerberos, os usuários criados pelo playbook serão sempre locais no dispositivo alvo.

Passo 3: Validar a operação

Ainda na lista de credenciais, identifique a credencial recém-criada, clique no Menu de ações e selecione Iniciar sessão.
Aguarde a criação do usuário no ambiente Windows. Este processo pode levar alguns minutos, sendo inerente ao sistema operacional na configuração inicial do perfil.
Verifique em Executions > Operações de senha > Todas as operações se o processo de criação foi realizado e que a exclusão está com o status Aguardando aprovação. Ao realizar múltiplas concessões simultaneamente para uma mesma credencial, cada concessão exibe seu próprio solicitante, status e tempo de expiração, e é tratada de forma independente pelo sistema.
Após o encerramento da sessão, confirme se o processo de exclusão foi executado com sucesso, garantindo que a credencial efêmera foi removida.

Atenção

Se a criação da conta demorar excessivamente ou apresentar erro, você pode validar o log detalhado do Ansible em Executions > Automação de operações > Execuções. Localize a tarefa, clique no ícone de Detalhes e verifique a aba Saída padrão (stdout) para identificar em qual task a automação foi interrompida.