Como provisionar contas locais JIT do Windows com Kerberos via Ansible

Este documento fornece instruções sobre como configurar o suporte a contas Just-in-Time (JIT) utilizando o módulo Executions e o PAM Core. Este processo permite que uma conta local efêmera seja criada via Ansible utilizando a autenticação Kerberos, sendo removida automaticamente após o término da sessão.

Quando configurado no modo Criação e exclusão de credencial, múltiplos usuários podem utilizar a mesma credencial simultaneamente. Nesse caso, cada usuário recebe sua própria conta efêmera independente, sem compartilhamento de estado entre as sessões.

Requisitos

• Possuir permissão para criar novas credenciais de acesso na Segura® Platform.
• Dispositivos alvos Windows inseridos em um domínio.
• Possuir uma credencial de domínio com permissão para autenticar a criação.

Passo 1: Criar os templates de automação

Você precisará de dois templates distintos no módulo Executions para gerenciar o ciclo de vida da conta.

Template de criação

1. Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Executions.
2. No menu lateral, selecione Controle de templates > Templates.
3. Clique em Adicionar e preencha os seguintes campos:
   1. Nome*: informe o nome do template. ex: Windows JIT Kerberos - Create.
   2. Status: mantenha habilitado para ativar o template.
   3. Executor: selecione Ansible.
   4. Tipo de execução: selecione Criação de usuário.
   5. Playbook: selecione Windows Kerberos create local user.
   6. Inventory: selecione SNC-Windows-PSRP-Kerberos.
4. Clique em Salvar.

Template de exclusão

1. Ainda na tela de Templates, clique em Adicionar para criar o template de exclusão e preencha os seguintes campos:
   1. Nome*: informe o nome do template. ex: Windows JIT Kerberos - Delete.
   2. Status: mantenha habilitado para ativar o template.
   3. Executor: selecione Ansible.
   4. Tipo de execução: selecione Exclusão de usuário.
   5. Playbook: selecione Windows Kerberos delete local user.
   6. Inventory: selecione Windows-PSRP-Kerberos.
2. Clique em Salvar.

Passo 2: Configurar a autenticação e JIT no PAM Core

1. Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
2. No menu lateral, selecione Credenciais > Todas credenciais.
3. No canto superior direito, clique em Adicionar.
4. Na tela Cadastro da credencial, acesse a aba Informações e preencha os seguintes campos:
   1. Nome do usuário: informe o nome do usuário. ex: jit-kerberos-windows.
   2. Tipo de senha: selecione Local User.
   3. Dispositivo: selecione o dispositivo em que a conta será criada.
   4. Domínio: selecione o domínio preenchido inteiramente em letras maiúsculas.
   5. Informação Adicional: insira o hostname do KDC, no formato {"KDC": "hostname"}.
5. Acesse a aba Configurações Adicionais e preencha os seguintes campos:
   1. Campos adicionais para autenticação: clique em Adicionar.
   2. Nome: preencha com USE_KERBEROS.
   3. Valor: preencha com true.
6. Acesse a aba Configurações JIT e preencha os seguintes campos:
   1. Configuração de Just In Time: selecione a opção Ativo.
   2. Tipo de Just In Time: selecione a opção Criação e exclusão de credencial. Neste modo, múltiplos usuários podem ter concessões ativas simultaneamente para a mesma credencial. Cada concessão gera uma conta efêmera independente, com tempo de expiração próprio.
   3. Configuração de autenticação: desmarque a opção Utilizar a própria credencial para conectar.
   4. Credencial de autenticação: selecione a credencial de domínio que fará a autenticação da criação e deleção da conta. A credencial selecionada deve possuir permissão explícita para gerenciar usuários locais no alvo. Como a autenticação utiliza Kerberos, esta conta será validada diretamente no KDC.
7. Navegue até a seção Criação e exclusão de credencial e preencha os seguintes campos:
   1. Plugin de criação de credenciais: selecione Ansible.
   2. Template de criação de credencial: selecione o template configurado no passo 1.
   3. Plugin de remoção de credenciais: selecione Ansible.
   4. Template de remoção de credencial: selecione o template configurado no passo 1.
8. Clique em Continuar ou acesse a aba Revisão diretamente e clique em Salvar no final da página.

Uma mensagem de sucesso será exibida e a lista de credenciais será apresentada.

Passo 3: Validar a operação

1. Ainda na lista de credenciais, identifique a credencial recém-criada, clique no Menu de ações e selecione Iniciar sessão.
2. Aguarde a criação do usuário no ambiente Windows. Este processo pode levar alguns minutos, sendo inerente ao sistema operacional na configuração inicial do perfil.
3. Verifique em Executions > Operações de senha > Todas as operações se o processo de criação foi realizado e que a exclusão está com o status Aguardando aprovação. Ao realizar múltiplas concessões simultaneamente para uma mesma credencial, cada concessão exibe seu próprio solicitante, status e tempo de expiração, e é tratada de forma independente pelo sistema.
4. Após o encerramento da sessão, confirme se o processo de exclusão foi executado com sucesso, garantindo que a credencial efêmera foi removida.