Este documento fornece instruções sobre como configurar e realizar a troca de senhas de usuários locais em dispositivos Windows utilizando a autenticação Kerberos via Ansible na Segura® Platform. Esta implementação elimina a dependência de NTLM, alinhando-se às recomendações de segurança da Microsoft.
:::(warning) (Atenção) Para que o playbook funcione corretamente, é obrigatório seguir os padrões de nomenclatura de domínio e hostname descritos nos passos 2 e 3. :::
Requisitos
- Ser um usuário administrativo com permissão para criar/editar templates.
- Ter a credencial e o dispositivo cadastrados na plataforma.
Passo 1: Configurar o template de execução
- Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Executions.
- No menu lateral, selecione Controle de templates > Templates.
- Configure o template Ansible para a troca de senha.
- Se já existir um template Ansible para troca de senha de usuários locais Windows com NTLM, localize-o e clique em Editar no menu de ações à direita.
- Se não existir, clique em Adicionar no canto superior direito.
- Na tela Template de execução, preencha ou altere os seguintes campos:
- Nome*: informe o nome do template.
- Status: mantenha habilitado para ativar o template.
- Executor*: selecione a opção Ansible.
- Tipo de execução*: selecione a opção Troca de senha.
- Playbook: selecione a opção Windows Kerberos change local user password.
- Inventory: selecione a opção Windows-PSRP-Kerberos.
- Clique em Salvar.
Uma mensagem de sucesso será exibida e o template criado será listado no relatório.
Passo 2: Modificar a conectividade do dispositivo
:::(info) (Info) Mais informações em Como configurar um dispositivo. :::
- Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
- No menu lateral, selecione Dispositivos > Todos dispositivos.
- Localize o dispositivo desejado e clique em Editar no menu de ações à direita.
- Na tela Cadastro do dispositivo, acesse a aba Informações e preencha ou altere os seguintes campos:
- Nome do dispositivo*: deve ser preenchido com o FQDN.
- IP, Hostname ou URL de gerenciamento*: deve ser preenchido com o FQDN.
- Na aba Conectividades, clique em Adicionar para incluir uma nova conectividade.
- Tipo de conectividade: selecione a opção Windows RM.
- Porta: preencha com o valor
5985.
- Clique em Continuar até percorrer todas as abas, ou acesse a aba Revisão diretamente e clique em Salvar no final da página.
Uma mensagem de sucesso será exibida e a lista de dispositivos será apresentada.
Passo 3: Configurar a credencial
:::(info) (Info) Mais informações em Como configurar uma credencial. :::
- Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
- No menu lateral, selecione Credenciais > Todas credenciais.
- Localize a credencial desejada e clique em Editar no menu de ações à direita.
- Na tela Cadastro da credencial, preencha ou altere os seguintes campos:
- Domínio: preencha o domínio inteiramente em letras maiúsculas.
- Informação Adicional: insira o hostname do KDC, no formato
{"KDC": "hostname"}.
- Clique em Continuar até percorrer todas as abas, ou acesse a aba Revisão diretamente e clique em Salvar no final da página.
Uma mensagem de sucesso será exibida e a lista de credenciais será apresentada.
Passo 4: Solicitar a troca de senha
- Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Executions.
- No menu lateral, selecione Operações de senhas > Todas as operações.
- No canto superior direito, clique em Solicitar troca de senha.
- Na tela exibida, preencha os campos:
- Credencial*: selecione uma credencial disponível para troca.
- Data de agendamento*: selecione a data e o horário do agendamento.
- Clique em Salvar.
Na lista do relatório, a solicitação aparecerá com o status Agendada. No menu Ações da linha do registro, é possível selecionar Solicitar a execução imediata para sobrepor o agendamento e iniciar a tentativa de troca imediatamente.