JumpServer: Смена секретов учётных записей (Change Secrets)

Функция Enterprise Edition. Требует JumpServer Enterprise Edition.

Смена секретов — массовое изменение паролей и SSH-ключей учётных записей на хостах. Поддерживает ротацию по расписанию с журналом аудита и email-уведомлениями.

Как это работает: обязательные предварительные условия

Прежде чем создавать задачу, необходимо правильно настроить учётные записи на активе.

Привилегированный аккаунт (привилегированная УЗ)

Смена пароля выполняется от имени отдельной привилегированной учётной записи, а не от самой себя. Для этого:

• На активе должна быть добавлена учётная запись с флагом Privileged (привилегированная)
• Именно от её имени JumpServer будет подключаться к хосту и менять пароли других УЗ
  

  

  
  

Флаг "Сброс секрета" на целевой УЗ

На учётной записи, пароль которой нужно ротировать, должна быть включена галочка Сброс секрета (Secret reset) — она разрешает JumpServer изменять секрет этой УЗ

Режим смены пароля от имени самой себя (опционально)

По умолчанию JumpServer требует отдельную привилегированную УЗ. Если нужно разрешить УЗ менять пароль от своего имени (самой себе), нужно отключить безопасный режим в конфиге:

# /opt/jumpserver/config/config.txt (или config.env)
CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false

После изменения конфига требуется перезапуск JumpServer:

jmsctl restart

Создание задачи смены секретов

1. В верхнем левом углу выберите организацию, перейдите в PAM.

2. В левом меню — Смена секретов (Change secrets).

3. Вкладка Задачи смены секретов (Change secret tasks) → + Создать.

4. Имя (Name) — название задачи.

5. Учётные записи (Accounts) — имена УЗ, которым меняем секреты.

6. Активы (Assets) — выбрать активы; задача применится ко всем УЗ на них.

7. Папки(Nodes) — выбрать узлы; задача применится ко всем УЗ в папках и подпапках.

8. Стратегия секрета (Secret strategy):

   • Указанный секрет (Specific secret) — задать вручную
   • Случайно созданный (Random generate) — сгенерировать автоматически

9. Тип секрета (Secret type) — Пароль (Password) или SSH-ключ (SSH key).

10. (Конкретный секрет + Пароль) Пароль — ввести пароль вручную.

11. (SSH-ключ) Стратегия SSH-ключа (SSH key strategy):

    • Replace — заменяет только ключи, ранее загруженные через JumpServer
    • Empty and append SSH KEY — удаляет все ключи и добавляет новый

12. (Конкретный секрет + SSH-ключ) Приватный ключ — вставить приватный ключ.

13. (Конкретный секрет + SSH-ключ) Пароль ключа — пароль от приватного ключа (если есть).

14. (Случайная генерация + Пароль) Правила пароля (Password rules) — длина, регистр, цифры, спецсимволы, исключения.

15. Параметры (Parameters) — дополнительные параметры смены секретов. (Доступны только для активов типа Host.)

16. Периодичность (Periodic) — включить выполнение по расписанию.

17. Проверка подключения после изменения (Check connection after change) — верифицировать подключение после задачи.

18. Активна (Active) — включить задачу.

19. Описание (Description) — описание задачи.

20. Отправить (Submit).
    

    

Краткий чек-лист перед запуском

• На активе добавлена привилегированная УЗ с флагом Privileged
• На целевой УЗ включён флаг Secret reset
• Если нужна смена от имени самой УЗ — в конфиге нужно добавить параметр:
  

  CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false

  и перезапускаем JumpServer:
  
  
• Задача создана и активна