Skip to main content
OnCommand Insight
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Strumento securityadmin

Collaboratori
PDF

OnCommand Insight fornisce funzionalità che consentono agli ambienti Insight di operare con una maggiore sicurezza. Queste funzioni includono crittografia, hash delle password e la possibilità di modificare le password interne degli utenti e le coppie di chiavi che crittografano e decrittografano le password. È possibile gestire queste funzionalità su tutti i server dell'ambiente Insight utilizzando securityadmin Tool.

Che cos'è lo strumento securityadmin?

Lo strumento di amministrazione della protezione supporta l'esecuzione di modifiche al contenuto dei vault e l'esecuzione di modifiche coordinate all'installazione di OnCommand Insight.

Gli usi principali dello strumento securityadmin sono Backup e Restore della configurazione di protezione (ad esempio, vault) e delle password. Ad esempio, è possibile eseguire il backup del vault su un'unità di acquisizione locale e ripristinarlo su un'unità di acquisizione remota, assicurando la coordinazione delle password in tutto l'ambiente. In alternativa, se nell'ambiente sono presenti più server OnCommand Insight, è possibile eseguire un backup del vault dei server e ripristinarlo in altri server per mantenere le stesse password. Questi sono solo due esempi dei modi in cui è possibile utilizzare securityadmin per garantire la coesione negli ambienti.

Nota

Si consiglia vivamente di eseguire il backup del vault ogni volta che si esegue il backup di un database OnCommand Insight. In caso contrario, si potrebbe perdere l'accesso.

Lo strumento fornisce entrambe le modalità interactive e command line.

Molte operazioni dello strumento securityadmin modificano il contenuto del vault e apportano modifiche all'installazione, assicurando che il vault e l'installazione rimangano sincronizzati.

Ad esempio,

  • Quando si modifica la password di un utente Insight, la voce dell'utente nella tabella SANscreen.users viene aggiornata con il nuovo hash.

  • Quando si modifica la password di un utente MySQL, verrà eseguita l'istruzione SQL appropriata per aggiornare la password dell'utente nell'istanza MySQL.

In alcune situazioni, verranno apportate diverse modifiche all'installazione:

  • Quando si modifica l'utente dwh MySQL, oltre ad aggiornare la password nel database MySQL, verranno aggiornate anche più voci di registro per ODBC.

Nelle sezioni seguenti il termine "cambiamenti coordinati" viene utilizzato per descrivere tali cambiamenti.

Modalità di esecuzione

  • Funzionamento normale/predefinito - il servizio server SANscreen deve essere in esecuzione

    Per la modalità di esecuzione predefinita, lo strumento securityadmin richiede l'esecuzione del servizio server SANscreen. Il server viene utilizzato per l'autenticazione e molte modifiche coordinate all'installazione vengono effettuate tramite chiamate al server.

  • Funzionamento diretto - il servizio del server SANscreen potrebbe essere in esecuzione o interrotto.

    Se eseguito su un'installazione OCI Server o DWH, lo strumento può essere eseguito anche in modalità "diretta". In questa modalità, l'autenticazione e le modifiche coordinate vengono eseguite utilizzando il database. Il servizio Server non viene utilizzato.

    Il funzionamento è identico alla modalità normale, con le seguenti eccezioni:

  • L'autenticazione è supportata solo per gli utenti non amministratori di dominio. (Utenti con password e ruoli nel database, non LDAP).

  • L'operazione "sostituzione delle chiavi" non è supportata.

  • La fase di ri-crittografia del ripristino del vault viene ignorata.

  • Modalità di ripristino lo strumento può essere eseguito anche quando l'accesso al server e al database non è possibile (ad esempio perché la password principale nel vault non è corretta).

    Quando viene eseguito in questa modalità, l'autenticazione non è possibile e, quindi, non può essere eseguita alcuna operazione con una modifica coordinata dell'installazione.

    La modalità di recupero può essere utilizzata per:

  • determinare quali voci del vault sono errate (utilizzando l'operazione di verifica)

  • sostituire la password di root non corretta con il valore corretto. (Questa operazione non modifica la password. L'utente deve inserire la password corrente).

Nota Se la password di root nel vault non è corretta e la password non è nota e non è presente alcun backup del vault con la password di root corretta, l'installazione non può essere recuperata utilizzando lo strumento securityadmin. L'unico modo per recuperare l'installazione è quello di reimpostare la password dell'istanza MySQL seguendo la procedura documentata all'indirizzo https://dev.mysql.com/doc/refman/8.4/en/resetting-permissions.html. Dopo aver eseguito la procedura di ripristino, utilizzare l'operazione password memorizzata corretta per immettere la nuova password nel vault.

Comandi

Comandi senza restrizioni

I comandi senza restrizioni apportano modifiche coordinate all'installazione (ad eccezione degli archivi di trust). I comandi senza restrizioni possono essere eseguiti senza autenticazione dell'utente.

Comando

Descrizione

vault di backup

Creare un file zip contenente il vault. Il percorso relativo ai file del vault corrisponderà al percorso dei vault rispetto alla radice di installazione.

  • wildfly/standalone/configuration/vault/*

  • acq/conf/vault/*

Si consiglia vivamente di eseguire il backup del vault ogni volta che si esegue il backup di un database OnCommand Insight.

controlla-per-chiavi-predefinite

Verificare se le chiavi del vault corrispondono a quelle del vault di default usato nelle istanze precedenti alla versione 7.3.16.

password-memorizzata-corretta

Sostituire una password (errata) memorizzata nel vault con la password corretta nota all'utente.

Questo può essere utilizzato quando il vault e l'installazione non sono coerenti. Notare che non modifica la password effettiva nell'installazione.

Change-trust-store-password modificare la password utilizzata per un trust-store e memorizzare la nuova password nel vault. La password corrente dell'archivio di fiducia deve essere "conosciuta".

verify-keystore

controllare se i valori nel vault sono corretti:

  • Per gli utenti OCI, l'hash della password corrisponde al valore nel database

  • Per gli utenti MySQL, può essere effettuata una connessione al database

  • per i keystore, è possibile caricare il keystore e leggere le relative chiavi (se presenti)

tasti elenco

elencare le voci nel vault (senza mostrare il valore memorizzato)

Comandi limitati

L'autenticazione è necessaria per qualsiasi comando non nascosto che apporta modifiche coordinate all'installazione:

Comando

Descrizione

restore-vault-backup

Sostituisce il vault corrente con il vault contenuto nel file di backup del vault specificato.

Esegue tutte le azioni coordinate per aggiornare l'installazione in modo che corrisponda alle password nel vault ripristinato:

  • Aggiornare le password degli utenti di comunicazione OCI

  • Aggiornare le password utente MySQL, incluso root

  • per ogni keystore, se la password del keystore è "conosciuta", aggiornare il keystore usando le password del vault ripristinato.

Quando viene eseguito in modalità normale, legge anche ciascun valore crittografato dall'istanza, lo decrittografa utilizzando il servizio di crittografia del vault corrente, lo crittografa nuovamente utilizzando il servizio di crittografia del vault ripristinato e memorizza il valore crittografato nuovamente.

sincronizza con vault

Esegue tutte le azioni coordinate per aggiornare l'installazione in modo che corrisponda alle password utente nel vault ripristinato:

  • Aggiorna le password degli utenti di comunicazione OCI

  • Aggiorna le password utente MySQL, incluso root

change-password (cambia password)

Modifica la password nel vault ed esegue le azioni coordinate.

sostituire le chiavi

Creare un nuovo vault vuoto (che avrà chiavi diverse da quelle esistenti). Quindi copiare le voci dal vault corrente al nuovo vault. Quindi legge ciascun valore crittografato dall'istanza, decrittografarlo utilizzando il servizio di crittografia del vault corrente, crittografarlo nuovamente utilizzando il servizio di crittografia del vault ripristinato e memorizzare il valore crittografato nuovamente.

Azioni coordinate

Vault dei server

_interno

aggiorna hash password per l'utente nel database

acquisizione

aggiorna hash password per l'utente nel database

se il vault di acquisizione è presente, aggiornare anche la voce nel vault di acquisizione

dwh_internal

aggiorna hash password per l'utente nel database

cognos_admin

aggiorna hash password per l'utente nel database

Se DWH e Windows, aggiornare SANscreen/cognos/Analytics/Configuration/SANscreenAP.properties per impostare la proprietà cognos.admin sulla password.

root

Eseguire SQL per aggiornare la password utente nell'istanza MySQL

inventario

Eseguire SQL per aggiornare la password utente nell'istanza MySQL

dwh

Eseguire SQL per aggiornare la password utente nell'istanza MySQL

Se DWH e Windows, aggiornare il registro di Windows per impostare le seguenti voci ODBC sulla nuova password:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_Capacity\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_Capacity_Efficiency\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_fs_util\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_Inventory\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_performance\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_Ports\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_sa\PWD

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dwh_cloud_cost\PWD

dwhuser

Eseguire SQL per aggiornare la password utente nell'istanza MySQL

host

Eseguire SQL per aggiornare la password utente nell'istanza MySQL

password_keystore

riscrivere il keystore con la nuova password - wildfly/standalone/configuration/server.keystore

truststore_password

riscrivere il keystore con la nuova password - wildfly/standalone/configuration/server.trustore

password_chiave

riscrivere il keystore con la nuova password - wildfly/standalone/configuration/sso.jks

archivio_cognos

nessuno

Vault di acquisizione

acquisizione

nessuno

truststore_password

riscrivere il keystore con la nuova password (se esiste) - acq/conf/cert/client.keystore

Esecuzione di Security Admin Tool - riga di comando

La sintassi per eseguire lo strumento SA in modalità riga di comando è la seguente:

securityadmin [-s | -au] [-db] [-lu <user> [-lp <password>]] <additional-options>

where

-s                      selects server vault
-au                     selects acquisition vault

-db                     selects direct operation mode

-lu <user>              user for authentication
-lp <password>          password for authentication
<addition-options>      specifies command and command arguments as described below

Note:

  • L'opzione "-i" potrebbe non essere presente sulla riga di comando (in quanto questo seleziona la modalità interattiva).

  • per le opzioni "-s" e "-au":

    • "-s" non è consentito su una RAU

    • "-au" non è consentito su DWH

    • se nessuno dei due è presente, allora

      • Il vault del server è selezionato su Server, DWH e Dual

      • Il vault di acquisizione viene selezionato su RAU

  • Le opzioni -lu e -lp vengono utilizzate per l'autenticazione dell'utente.

    • Se viene specificato <user> e <password> non lo è, all'utente verrà richiesta la password.

    • Se <user> non viene fornito ed è richiesta l'autenticazione, all'utente verranno richiesti sia <user> che <password>.

Comandi:

Comando

Utilizzo

password-memorizzata-corretta

 
securityadmin [-s

-au] [-db] -pt <key> [<value>]

where

-pt specifies the command ("put") <key> is the key <value> is the value. If not present, user will be prompted for value









vault di backup












securityadmin [-s








-au] [-db] -b [<backup-dir>]






where






-b              specified command
<backup-dir>    is the output directory.  If not present, default location of SANscreen/backup/vault is used
                The backup file will be named ServerSecurityBackup-yyyy-MM-dd-HH-mm.zip




















vault di backup








securityadmin [-s












-au] [-db] -ub <backup-file>






where






-ub             specified command ("upgrade-backup")
<backup-file>   The location to write the backup file
















tasti elenco












securityadmin [-s








-au] [-db] -l






where






-l              specified command




















tasti di controllo








securityadmin [-s












-au] [-db] -ck






where






-ck             specified command






exit code:
  1     error
  2     default key(s)
  3     unique keys
















verify-keystore (server)












securityadmin [-s] [-db] -v

where

-v              specified command








eseguire l'upgrade












securityadmin [-s








-au] [-db] [-lu <user>] [-lp <password>] -u






where






-u              specified command






For server vault, if -lu is not present, then authentication will be performed for <user> =_internal and <password> = _internal's password from vault.
For acquisition vault, if -lu is not present, then no authentication will be attempted




















sostituire le chiavi








securityadmin [-s












-au] [-db] [-lu <user>] [-lp <password>] -rk






where






-rk              specified command
















restore-vault-backup












securityadmin [-s








-au] [-db] [-lu <user>] [-lp <password>] -r <backup-file>






where






-r               specified command
<backup-file>    the backup file location




















modifica-password (server)








securityadmin [-s] [-db] [-lu <user>] [-lp <password>] -up -un <user> -p [<password>] [-sh]

where

-up             specified command ("update-password")
-un <user>        entry ("user") name to update
-p <password> new password.  If <password not supplied, user will be prompted.
-sh             for mySQL user, use strong hash












modifica password per l'utente di acquisizione (acquisizione)








securityadmin [-au] [-db] [-lu <user>] [-lp <password>] -up -p [<password>]

where

-up             specified command ("update-password")
-p <password> new password.  If <password not supplied, user will be prompted.












change-password per truststore-_password (acquisizione)








securityadmin [-au] [-db] [-lu <user>] [-lp <password>] -utp -p [<password>]

where

-utp            specified command ("update-truststore-password")
-p <password> new password.  If <password not supplied, user will be prompted.












sincronizza con vault (server)








securityadmin [-s] [-db] [-lu <user>] [-lp <password>] -sv <backup-file>

where

-sv              specified command



















Esecuzione dello strumento di amministrazione della protezione - modalità interattiva






Interattivo - Menu principale




Per eseguire lo strumento SA in modalità interattiva, immettere il seguente comando:








 securityadmin -i
In un server o in un'installazione doppia, securityadmin richiederà all'utente di selezionare il server o l'unità di acquisizione locale.








Rilevati nodi server e unità di acquisizione. Selezionare il nodo di cui si desidera riconfigurare la protezione:








1 - Server

2 - Local Acquisition Unit

9 - Exit

Enter your choice:








In DWH, "Server" viene selezionato automaticamente. Su un'unità AU remota, viene selezionata automaticamente l'opzione "Acquisition Unit" (unità di acquisizione).








Interactive - Server: Recupero della password di root




In modalità Server, lo strumento securityadmin controlla innanzitutto che la password root memorizzata sia corretta. In caso contrario, viene visualizzata la schermata di ripristino della password principale.








ERROR: Database is not accessible

1 - Enter root password

2 - Get root password from vault backup

9 - Exit

Enter your choice:








Se si seleziona l'opzione 1, all'utente verrà richiesta la password corretta.








 Enter password (blank = don't change)
 Enter correct password for 'root':
Se viene inserita la password corretta, viene visualizzato quanto segue.










 Password verified.  Vault updated
Premendo invio viene visualizzato il menu senza restrizioni del server.








Se viene immessa una password errata, viene visualizzato quanto segue








 Password verification failed - Access denied for user 'root'@'localhost' (using password: YES)
Premere invio per tornare al menu di ripristino.








Se si seleziona l'opzione 2, all'utente verrà richiesto di specificare il nome di un file di backup da cui leggere la password corretta:








 Enter Backup File Location:
Se la password del backup è corretta, viene visualizzato quanto segue.










 Password verified.  Vault updated
Premendo invio viene visualizzato il menu senza restrizioni del server.








Se la password nel backup non è corretta, viene visualizzato quanto segue








 Password verification failed - Access denied for user 'root'@'localhost' (using password: YES)
Premere invio per tornare al menu di ripristino.










Interactive - Server: Password corretta




L'azione "Password corretta" viene utilizzata per modificare la password memorizzata nel vault in modo che corrisponda alla password effettiva richiesta dall'installazione. Questo comando è utile in situazioni in cui è stata apportata una modifica all'installazione da qualcosa di diverso dallo strumento securityadmin. Alcuni esempi sono:






    

  • 

    La password per un utente SQL è stata modificata mediante l'accesso diretto a MySQL.
    

    • 

  • 

    Viene sostituito un archivio chiavi o la password di un archivio chiavi viene modificata utilizzando keytool.
    

    • 

  • 

    Un database OCI è stato ripristinato e tale database ha password diverse per gli utenti interni
    

    • 







"Correct Password" (Password corretta) richiede innanzitutto all'utente di selezionare la password per memorizzare il valore corretto.








Replace incorrect stored password with correct password.  (Does not change the required password)
Select User:  (Enter 'b' to go Back)

1 - _internal

2 - acquisition

3 - cognos_admin

4 - cognos keystore

5 - dwh

6 - dwh_internal

7 - dwhuser

8 - hosts

9 - inventory

10 - sso keystore

11 - server keystore

12 - root

13 - server truststore

14 - AU truststore

Enter your choice:








Dopo aver selezionato la voce da correggere, all'utente viene richiesto come desidera fornire il valore.








1 - Enter {user} password

2 - Get {user} password from vault backup

9 - Exit

Enter your choice:








Se si seleziona l'opzione 1, all'utente verrà richiesta la password corretta.








 Enter password (blank = don't change)
 Enter correct password for '{user}':
Se viene inserita la password corretta, viene visualizzato quanto segue.










 Password verified.  Vault updated
Premendo invio si torna al menu senza restrizioni del server.








Se viene immessa una password errata, viene visualizzato quanto segue








Password verification failed - {additional information}
Vault entry not updated.








Premendo invio si torna al menu senza restrizioni del server.






Se si seleziona l'opzione 2, all'utente verrà richiesto di specificare il nome di un file di backup da cui leggere la password corretta:








 Enter Backup File Location:
Se la password del backup è corretta, viene visualizzato quanto segue.










 Password verified.  Vault updated
Premendo invio viene visualizzato il menu senza restrizioni del server.








Se la password nel backup non è corretta, viene visualizzato quanto segue








Password verification failed - {additional information}
Vault entry not updated.








Premendo invio viene visualizzato il menu senza restrizioni del server.








Interactive - Server: Verifica del contenuto del vault




Verificare che il contenuto del vault verifichi se il vault dispone di chiavi corrispondenti al vault predefinito distribuito con le versioni OCI precedenti e verifichi se ciascun valore nel vault corrisponde all'installazione.






I possibili risultati per ogni chiave sono:













OK


Il valore del vault è corretto






Non selezionato


Impossibile verificare il valore rispetto all'installazione






PESSIMO


Il valore non corrisponde all'installazione






Mancante


Manca una voce prevista.











Encryption keys secure: unique, non-default encryption keys detected

             cognos_admin: OK
                    hosts: OK
             dwh_internal: OK
                inventory: OK
                  dwhuser: OK
        keystore_password: OK
                      dwh: OK
      truststore_password: OK
                     root: OK
                _internal: OK
          cognos_internal: Not Checked
             key_password: OK
              acquisition: OK
           cognos_archive: Not Checked
 cognos_keystore_password: Missing


Press enter to continue










Interactive - Server: Backup




Backup richiede la directory in cui deve essere memorizzato il file zip di backup. La directory deve già esistere e il nome del file sarà ServerSecurityBackup-yyyy-mm-dd-hh-mm.zip.








Enter backup directory location [C:\Program Files\SANscreen\backup\vault] :

Backup Succeeded!   Backup File: C:\Program Files\SANscreen\backup\vault\ServerSecurityBackup-2024-08-09-12-02.zip










Interactive - Server: Login




L'azione di accesso viene utilizzata per autenticare un utente e ottenere l'accesso alle operazioni che modificano l'installazione. L'utente deve disporre di un Privileges di amministrazione. Quando viene eseguito con il server, può essere utilizzato qualsiasi utente amministratore; quando viene eseguito in modalità diretta, l'utente deve essere un utente locale piuttosto che un utente LDAP.








Authenticating via server. Enter user and password

UserName: admin

Password:








oppure








Authenticating via database.  Enter local user and password.

UserName: admin

Password:








Se la password è corretta e l'utente è un utente amministratore, viene visualizzato il menu limitato.






Se la password non è corretta, viene visualizzato quanto segue:








Authenticating via database.  Enter local user and password.

UserName: admin

Password:

Login Failed!








Se l'utente non è un amministratore, viene visualizzato quanto segue:








Authenticating via server. Enter user and password

UserName: user

Password:

User 'user' does not have 'admin' role!










Interactive - Server: Menu limitato




Una volta effettuato l'accesso, lo strumento visualizza il menu limitato.








Logged in as: admin
Select Action:

2 - Change Password

3 - Verify Vault Contents

4 - Backup

5 - Restore

6 - Change Encryption Keys

7 - Fix installation to match vault

9 - Exit

Enter your choice:










Interactive - Server: Cambia password




L'azione "Cambia password" viene utilizzata per modificare una password di installazione in un nuovo valore.






"Cambia password" richiede innanzitutto all'utente di selezionare la password da modificare.








Change Password
Select User:  (Enter 'b' to go Back)

1 - _internal

2 - acquisition

3 - cognos_admin

4 - cognos keystore

5 - dwh

6 - dwh_internal

7 - dwhuser

8 - hosts

9 - inventory

10 - sso keystore

11 - server keystore

12 - root

13 - server truststore

14 - AU truststore

Enter your choice:








Dopo aver selezionato la voce da correggere, se l'utente è un utente MySQL, all'utente verrà chiesto se eseguire un hash sicuro per la password








MySQL supports SHA-1 and SHA-256 password hashes. SHA-256 is stronger but requires all clients use SSL connections

Use strong password hash? (Y/n): y








Quindi, all'utente viene richiesta la nuova password.








New Password for '{user}':
If the password is empty, the operation is cancelled.

Password is empty - cancelling operation








Se viene immessa una password non vuota, all'utente viene richiesto di confermarla.








New Password for '{user}':

Confirm New Password for '{user}':

Password successfully updated for 'dwhuser'!








Se la modifica non riesce, viene visualizzato l'errore o l'eccezione.








Interactive - Server: Ripristino







Interactive - Server (interattivo - Server): Modifica delle chiavi di crittografia




L'azione Modifica chiavi di crittografia sostituirà la chiave di crittografia utilizzata per crittografare le voci del vault e sostituirà la chiave di crittografia utilizzata per il servizio di crittografia del vault. Poiché la chiave del servizio di crittografia viene modificata, i valori crittografati nel database vengono nuovamente crittografati; vengono letti, decrittografati con la chiave corrente, crittografati con la nuova chiave e salvati nuovamente nel database.






Questa azione non è supportata in modalità diretta poiché il server fornisce l'operazione di ricodifica per alcuni contenuti del database.








Replace encryption key with new key and update encrypted database values

Confirm (y/N): y

Change Encryption Keys succeeded! Restart 'Server' Service!










Interactive - Server: Installazione fix




L'azione Correggi installazione aggiornerà l'installazione. Tutte le password di installazione che possono essere modificate tramite lo strumento securityadmin, ad eccezione di root, saranno impostate sulle password nel vault.






    

  • 

    Le password degli utenti interni di OCI verranno aggiornate.
    

    • 

  • 

    Le password degli utenti MySQL, ad eccezione di root, verranno aggiornate.
    

    • 

  • 

    Le password dei keystore verranno aggiornate.
    

    • 









Fix installation - update installation passwords to match values in vault

Confirm:  (y/N): y

Installation update succeeded! Restart 'Server' Service.








L'azione si interrompe al primo aggiornamento non riuscito e visualizza l'errore o l'eccezione.