Verwenden von Password Manager

IT-Asset-Management (Cloud)

Sie können die im Password Manager hinterlegten Anmeldeinformationen über eine grafische Benutzeroberfläche oder durch Verwendung der Befehlszeile (siehe Hilfethema Command-Line Updates to Password Manager in der PDF-Datei IT-Asset-Management -Systemreferenz, die über die Startseite der Onlinehilfe verfügbar ist) aktualisieren. In diesem Hilfethema wird beschrieben, wie hinterlegte Anmeldeinformationen mithilfe der GUI von Password Manager geändert werden.

Sie verwenden diese Prozesse auf jeder entsprechenden Inventarisierungsstation in Ihrem Unternehmen. Sie gelten unabhängig auf jeder Inventarisierungsstation ohne mögliche Interaktion zwischen ihnen.
Tipp: Überprüfen Sie bei Windows-Computern mit net use \\machineName\ipc$, ob diese Anmeldeinformationen gültig sind, ehe Sie sie dem Password Manager hinzufügen.
Die Password Manager-Oberfläche ist dynamisch. Welche Steuerelemente verfügbar sind, hängt davon ab, ob die Inventarisierungsstation für die Integration mit CyberArk Privileged Account Security konfiguriert ist, und welche Art von Anmeldeinformationen Sie hinterlegen.
Tipp: Wenn eine Integration mit CyberArk erforderlich ist, muss Ihr CyberArk-Administrator die Konfiguration von CyberArk abschließen, bevor Sie mit dem folgenden Vorgang beginnen (weitere Informationen finden Sie unter Configuring CyberArk for Use with Password Manager in der PDF-Datei IT-Asset-Management -Systemreferenz. Außerdem macht es die Verwendung von CyberArk zum Speichern von Anmeldeinformationen, auf die Password Manager Bezug nimmt, erforderlich, dass das Kontrollkästchen Use CyberArk Credential Provider on this Inventarisierungsstation (CyberArk Credential Provider auf dieser Inventarisierungsstation verwenden) (auf der Seite Password management (Kennwortverwaltung) der FlexNet Beacon-Oberfläche, die unter Seite „Kennwortverwaltung“ beschrieben wird) markiert wird.

So verwalten Sie im Password Manager registrierte Anmeldeinformationen:

  1. Starten Sie den Password Manager mit einer der folgenden Vorgehensweisen:
    • Wählen Sie in der Benutzeroberfläche der Inventarisierungsstation die Seite Password management (Kennwortverwaltung) und klicken Sie auf Launch Password Manager (Password Manager starten).
    • Führen Sie die ausführbare Datei von Password Manager über den Windows Explorer oder eine Befehlszeile aus. Per Voreinstellung wird die Datei gespeichert unter C:\Program Files\Flexera Software\Inventory Beacon\RemoteExecution\mgspswdw.exe.
    Der FlexNet Beacon Password Manager wird in einem eigenen Fenster geöffnet. In dieser dynamischen Oberfläche hängen die angezeigten Steuerelemente von Ihrer Auswahl ab (anfänglich werden die Standardfelder inaktiv angezeigt, bis Sie die ersten entsprechenden Auswahlen treffen).
  2. Wählen Sie aus, ob Sie einen neuen Eintrag erstellen oder einen vorhandenen bearbeiten möchten:
    • Um einen neuen Eintrag zu erstellen, klicken Sie in der Gruppe Aktuelle Anmeldeinformationen klicken Sie auf Neu.
    • Um einen vorhandenen Eintrag zu ändern, klicken Sie auf diesen Eintrag in der Liste in der Gruppe Current credentials (Aktuelle Anmeldedaten).
    In beiden Fällen werden Steuerelemente in der Gruppe Editor aktiviert. Wenn Sie einen vorhandenen Eintrag aktualisieren, werden die Steuerelemente mit den aktuell gespeicherten Werten belegt.
    Tipp: Die weiteren, in der Gruppe Current credentials (Aktuelle Anmeldedaten) verfügbaren Steuerelemente haben die folgenden Wirkungen:
    • Refresh (Aktualisieren) löscht die vorhandene Auswahl in der Liste und aktualisiert die Liste mit den Daten aus dem FlexNet Beacon-Vault.
    • Re-Initialize... (Neu initialisieren...) entschlüsselt alle verschlüsselten Anmeldeinformationen aus dem FlexNet Beacon-Vault mithilfe des aktuellen Primärkennworts, löscht dieses Primärkennwort, initialisiert ein neues Primärkennwort für diese Inventarisierungsstation und verschlüsselt alle vorhandenen Anmeldeinformationen wieder unter Verwendung des neuen Primärkennworts.
    • Delete... (Löschen...) (ist nur aktiv, wenn Sie eine bestimmte Anmeldeinformation aus der Liste auswählen) bietet an, die ausgewählte Anmeldeinformation aus dem FlexNet Beacon-Vault zu löschen. (Wenn Sie CyberArk zum Speichern der Anmeldeinformationen nutzen, ist die im CyberArk-Vault hinterlegte Anmeldeinformation von der Löschung nicht betroffen. Lediglich die Referenz auf diese Anmeldeinformation wird aus dem FlexNet Beacon-Vault gelöscht.)
    • Delete All... (Alle löschen...) bietet an, alle gespeicherten Anmeldeinformationen im FlexNet Beacon-Vault auf dieser Inventarisierungsstation zu löschen. (Auch hier gilt: Wenn CyberArk verwendet wird, werden keine Anmeldeinformationen aus dem CyberArk-Vault gelöscht. Diese müssen separat verwaltet werden. Jedoch werden alle Referenzen im FlexNet Beacon-Vault auf diese Anmeldeinformationen gelöscht, wodurch die in CyberArk hinterlegten Anmeldeinformationen von dieser Inventarisierungsstation nicht länger genutzt werden können.)
    • Eine Markierung des Kontrollkästchens Use only filtered credentials (Nur gefilterte Anmeldedaten verwenden) unter der Liste der Current credentials (aktuellen Anmeldedaten) bedeutet, dass Anmeldedaten nur getestet und verwendet werden, wenn mindestens ein Filter angewendet wurde, was seine Nutzung auf eine bestimmte Gruppe von Zielgeräten begrenzt. (Das Hinzufügen von Filtern wird weiter unten beschrieben.) Ungefilterte Anmeldedaten, also solche, bei denen in der Spalte Filters der Liste mit den Current credentials (aktuellen Anmeldedaten) Keine angezeigt wird, werden auf dieser Inventarisierungsstation niemals verwendet, wenn dieses Kontrollkästchen aktiviert ist. Sie werden jedoch nicht aus dem Vault gelöscht und können durch Deaktivieren des Kontrollkästchens Use only filtered credentials (Nur gefilterte Anmeldedaten verwenden) wieder genutzt werden. Alternativ können Sie beliebige ungefilterte Anmeldedaten aktualisieren, um ihnen mindestens einen Filter hinzuzufügen. (Denken Sie daran, dass Einstellungen zwischen Inventarisierungsstationen nicht kommuniziert werden. Wenn Sie diese Einstellung auf einer Inventarisierungsstation ändern, überlegen Sie, ob Sie diese Änderung auf allen anderen Inventarisierungsstationen wiederholen müssen.)
  3. Vergeben Sie für einen neuen Anmeldedatensatz im Feld Logischer Name einen logischen Namen, den Sie in der Liste auch später noch wiedererkennen werden.
    Dieser beschreibende Anzeigename für einen Anmeldedatensatz (also für eine Kombination aus Kontoname und Kennwort) muss auf dieser Inventarisierungsstation eindeutig sein. Sie können diesen logischen Namen auf anderen Inventarisierungsstationen erneut verwenden, da diese keine Anmeldedaten miteinander austauschen. Innerhalb jeder Password Manager muss der logische Name jedoch eindeutig sein.

    Durch logische Namen wird in Verbindung mit Filtereinstellungen die Flexibilität erreicht, einen Anmeldedatensatz für genau einen Computer festzulegen oder einen Anmeldedatensatz zu vergeben, den Sie für eine Gruppe von Computern verwenden können.

  4. Wenn das Steuerelement für den Vault sichtbar ist, wurde auf dieser Inventarisierungsstation eine CyberArk-Integration erkannt (oder der lokale Vault enthält bereits mindestens eine Referenz auf Anmeldeinformationen in CyberArk). Akzeptieren Sie für die normale Verwendung den voreingestellten CyberArk-Wert (was bedeutet, dass die Anmeldeinformationen in einem CyberArk-Vault hinterlegt werden, auf den Password Manager Bezug nimmt).
    In besonderen Fällen (etwa schnellen Einstellungen in einer Testumgebung) können Sie diesen Wert bei Bedarf auf FlexNet Beacon umstellen. Ein Umstellen dieses Wertes ändert die Steuerelemente, die im übrigen Editor angezeigt werden.
    Tipp: Wenn kein Vault-Steuerelement sichtbar ist, werden die Daten immer lokal im FlexNet Beacon-Vault hinterlegt.
  5. Geben Sie die Art der Anmeldeinformationen im Feld Kontotyp (Kontotyp) an.
    Wählen Sie den Kontotyp aus, der für die Art der Verbindung geeignet ist, die die Inventarisierungsstation herstellen muss:
    • Windows domain account (Windows-Domänenkonto): wenn Aufgaben mit Remoteausführung als Domänenbenutzer ausgeführt werden
    • Local account on Windows device (lokales Konto auf Windows-Gerät): wenn Aufgaben mit Remoteausführung als lokaler Benutzer auf dem Computer ausgeführt werden
    • SSH account (password) (SSH-Konto – Kennwort): wenn Sie mit SSH eine Verbindung zu verwalteten Geräten herstellen, um Aufgaben auf ihnen auszuführen, und SSH auf den verwalteten Geräten so konfiguriert ist, dass für die Anmeldung ein Kennwort erforderlich ist
    • SSH account (key pair) (SSH-Konto – Schlüsselpaar): wenn Sie mit SSH eine Verbindung zu verwalteten Geräten herstellen, um Aufgaben auf Ihnen auszuführen, und SSH auf den verwalteten Geräten so konfiguriert ist, dass für die Anmeldung ein Paar aus privatem und öffentlichem Schlüssel erforderlich ist
    • Account on VMware ESX server (Konto auf VMware ESX-Server): wenn Sie auf virtuellen Servern dieses Typs Aufgaben per Remoteausführung durchführen
    • Account on VMware VirtualCenter (Konto auf VMware VirtualCenter): wenn Sie auf virtuellen Servern dieses Typs Aufgaben per Remoteausführung durchführen
    • Password for Oracle listener (Kennwort für Oracle-Listener): zum Herstellen einer Verbindung mit einem Server, auf dem Oracle-Listener-Dienste ausgeführt werden
    • Konto auf Oracle-Datenbank (Konto in Oracle-Datenbank): zum Herstellen einer Verbindung mit einer Instanz von Oracle Database
    • Oracle VM management API account (Konto für Oracle VM Verwaltungs-API): zum Herstellen einer Verbindung mit Oracle VM Manager.
    Die verfügbaren Steuerelemente ändern sich dynamisch, um sich Ihrer Auswahl anzupassen.
  6. Füllen Sie die übrigen Editor-Steuerelemente aus. Alle möglichen Steuerelemente sind in dieser Liste enthalten, aber nur eine Auswahl der Gesamtmenge ist für den von Ihnen gewählten Kontotyp (Account type) verfügbar.
    Steuerelement Kommentare

    Domain (Domäne)

    Geben Sie die Domäne an, die als Host für dieses Zielgerät fungiert. Dies ist eine Pflichtangabe für Anmeldeinformationen, die domänenübergreifendes Vertrauen erfordern.

    Wenn Sie Sonderzeichen wie /[]:;|=,+*?<> verwenden, wird ein Dialogfeld angezeigt, in dem Sie die korrekte Eingabe des Domänennamens bestätigen müssen. Dadurch wird verhindert, dass Sie Domänennamen im Password Manager falsch erfassen.

    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • Account type (Kontotyp) auf Windows domain account (Windows-Domänenkonto) oder VMware VirtualCenter gesetzt ist
    Elevate privilege with (Rechte erweitern mit)
    Für Zielgeräte, auf denen UNIX-ähnliche Betriebssysteme ausgeführt werden, können Sie festlegen, dass die Anmeldung mit erweiterten Rechten versucht werden soll. Wählen Sie dazu eine der verfügbaren Optionen aus oder geben Sie den zu verwendenden Befehlsnamen an. Es ist ein separates Kennwort zur Erweiterung von Rechten (unterscheidbar vom Anmeldekennwort) vorhanden: Geben Sie das Kennwort zur Erweiterung von Rechten in das Feld Privilege password (Berechtigungskennwort) und in das benachbarte Feld Re-type password (Kennwort erneut eingeben) ein.
    Tipp: Ist sudo auf dem Zielgerät so konfiguriert, dass eine Erweiterung von Rechten ohne Eingabe eines interaktiven Kennworts zulässig ist, lassen Sie die zwei Felder für das Kennwort zur Erweiterung von Rechten leer.
    Bei der Anmeldung wird dann folgendermaßen vorgegangen:
    1. Der erste Anmeldedatensatz (ohne erweiterte Rechte) wird zum Anmelden am Gerät verwendet.
    2. Der in diesem Feld erkannte Befehl wird zum Starten des Tools zur Erweiterung von Rechten (etwa sudo oder priv) verwendet.
    3. Dieses Tool fordert zur interaktiven Eingabe des Berechtigungskennworts (etwa durch Password:) auf.
    4. Die Inventarisierungsstation erkennt diese Aufforderung und gibt das Berechtigungskennwort ein.
    Wenn die Inventarisierungsstation die Aufforderung nicht erkennt, erfolgt keine Anmeldung mit anschließender Inventarisierung. Um dies zu verhindern, können Sie den Text, den die Inventarisierungsstation erkennen muss, genau vorgeben. Die FlexNet Beacon-Engine wartet auf eine Eingabeaufforderung, die mit dem Wert Privilege password prompt (Eingabeaufforderung für Berechtigungskennwort) übereinstimmt, bevor sie mit dem Berechtigungskennwort antwortet. Stimmt die tatsächliche Eingabeaufforderung nicht exakt mit dem Standardwert Password: (Kennwort) überein, geben Sie (wie unten beschrieben) den richtigen Wert in Privilege password prompt (Eingabeaufforderung für Berechtigungskennwort) ein.
    Tipp: Das Tool sudo gibt in der Regel eine Aufforderung ähnlich der Folgenden aus:
    [sudo] password for userName:
    Sie können den gesamten Wert eingeben, weil Sie den Namen für den User (Benutzer) für diese Anmeldung im Feld Privilege password prompt (Eingabeaufforderung für Berechtigungskennwort) kennen. Diese Vorgehensweise ist allerdings (angenommen dieser Anmeldename wird auf mehreren Servern wiederverwendet) aufgrund von Variationen innerhalb unterschiedlicher Versionen UNIX-ähnlicher Betriebssysteme riskant. Eine risikofreie Alternative bieten folgende Sondereinstellungen:
    1. Geben Sie in Elevate privilege with (Rechte erweitern mit) den Wert
      sudo -p flxpwd:
      ein. Die -p-Option weist sudo an, die festgelegte Eingabeaufforderung (für ein Kennwort) auszugeben, sobald der Befehl von der FlexNet Beacon-Engine aufgerufen wird.
    2. Geben Sie unter Privilege password prompt (Eingabeaufforderung für Berechtigungskennwort) den Wert
      flxpwd:
      (bzw. exakt den Wert für die Eingabeaufforderung wie im Feld oben angegeben) ein.
    3. Achten Sie ferner darauf, dass Sie das Privilege password (Berechtigungskennwort) in beiden erforderlichen Feldern angeben.
    Sobald der Befehl von der FlexNet Beacon-Engine aufgerufen wird, gibt sudo nun eine bekannte Eingabeaufforderung aus, die wiederum von der FlexNet Beacon-Engine erkannt wird, und die Inventarisierung kann fortgesetzt werden.
    Tipp: Überprüfen Sie, ob für die folgenden Befehle eine sudo-Erweiterung zulässig ist:
    • /bin/date wird als Test verwendet, um zu bestätigen, dass die Weiterleitung von Anmeldename und Berechtigung erfolgt ist.
    • /bin/sh ist für die Ausführung des Übernahmeagenten erforderlich (ndinstall.sh).
    • /bin/rm ist erforderlich, um die während der Übernahme gespeicherte Datei zu löschen.
    Angezeigt wenn:
    • Vault einer dieser Werte ist
    • als Account Type (Kontotyp) entweder SSH account (password) oder SSH account (key pair) festgelegt ist.
    Key pair loaded:

    Sie sehen eine Anzeige, ob das Paar aus privatem und öffentlichem Schlüssel geladen ist. Wenn die Schlüssel noch nicht geladen sind, verwenden Sie die Schaltfläche Browse… (Durchsuchen...), um die Datei mit den Daten über private Schlüssel zu suchen und auszuwählen. Der Schlüssel kann das Format OpenSSH (generiert mit ssh-keygen) oder das Format PuTTY (generiert mit PuTTYgen.exe) aufweisen. Informationen zum Generieren von Schlüsselpaaren finden Sie in der Dokumentation für OpenSSH und PuTTY.

    Die öffentlichen Schlüsseldaten müssen auf dem Ziel eingerichtet sein, bevor Sie versuchen, mit diesen Anmeldeinformationen eine Verbindung zu Zielgeräten herzustellen. Der vorgesehene Speicherort für diese Daten variiert je nach verwendeter SSH-Implementierung. Bei OpenSSH wird als öffentlicher Schlüssel zum Beispiel ein einzeiliger Eintrag in ~/.ssh/authorized_keys erwartet. Verwenden Sie die Schaltfläche View... (Anzeigen...), um den öffentlichen Schlüssel anzuzeigen, zu kopieren und in den entsprechenden Speicherort auf den Zielgeräten einzufügen.

    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • als Account type (Kontotyp) SSH account (key pair) festgelegt ist.
    Password Wenn der Oracle Listener mit einem Kennwort konfiguriert wurde, ist für den Typ Password for Oracle listener account (Kennwort für Oracle-Listener-Konto) ein Kennwort zwingend erforderlich. Bei allen anderen Kontotypen können Kennwörter optional verwendet werden.
    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • als Account type (Kontotyp) etwas anderes als SSH account (key pair) festgelegt ist.
    Privilege password (Berechtigungskennwort)

    Geben Sie das Kennwort ein, dass die Inventarisierungsstation zur Erweiterung von Rechten ausgeben soll. Weitere Informationen finden Sie unter Elevate privilege with (Rechte erweitern mit).

    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • als Account Type (Kontotyp) SSH account (password) oder SSH account (key pair) festgelegt ist.
    Privilege password prompt (Eingabeaufforderung für Berechtigungskennwort)

    Geben Sie die Kennworteingabeaufforderung exakt ein, auf die die Inventarisierungsstation zur Erweiterung von Rechten antworten soll. Weitere Informationen finden Sie unter Elevate privilege with (Rechte erweitern mit).

    Angezeigt wenn:
    • Vault einer dieser Werte ist
    • Account type ein beliebiger Wert ist
    Privilege query (Berechtigungsabfrage)
    Legen Sie eine eindeutige Zeichenfolge für die Abfrage fest, die CyberArk erwarten soll, um die Anmeldeinformationen zur Erweiterung von Rechten zurückzugeben. Die Anmeldeinformationen müssen in CyberArk bereits vorhanden sein, wo sie als ganz normale Anmeldeinformationen angesehen werden. Die Erkennung dieser Anmeldeinformationen als zweite Anforderung für dasselbe Gerät ist allein in Password Manager hinterlegt. Erfragen Sie wie bei Query (Abfrage) die Details der Zeichenfolge für die Abfrage bei Ihrem CyberArk-Administrator. Wenn sie Leerzeichen enthält, schließen Sie die Zeichenfolge in doppelte Anführungszeichen ein.
    Tipp: In diesem Modus und unter Verwendung eines CyberArk-Vaults zum Speichern, ist Password Manager das Paar aus privatem und öffentlichem Schlüssel nicht bekannt, das jetzt unter der Kontrolle von CyberArk (und dem dafür zuständigen Administrator) steht. Der öffentliche Schlüssel muss weiterhin eingerichtet sein, bevor FlexNet Beacon eine Remote-Ausführung auf einem Zielgerät versucht, aber diesen Schlüssel müssen Sie jetzt bei Ihrem CyberArk-Administrator erfragen.
    Angezeigt wenn:
    • Vault auf CyberArk gesetzt ist,
    • als Account Type (Kontotyp) SSH account (password) oder SSH account (key pair) festgelegt ist.
    Query (Abfrage)

    Legen Sie die genaue Zeichenfolge für die Abfrage fest, die CyberArk erwarten soll, um die erforderlichen Anmeldeinformationen zurückzugeben. Natürlich müssen die Anmeldeinformationen selbst (Kombination aus Kontoname und Kennwort) bereits im entsprechenden CyberArk-Vault und Safe vorhanden sein (der Vault wird bei der erstmaligen Konfiguration der CyberArk-Integration festgelegt und der Safe kann optional als Teil der Abfrage-Zeichenfolge festgelegt werden). Wenn die Zeichenfolge für die Abfrage Leerzeichen enthält, schließen Sie die Zeichenfolge in doppelte Anführungszeichen ein (anderenfalls sind diese optional). Die Details der Zeichenfolge für die Abfrage sind für Ihre CyberArk-Implementierung spezifisch. Erfragen Sie die Details bei Ihrem CyberArk-Administrator.

    Angezeigt wenn:
    • Vault auf CyberArk gesetzt ist,
    • als Account Type (Kontotyp) SSH account (password) oder SSH account (key pair) festgelegt ist.
    Re-type password (Kennwort wiederholen)

    Wenn Sie im Feld Password (oder Privilege password) ein Kennwort eingegeben haben, wiederholen Sie es hier, um zu bestätigen, dass Sie es korrekt eingegeben haben.

    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • Wird für alle Kontotypen angezeigt.
    Benutzer Der Konto- oder Benutzername.
    Wenn Sie Sonderzeichen wie /[]:;|=,+*?<> verwenden, wird ein Dialogfeld angezeigt, in dem Sie die korrekte Eingabe des Kontonamens bestätigen müssen. Dadurch wird verhindert, dass Sie Kontonamen im Password Manager falsch erfassen.
    Hinweis: Für Oracle Listener ist im Password Manager kein Benutzername erforderlich.
    Tipp: Wenn ein Anmeldename domänenübergreifendes Vertrauen unterstützt (oder erfordert), ist es am besten, das separate Steuerelement für die Domain (Domäne) zu verwenden, um die Zieldomäne anzugeben. In besonderen Fällen, in denen das Steuerelement für die Domain (Domäne) nicht verfügbar, eine Domäne aber trotzdem erforderlich ist, können Sie den Domänennamen in dieses Feld aufnehmen, und zwar mit dem typischen umgekehrten Schrägstrich als Trennzeichen:
        meineDomäne\svcKonto
    Angezeigt wenn:
    • Vault auf FlexNet Beacon gesetzt ist (oder wenn Vault nicht verfügbar ist, dann wird FlexNet Beacon verwendet)
    • als Account type (Kontotyp) etwas anderes als Password for Oracle listener festgelegt ist.
  7. Wenn Sie die Zielgeräte einschränken möchten, auf denen diese benannte Kombination aus Kontonamen und Kennwort getestet werden soll, klicken Sie für Filter optional auf Anzeigen/Bearbeiten....
    Das Dialogfeld Password Store: Password Filter (Kennwortspeicher: Kennwortfilter) wird angezeigt.
  8. Füllen Sie eine beliebige Anzahl von Feldern aus, um die Geräte zu filtern, auf denen die aktuell benannte Kombination aus Kontoname und Kennwort verwendet wird. Wenn diese Kombination auf mehrere Geräte zutreffen kann, können Sie in jedes dieser Felder mehrere durch Komma getrennte Werte eingeben. Klicken Sie auf OK, um Ihre Filtereinstellungen zu speichern.
    Ein Filterabgleich wird durchgeführt, wenn Aufgaben auf Geräten remote ausgeführt werden. Zweck von Filtern ist es, die Anzahl der Geräte zu begrenzen, auf denen Anmeldedaten getestet werden müssen, sodass ein infiltriertes Gerät in Ihrem Netzwerk keine Kennwörter ausschleusen kann, die niemals auf ihm getestet wurden. Hierbei gelten folgende Details:
    • Keine Regeln ordnen bestimmte Anmeldeinformationen bestimmten Typen von Remote-Ausführung zu. Filter gelten nur für die Merkmale des Zielgeräts.
    • Wenn Sie mehrere, durch Komma getrennte Werte in einem Filterfeld angeben, wird für dieses Feld eine Übereinstimmung festgestellt, wenn einer der angegebenen Werte mit dem Gerät übereinstimmt (logisches OR). Es gibt keinen operativen Unterschied zwischen einer Übereinstimmung mit einem der Werte und einer Übereinstimmung mit mehreren Werten in demselben Filterfeld.
    • Wenn es eine Filterübereinstimmung zwischen einem Anmeldedatensatz und einem anvisierten Gerät gibt, wird das Paar aus Benutzername und Kennwort bei dem Versuch verwendet, eine Verbindung zum Gerät herzustellen.
    • Ungefilterte Konten werden nur dann als Anmeldedaten getestet, wenn sowohl:
      • das Kontrollkästchen Use only filtered credentials (nur gefilterte Anmeldedaten verwenden) unter der Liste mit den Current credentials (aktuellen Anmeldedaten) nicht markiert (deaktiviert) ist, und
      • alle Konten mit Filterfeldübereinstimmungen bereits ohne Erfolg gestetet wurden.
    • Wenn ein Zielgerät mit Filtern übereinstimmt, die für mehrere Anmeldedatensätze erfasst wurden, werden die Anmeldedatensätze nach der Anzahl der Treffer in den Filtern für jeden Anmeldedatensatz sortiert. Der Anmeldedatensatz mit den meisten Übereinstimmungen wird zuerst ausprobiert. Beispiel: Gerät MyComputer liefert Übereinstimmungen mit zwei Filterfeldern für den Anmeldedatensatz operator und einem Filterfeld für den Anmeldedatensatz administrator, sodass der Anmeldedatensatz für operator zuerst ausprobiert wird. Wenn Anmeldedatensätze die gleiche Anzahl an Übereinstimmungen mit Filtern aufweisen, erfolgt die Sortierung nach dem Zufallsprinzip. Um einem Anmeldedatensatz Priorität gegenüber einem anderen Anmeldedatensatz einzuräumen, weisen Sie ihm mehr übereinstimmende Filterfelder zu.
      Tipp: Wenn die Integration mit CyberArk verfügbar und aktiv ist, hat der zum Speichern eines bestimmten Anmeldedatensatzes verwendete Vault keinen Einfluss auf die Rangfolge beim Ausprobieren der Anmeldedatensätze auf dem Zielgerät. Wenn die Integration mit CyberArk verfügbar, aber inaktiv ist, werden alle im CyberArk-Vault hinterlegten Anmeldedatensätze ignoriert, die Reihenfolge der Prioritäten bleibt jedoch ansonsten unverändert. (Informationen zum Aktivieren/Deaktivieren der Nutzung von CyberArk finden Sie unter Seite „Kennwortverwaltung“.) Im allgemeinen Fall, bei dem Sie in Ihrer Produktivumgebung nur Anmeldeinformationen verwenden möchten, die im CyberArk-Vault hinterlegt sind, hinterlegen Sie keine sich überschneidenden Anmeldeinformationen im Vault von FlexNet Beacon.
    • DNS-Namen und Oracle-Namen werden mit führenden, kompletten Unterabschnitten des relevanten Namens abgeglichen. Beispielsweise gilt für den Namen tmnis:
      • Er stimmt entweder mit tmnis.MyDomain.com oder tmnis.AnotherDomain.com überein
      • Stimmt nicht mit tmnisou.MyDomain.com überein (weil auf tmnis nicht direkt ein Punkt folgt)
      • Stimmt nicht mit MyComputer.tmnis.com überein (weil das nicht mit tmnis anfängt).
      Es empfiehlt sich, den vollständig qualifizierten Dienstnamen im Filter für die Oracle-Dienstnamen anzugeben, damit unbeabsichtigte Übereinstimmungen vermieden werden. Sie können die einzelnen vollständig qualifizierten Dienstnamen durch Kommata getrennt im Filter festlegen, um mit dem Filter Übereinstimmungen bei Dienstnamen mit mehreren Suffixen zu ermitteln.
    Tipp: Der Filter Oracle-Service-Namen betrifft nur Konten des Typs Account on Oracle database (Konto in Oracle-Datenbank).
  9. Schließen Sie den Bearbeitungsvorgang ab, indem Sie auf Apply (Übernehmen) klicken. Sie können den Vorgang entweder für einen weiteren Anmeldedatensatz wiederholen oder auf Exit (Beenden) klicken, um den Password Manager zu schließen.
Die von Ihnen festgelegten Details werden verschlüsselt und im Vault von FlexNet Beacon (in der Registrierung auf dieser Inventarisierungsstation) entweder als direkt gespeicherter Anmeldedatensatz oder als Referenz auf einen zuvor in CyberArk gespeicherten Anmeldedatensatz hinterlegt.
Tipp: Wenn das Abrufen eines Anmeldedatensatzes im Produktivbetrieb fehlschlägt, wird in der Weboberfläche von IT-Asset-Management in den Eigenschaften des ermittelten Geräts auf der Registerkarte Status für das Zielgerät ein Fehler gemeldet. In Fällen, in denen die Anmeldeinformationen im CyberArk-Vault hinterlegt sind, enthält der Fehlerbericht die gesamte, von CyberArk erhaltene Fehlermeldung.

IT-Asset-Management (Cloud)

Current