私たちはすべて、ネットワークデバイスのパスワードをExcelファイルに保存または保存しています。 もちろん、すべてのデバイスのアカウントは同じであるため、何も保存する必要はありません。読者が、RADIUSまたはTACACSについてではなく、アカウントが実際に同じである状況について理解していることを読者に理解してください。
ネットワークを開始するときに、何らかの発想を制御するために何らかのNCMを発生させることが常に可能とは限りません。 デバイスがほとんどなく、リソースが限られている場合、テキストドキュメントまたはExcelスプレッドシートがデータを保存するための最良の方法のように見えますが、これはそうではないことをすべて理解しています。
会社にリソースがあり、安定した成長が示されている場合、それは良いことです。 この場合、ある時点でネットワーク管理アプリケーションを展開しています。 しかし、最終的には、リソースの不足などのために、誰かが「コントロールコントロール」レベルのままになります。 この記事はこれらの人々のためのものです。 Excelから逃れ、パスワードの保存をより便利にし、一般的なジェスチャを自動化する方法を説明します。 注 :Windows環境のすべての説明。
ヘッダーから推測したかもしれませんが、資格情報を保存するためにkeepassデータベースを使用することをお勧めします。 少なくとも何十回も前から行われているので、私はカラフルなポスターやkeepassのキャンペーンを振るつもりはありません。 私はそれをどのように使用し、どのように役立つかを示します。 そして、私の経験に基づいて、お気に入りのtxtファイルからデータをエクスポートするかどうかをすでに決めています。 手動で持ち運ぶのではなく、エクスポートすると言いました。これには非常に多くのツールがあり、最も複雑なExcelでもkeepassに非常に簡単に転送できるからです。
それでは始めましょう。 データをデバイスタイプ別に分類して保存しますが、keepassの検索では単語の途中でも文字の組み合わせが検出されるため、これは必要ありません(ただし、残念ながらregexpは方法を知りません)。 最初に、汎用デバイステンプレートを作成しています。 デバイスに応じて、標準フィールドに新しいフィールドを追加します。たとえば、Ciscoデバイスの場合、このフィールドを有効にします。 また、ローカルインターフェイスのIPアドレスが存在するlanなどの一般的なフィールドも追加します。 データをエクスポートする場合は、事前にテンプレートを検討する必要があります。 大量編集の可能性にもかかわらず、すべてを一度に予測することをお勧めします。 デバイスのタイプごとに、sshを介してWindowsサーバーに接続する必要はなく、RDPを介してCiscoルーターに接続する必要があることは明らかなので、独自のテンプレートを提供します。 そのため、余分な空のフィールドを作成しないようにストレージテンプレートを開発することを提案します。 原則として、単純なデータストレージではこれで十分ですが、自動化を約束しました。
KPEnhancedEntryViewプラグインが必要になります。 この拡張により、単一のウィンドウからデータベースを表示および編集できます。 インストールするには、 公式のkeepass Webサイトからプラグインファイルをダウンロードし、インストールされたプログラムがあるフォルダーにコピーします。
このプラグインを使用するKeepassは、CMDのようなリンクを理解します:// Windowsコマンドラインを起動します。 フィールド値は変数の形式で渡すことができます。これは私が使用しているものです。
重要! Windows環境のPATH変数で、使用するアプリケーションにパスを追加する必要があります。 たとえば、puttyとpsexecを使用するため、これらのプログラムへのパスを変数に追加しました
次に、Keepassから直接パラメーターを使用してアプリケーション起動コマンドを生成できます。 ラインがリンクとして認識されるためには、シンボル<で始まり、シンボル>で終わる必要があります。 以下は、puttyを使用してssh経由でデバイスに接続するための行です。
<cmd://PuTTY.exe -ssh {S:isp1} -l {USERNAME} -pw {PASSWORD}>
内部変数のおかげで、文字列は次のようにCMDに渡されます:
PuTTY.exe -ssh 97.161.16.54 -l user1 -pw 1234567890
<>でラップされた文字列はリンクとして認識されます。このリンクをクリックしてkeepassを実行すると、puttyプログラムが自動的に呼び出され、デバイスパラメーターが渡されます。 渡されるパラメーターは、任意のkeepassフィールドにすることができます。 パラメーターは中括弧{}で囲む必要があります。 標準パラメーターの場合、名前は予約されています(例:{USERNAME}および{PASSWORD})。 パラメーターを作成した場合、最初にコロン付きのラテン文字Sを名前に追加する必要があります。これは、パラメーターlan: {S:lan}が渡すことを探す方法です。 このような簡単な方法で、クライアントアプリケーションを実行して、telnetからrdpまでの任意のプロトコルを使用して接続できます。
同様のリンクを使用して、デバイスのトラブルシューティングを自動化します。 たとえば、すべてのデバイスIPアドレスのping:
<cmd://cmd /c start "LAN INTERFACE" ping {S:lan} -t | start "ISP1 INTERFACE" ping {S:isp1} -t | start "ISP2 INTERFACE" ping {S:isp2} -t>
リモートWindowsホストから補助データを受信できるように、psexecを使用します
<cmd://psexec \\{S:lan} cmd.exe /k tracert -d 8.8.8.8>
リモートホストでアプリケーションを実行して、ネットワーク帯域幅をテストできます(そこに事前にインストールします)。
<cmd://psexec \\{S:lan} cmd.exe /k iperf -s>
さらに、データベーステンプレートを添付して、そこでデータを置き換えて、その動作を確認できるようにします。 基本テンプレート
habrahabrデータベースのパスワード
PS KPEnhancedEntryViewプラグインのもう1つのプラスは、間違いなく感謝しますが、各デバイスのメモや添付ファイルを簡単に残すことができることです。
UPDコメントでの議論に続くいくつかの修正
MrJeosは、アプリケーションの起動パラメーターでパスワードを転送するときに、タスクリストで確認できます。
cmepthuk keepassアプリケーションにはmitm攻撃スクリプトがあります。 自動更新をオフにするか、この脆弱性が修正されたアプリケーションの最新バージョンをダウンロードします。