Le fournisseur SQL Server permet au Devolutions Server de stocker les identifiants de compte SQL à utiliser pour la détection de comptes SQL ou pour réaliser la rotation des mots de passe.
Le module PAM de Devolutions requiert SQL server 2016 et plus.
| Option | Description |
|---|---|
| Nom | Nom d'affichage du fournisseur. |
| Description | Description optionnelle du fournisseur. |
| Option | Description |
|---|---|
| Nom du serveur | Nom d'hôte du SQL Server. |
| Option | Description |
|---|---|
| Type d'identifiant | Options d'identifiant personnalisé ou d'identifiant lié. |
| Nom d'utilisateur | Nom d'utilisateur du compte SQL avec droits pour lister les comptes. |
| Mot de passe | Mot de passe du compte SQL. |
| Identifiant lié | Identifiant directement lié à un compte PAM. |
| Option | Description |
|---|---|
| Ajouter coffre PAM | Créer un coffre PAM avec le nom du fournisseur si activé. |
| Ajouter configuration de scan | Ouvrir le dialogue Scan configuration si activé. |
| Option | Description |
|---|---|
| Modèle de mot de passe utilisé lors de la génération | Modèle de mot de passe qui sera utilisé pour générer le mot de passe lors de l'opération de réinitialisation du mot de passe. |
Informations sur les moindres privilèges nécessaires pour la rotation de mot de passe d'un fournisseur SQL PAM
Droits Minimaux Pour PAM SQL Server
| Scénario | Où octroyer | Droits minimaux | Commande T-SQL minimale | Option pour plusieurs cibles |
|---|---|---|---|---|
| 1. Utiliser seulement Ping() | Base de données de connexion (master si DatabaseName est vide) | Utilisateur mappé ; le rôle public est suffisant | CREATE USER [PamServiceLogin] FOR LOGIN [PamServiceLogin]; |
|
| 2. RéinitialiserMotDePasse — Connexion INSTANCE | Serveur + base de données de connexion | Voir les métadonnées du serveur ; MODIFIER la connexion ciblée ; UTILISATEUR dans la connexion | GRANT VIEW ANY DEFINITION TO [PamServiceLogin];GRANT ALTER ON LOGIN::[TargetLogin] TO [PamServiceLogin]; |
GRANT ALTER ANY LOGIN TO [PamServiceLogin]; |
| 3. RéinitialiserMotDePasse — Utilisateur CONTENU | Base de données cible | Utiliser UTILISATEUR mappé ; Voir métadonnées de base de données ; MODIFIER l'utilisateur ciblé | CREATE USER [PamServiceLogin] FOR LOGIN [PamServiceLogin];GRANT VIEW DEFINITION TO [PamServiceLogin];GRANT ALTER ON USER::[TargetUser] TO [PamServiceLogin]; |
Donnez-nous vos commentaires