目前的软件开发手段中,通常将程序连接资源(数据库,其他服务)的密钥静态放在配置文件中。PAM的应用身份管理(Application Identity Management,简称AIM)模块通过两种方式解决此类问题:
1.“推”式:将更新后的密码推送到账号引用处。
配置文件:账号密码明文写入配置文件场景
计划任务:脚本任务、windows计划任务内置明文账号密码场景
2.“拉”模式:通过改写原有应用程序或者配置,动态通过AIM的SDK从产品获取密码。
代码程序:C/C++、JAVA、Python、PHP等所有主流代码内置明文账号密码场景
中间件:Weblogic、Tomcat等中间件数据源明文账号密码场景(仅配置即可)
实现第三方系统自动获取账号密码:比如漏洞扫描系统、基线检查工具、Ansible自动化平台等第三方业务系统,通过API方式无需再提供明文账号密码给第三方业务系统,降低密码泄露的风险。