Instalación y primeros pasos

Este documento le permite conocer el procedimiento paso a paso para instalar Password Manager Pro (PMP) en su sistema. Este documento también trata otros temas relacionados, como los requisitos del sistema para PMP, los pasos para iniciar y apagar el servidor PMP, los pasos para conectarse a la interfaz web después de iniciar correctamente el servidor y muchos más.

Aquí aprenderá los siguientes temas con respecto a la instalación y configuración de PMP:

1. Requisitos previos

Además de los requisitos estándar del sistema (tanto de hardware como de software), los siguientes elementos son esenciales para el correcto funcionamiento del servidor PMP:

Nota : Se requiere lo siguiente, si planea hacer uso de las disposiciones de descubrimiento de cuenta y restablecimiento de contraseña de Password Manager Pro.

  1. Un servidor de correo externo (servidor SMTP) para el funcionamiento del servidor PMP y para enviar varias notificaciones a los usuarios.
  2. Una cuenta de servicio [O] una gMSA que tenga derechos de administrador de dominio o derechos de administrador local en el servidor PMP y en los sistemas de destino que le gustaría administrar.
  3. Marco de Microsoft .NET.
  4. Visual C++ Redistribuible para Visual Studio 2015 y superior (para las funciones de descubrimiento de cuenta y restablecimiento de contraseña de Password Manager Pro).

(Aplicable desde PMP compilación 10404 a 11000)
Nota
: siga los pasos a continuación para permitir que PMP realice todas las operaciones relacionadas con SSL si tiene el complemento Key Manager Plus en su instalación:

1. Descargue la carpeta .zip desde  este enlace  y extraiga el  archivo remcom.exe  de la carpeta .zip.
2. Copie y pegue el  archivo  remcom.exe  en el directorio /bin  .

Desde PMP build 11000 en adelante, las funciones mencionadas anteriormente funcionarán sin el archivo remcom.exe .

2. Requisitos del sistema

La siguiente tabla proporciona una descripción general de las configuraciones de hardware y software requeridas por Password Manager Pro:

Hardware Sistemas operativos interfaz web

Procesador

  • Doble núcleo/Core2Duo o superior

RAM

  • 4 GB o más

Disco duro

  • 200 MB o más para el producto
  • 10 GB o más para la base de datos

Nota : para las grabaciones de sesiones, el requisito de espacio en disco puede variar según los niveles de uso.

ventanas

  • Servidor Windows 2022
  • Servidor Windows 2019
  • Servidor Windows 2016
  • Servidor Windows 2012
  • Servidor Windows 2012 R2
  • ventanas 8
  • ventanas 10

linux

  • Ubuntu 9.x y superior
  • CentOS 4.4 y superior
  • RedHat Linux 9.0
  • Red Hat Enterprise Linux 7.x
  • Red Hat Enterprise Linux 6.x
  • Red Hat Enterprise Linux 5.x

Nota : en general, PMP funciona bien con cualquier tipo de Linux y también se puede ejecutar en máquinas virtuales de los sistemas operativos anteriores.

El cliente HTML requiere que uno de los siguientes navegadores** esté instalado en el sistema:

  • Microsoft Edge (en Windows)
  • Chrome, Firefox y Safari (en Windows, Linux y Mac)

** Password Manager Pro está optimizado para una resolución de 1280 x 800 y superior.

Base de datos

  • PostgreSQL 10.18, incluido con el producto.
  • Admite MS SQL Server 2008 y superior. El servidor SQL debe instalarse en Windows 2008 Server y superior.

Consulte este documento para obtener más detalles sobre los requisitos de software y hardware para Password Manager Pro, según el tamaño de su organización.

3. Componentes de PMP

PMP se compone de los siguientes componentes:

  1. El servidor PMP
  2. El Agente PMP :
    - para establecer conexiones con los recursos remotos.
  3. La base de datos PostgreSQL 10.18:
    - incluida con PMP que se ejecuta como un proceso separado.
    - acepta conexiones solo desde el host donde se está ejecutando.
    - se ejecuta en un modo invisible.

4. Puertos utilizados por PMP

La siguiente tabla enumera el conjunto de todos los puertos utilizados por PMP para el acceso remoto:

Nombre del puerto Número de puerto

Puerto PostgreSQL

2345

Puerto de cliente web

7272

puerto SSH

22

puerto telnet

23

LDAP sin puerto SSL

389

LDAP con puerto SSL

636

Puerto SMTP

25

puerto msql

1433

Mi puerto SQL

3306

puerto oracle

1521

Puerto ASE de Sybase

5000

Puerto API PMP

7070

Puerto de verificación de contraseña

135, 139, 445

Puerto CLI SSH

5522

Puerto de puerta de enlace Sparview de inicio de sesión automático

7273


5. Instalación del Agente PMP

Para saber más sobre la instalación del agente, haga clic aquí.

6. Instalación de PMP

Puede instalar PMP en los sistemas operativos Windows y Linux.

6.1 Pasos para instalar PMP en Windows

  1. Descargue y ejecute el archivo ManageEngine_PMP.exe . Aparece el asistente de instalación de PMP.
  2. Siga las instrucciones paso a paso del asistente de instalación.
  3. Elija un directorio de instalación. De forma predeterminada, PMP se instalará en la ruta C:\Program Files\ManageEngine\PMP. De ahora en adelante, este directorio de instalación se denominará PMP_Home .
  4. En el asistente final, tendrá las siguientes opciones:
    1. Opción para ver el archivo Léame .
    2. Opción para elegir iniciar el servidor inmediatamente.
    3. Opción para iniciar el servidor más tarde después de la instalación. Utilice el icono de la bandeja de Windows para iniciar el servidor manualmente más tarde. Mediante el icono de la bandeja, también puede realizar otras acciones, como detener el servidor y desinstalar el producto.

6.2 Pasos para instalar PMP en Windows Core Server 2019

  1. Ejecute el comando " powershell " para abrir Microsoft Powershell.
  2. Ejecute el siguiente comando para descargar la compilación:

    start-bitstransfer -source -destination

    Ejemplo: start-bitstransfer -source https://www.manageengine.com/products/passwordmanagerpro/8621641/ManageEngine_PMP_64bit.exe -destination C:\Users\Administrator

  3. Ejecute el siguiente comando para descargar el archivo de instalación silenciosa:

    start-bitstransfer -source -destination

    Ejemplo: start-bitstransfer -source https://www.manageengine.com/products/passwordmanagerpro/help/WindowsPrimaryNonMSP.zip -destination C:\Users\Administrator

  4. Ejecute el siguiente comando para extraer el archivo de instalación silenciosa:

    Expand-Archive -LiteralPath -DestinationPath

    Ejemplo: Expand-Archive -LiteralPath C:\Users\Administrator\WindowsPrimaryNonMSP.zip -DestinationPathC:\Users\Administrator\WindowsPrimaryNonMSP

  5. Ejecute los siguientes comandos para instalar el editor de Nano Text:
    • Set-ExecutionPolicy Bypass -Alcance Proceso -Force; iex ((Nuevo-Objeto System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))
    • choco instalar nano
  6. Ejecute el siguiente comando para editar el archivo extraído, WindowsPrimaryNonMSP.iss:

    nano WindowsPrimaryNonMSP.iss

  7. Ahora, edite el Nombre, MailId (obligatorio) , Teléfono, Empresa, País (obligatorio) y Guarde el archivo.
  8. A continuación, ejecute el siguiente comando:

    ManageEngine_PMP_64bit.exe -a -s -f1"C:\Windows\WindowsPrimaryNonMSP.iss" -f2"C:\Windows\WindowsPrimaryNonMSP.log"

Password Manager Pro se ha instalado correctamente. El servicio se iniciará automáticamente.

6.3 Pasos para instalar PMP en Linux (no root)

  1. Descargue el archivo ManageEngine_PMP.bin para linux.
  2. Ejecute el comando chmod a+x para asignar el permiso ejecutable.
  3. Ejecute el comando: ./ .
  4. Ejecute el comando ./ -i console, si está instalando en un servidor sin periféricos.
  5. Siga las instrucciones paso a paso tal como aparecen en la pantalla.
  6. Ahora, PMP se instalará en su máquina en la ubicación elegida. De ahora en adelante, este directorio de instalación se denominará PMP_Home .

7. Instalación silenciosa

Para obtener información sobre la instalación silenciosa en Password Manager Pro, haga clic aquí.

8. Inicio y apagado de PMP

8.1 en Windows

Uso del menú de inicio Uso del icono de la bandeja
  1. Vaya a Inicio >> Ejecutar  [O] presione Win+r. Aparece el cuadro Ejecutar. Escriba  services.msc  y presione  Entrar .
  2. Localice el  servicio Password Manager Pro en la consola de Servicios.
  3. Puede iniciar, detener o reiniciar el servicio desde la consola de servicios.
  1. Una vez que haya instalado correctamente PMP en su sistema, encontrará el icono en el área de la bandeja de Windows en el extremo derecho de la barra de tareas.
  2. Haga clic derecho en el icono de la bandeja y haga clic en la operación deseada:
    • Inicie el Servicio PMP
    • Detener el servicio PMP
    • Inicie la consola web de PMP

8.2 En Linux

Instalación de PMP como un servicio de inicio Inicio y detención del servidor como servicio
  1. Inicie sesión como usuario raíz.
  2. Abra la consola y navegue hasta el directorio /bin .
  3. Ejecute "sh pmp.sh install" (en Ubuntu, ejecute como "bash pmp.sh install").
  4. Para desinstalar, ejecute el script "sh pmp.sh remove" .

Para iniciar PMP como un servicio en Linux:

  1. Inicie sesión como usuario no root.
  2. Ejecute /etc/rc.d/init.d/pmp-service start .
  3. El servidor PMP se ejecuta en segundo plano como servicio.

Para detener el servidor PMP iniciado como un servicio, en Linux:

  • Ejecute /etc/rc.d/init.d/pmp-service stop (como usuario no root).

9. Inicio del cliente web PMP

Existen diferentes formas de conectarse al cliente web PMP:

9.1 Inicio automático del navegador

Una vez que el servidor se ha iniciado después de la instalación exitosa de PMP, la pantalla de inicio de sesión de PMP aparece en una ventana del navegador. Como PMP utiliza la conexión HTTPS segura , se le pedirá que acepte el Certificado de seguridad . Pulse , escriba el nombre de usuario y la contraseña en la pantalla de inicio de sesión y presione Entrar . Para una configuración no configurada, el nombre de usuario / contraseña predeterminados es admin / admin . Cada vez que inicie el servidor, el navegador se iniciará automáticamente.

9.2 Iniciar el cliente web manualmente

ventanas :

Haga clic con el botón derecho en el icono de la bandeja de PMP y haga clic en Consola web de PMP para iniciar el cliente web manualmente. La pantalla de inicio de sesión de PMP aparece en una ventana del navegador. Como PMP utiliza la conexión HTTPS segura , se le pedirá que acepte el Certificado de seguridad . Pulse , escriba el nombre de usuario y la contraseña en la pantalla de inicio de sesión y presione Entrar . Para una configuración no configurada, el nombre de usuario / contraseña predeterminados es admin / admin . Cada vez que inicie el servidor, el navegador se iniciará automáticamente.

linux :

Abra un navegador y conéctese a la URL especificada en el siguiente cuadro:

https://:número de puerto/
donde,
: el host donde se ejecuta el servidor PMP.
: el puerto predeterminado es 7272 .
Ejemplo : https://localhost:7272

9.3 Conexión del cliente web en hosts remotos

Si desea conectarse al cliente web de PMP en una máquina remota (diferente de aquella en la que se ejecuta PMP), abra un navegador y conéctese a la siguiente URL:

https://:puerto

Como PMP utiliza la conexión HTTPS segura , se le pedirá que acepte el Certificado de seguridad . Presione , escriba el nombre de usuario y la contraseña en la pantalla de inicio de sesión y presione Entrar . Para una configuración no configurada, el nombre de usuario y la contraseña predeterminados son admin y admin , respectivamente. Cada vez que inicie el servidor, el navegador se iniciará automáticamente.

10. Uso de MS SQL Server como base de datos backend
(característica disponible solo en Enterprise Edition)

Aunque PMP es compatible con las bases de datos PostgreSQL y MSSQL como backend ( ya no se admite MySQL ), PMP está configurado para ejecutarse con PostgreSQL, de manera predeterminada, y viene incluido con el producto. Si desea ejecutar PMP utilizando la base de datos MSSQL, siga los pasos a continuación:

10.1 Pasos para ejecutar PMP con MS SQL Server como base de datos backend

Notas importantes:

  • Para garantizar un alto nivel de seguridad, PMP se ha configurado para conectarse al servidor SQL solo a través de SSL .
  • PMP admite el servidor MS SQL como base de datos backend, solo desde la versión 6400 y superior .
  • Si está utilizando una versión anterior de PMP con MySQL como base de datos de back-end, estos son los pasos para migrar los datos a MS SQL .

10.1.1 Cree un certificado SSL e instálelo en el almacén de certificados de Windows (en la máquina donde se ejecuta el servidor SQL)

Antes de conectar PMP con el servidor SQL, debe habilitar el cifrado SSL en el servidor SQL. Para esto, debe crear un Certificado SSL y firmarlo por una Autoridad de Certificación (CA) o firmarlo usted mismo (Ver más) .

A) Generar el certificado y conseguir que lo firme una CA de terceros:

Cree el certificado usando openssl . Esto implica dos pasos: generar una clave privada y generar una solicitud de certificado. Utilice los siguientes comandos para crear el certificado.

  1. Generando Clave Privada: Ejecute el siguiente comando:

    openssl genrsa -des3 -out server.key 2048

  2. Generación de solicitud de certificado : siga los pasos a continuación:
    1. Utilice la clave privada del servidor para crear una solicitud de certificado. Ingrese la Frase de contraseña para la clave, Nombre común, Nombre de host o Dirección IP , cuando se le solicite. Para el Nombre común , especifique el FQDN de SQL Server.
      openssl req -new -key server.key -out server.csr
    2. Una vez que se genera el certificado, haga que lo firme una CA de terceros, como VeriSign , Thawte , RapidSSL , etc., o fírmelo usted mismo, según los requisitos de su entorno. Para obtener más detalles sobre cómo enviar las CSR, consulte la documentación o el sitio web de la CA correspondiente. Recuerda que este es un servicio de pago. En unos días, recibirá su certificado SSL firmado y el certificado raíz de la CA como archivos .cer .
    3. Instale el certificado del servidor en la máquina donde se ejecuta el servidor SQL.
    4. Instale el certificado raíz de CA en el servidor PMP.
  3. Instalación del certificado del servidor en la máquina donde se ejecuta el servidor SQL: Use MMC
    1. Haga clic en Inicio >> Ejecutar en la máquina donde se ejecuta el servidor SQL. En el cuadro de diálogo Ejecutar , escriba: MMC . Se muestra la consola MMC.
    2. En el menú Consola , haga clic en Agregar o quitar complemento . Haga clic en Agregar y luego haga clic en Certificados . Haga clic en Agregar de nuevo. Se le pedirá que abra el complemento para la cuenta de usuario actual, la cuenta de servicio o la cuenta de la computadora. Seleccione la cuenta de la computadora .
    3. Seleccione Certificados (equipo local) >> Personal >> Certificados.
    4. Haga clic con el botón derecho en Certificados y haga clic en Todas las tareas >> Importar .
    5. Busque y seleccione el certificado que desea instalar.

  4. Instalación del certificado raíz de la CA en PMP :
    1. Copie el certificado raíz de la CA y péguelo en el directorio /bin .
    2. Desde el directorio /bin , ejecute el siguiente comando:
      importCert.bat
    3. Esto agrega el certificado al almacén de certificados PMP.

B) Crear un certificado autofirmado usando Powershell:

Para crear un certificado autofirmado y usarlo, realice los siguientes pasos en la máquina donde está instalado el servidor SQL:

  1. Vaya a SQL Server y abra Powershell (ejecútelo como administrador).
  2. Ejecute el siguiente comando:

    New-SelfSignedCertificate -DnsName FQDN del servidor SQL -CertStoreLocation cert:\LocalMachine\My

  3. El comando anterior instalará y almacenará un certificado autofirmado en su tienda local.

10.1.2 Importar el certificado SSL a PMP

Para importar certificados SSL a PMP,

  1. Copie el certificado del servidor y péguelo en el directorio /bin .
  2. Ejecute el siguiente comando:

    importCert.bat
    Esto agrega el certificado al almacén de certificados PMP.

10.1.3 Habilitar el cifrado SSL en SQL Server

  1. Haga clic en Inicio en la máquina donde se ejecuta el servidor SQL. En el menú del programa de Microsoft SQL Server, haga clic en Herramientas de configuración y, a continuación, haga clic en Administrador de configuración de SQL Server .
  2. Expanda la Configuración de red de SQL Server, haga clic con el botón derecho en Protocolos para el servidor que desee y luego haga clic en Propiedades . (Recuerde hacer clic en Protocolos para sección en el panel izquierdo de la herramienta y no los Protocolos específicos en el panel derecho).
  3. En la pestaña Certificado , configure Motor de base de datos para usar el certificado.
  4. Establezca la opción ForceEncryption para el Motor de base de datos en , de modo que toda la comunicación entre el cliente y el servidor se cifre y se deniegue el acceso a los clientes que no admiten el cifrado (recomendado) . Establezca la opción ForceEncryption para el Motor de base de datos en No , si desea que la aplicación cliente solicite el cifrado (no recomendado) .
  5. Reinicie el servidor SQL.


Para obtener más detalles, consulte la sección Configuración de SSL para SQL Server en el artículo de la base de conocimiento de Microsoft.

10.1.4 Ejecutar ChangeDB.bat en PMP

Nota: Omita este paso si ya está utilizando PMP con MySQL como base de datos backend y está migrando sus datos al servidor MS SQL.

Proporcione los detalles sobre el servidor SQL a PMP editando el archivo ChangeDB.bat (Windows) o ChangeDB.sh (Linux) . Siga los pasos a continuación:

  1. Vaya a la carpeta /bin y ejecute el archivo ChangeDB.bat (Windows) o sh ChangeDB.sh (Linux).


  2. En la ventana que se muestra, ingrese los siguientes detalles:
    1. Seleccione el Tipo de servidor como SQL Server.
    2. Nombre de host: el nombre o la dirección IP de la máquina donde está instalado el servidor MS SQL.
    3. Nombre de instancia: especifique la instancia con nombre del servidor SQL que se usará para PMP. Si no se especifica el nombre de la instancia, PMP intentará establecer una conexión con la instancia predeterminada en el puerto 1433 .

      Dado que PMP se conecta a MS SQL solo en modo SSL, se recomienda que cree una instancia de base de datos dedicada que se ejecute en un puerto específico para PMP. Si desea especificar un número de puerto que no sea 1433, puede especificarlo en el parámetro Nombre de host anterior como : .

    4. Nombre de la base de datos: Nombre de la base de datos del PMP. El valor predeterminado es " PassTrix ". Si desea tener un nombre de base de datos diferente, especifíquelo aquí. PMP se encargará de crear la Master Key, Symmetric Key, etc.
    5. Autenticación: La forma en que desea conectarse al servidor SQL. Elija Windows , si se está conectando al servidor SQL desde Windows. Utilice la función de inicio de sesión único de Windows , siempre que el servicio PMP se ejecute con una cuenta de servicio que tenga el privilegio de conectarse al servidor SQL. De lo contrario, seleccione la opción SQL .

      Se recomienda elegir la opción Windows , ya que el Nombre de usuario y la Contraseña utilizados para la autenticación no se almacenan en ningún lugar.

    6. Nombre de usuario y contraseña: si ha seleccionado la opción SQL en el paso v, especifique el nombre de usuario y la contraseña con los que PMP puede conectarse a la base de datos.

      El nombre de usuario y la contraseña ingresados ​​aquí se almacenarán en el archivo database_params.conf en PMP. Por lo tanto, tenga cuidado de endurecer el anfitrión.
      Puede usar incluso sus credenciales de inicio de sesión de Windows, si se conecta a la base de datos desde Windows. En este caso, debe ingresar el nombre de usuario como \.

    7. Clave de cifrado: la clave para cifrar sus datos y almacenarlos en el servidor SQL. Puede dejarlo como "Predeterminado" para permitir que PMP genere una clave. Si quieres tener tu clave personalizada, selecciona la opción Personalizada .

      Si ha seleccionado la opción Personalizado , haga lo siguiente:

      Crear base de datos >> Para obtener más información, consulte http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx
      Crear clave maestra >> Para obtener más información, consulte http://technet .microsoft.com/en-us/library/ms174382.aspx
      Crear certificado >> Para obtener más información, consulte http://msdn.microsoft.com/en-us/library/ms187798.aspx
      Crear clave simétrica >> Para obtener más información, consulte http://msdn.microsoft.com/en-us/library/ms188357.aspx

    8. Proporcione el nombre del certificado y el nombre de la clave simétrica en la GUI.
    9. Finalmente, haga clic en Probar para asegurarse de que la configuración de la conexión sea correcta y luego haga clic en Guardar .

Notas importantes:

Después de realizar los pasos anteriores, vaya al directorio /conf y mueva el archivo masterkey.key a una ubicación segura. SQL Server cifra los datos con una infraestructura de gestión de claves y cifrado jerárquico. Cada capa encripta la capa debajo de ella usando una combinación de certificados, claves asimétricas y claves simétricas. Uno de ellos es la clave maestra de la base de datos, que a su vez es creada por la clave maestra del servicio y una contraseña. Esta contraseña se almacena en PMP en Folder>/conf directory in a file named masterkey.key. It is highly recommended that you move the masterkey.key file to a secure location. This is to ensure data security. Take care to keep this key safe. You will require it while performing High Availability and Disaster Recovery. If you lose this key, you will have to configure MS SQL server setup all over again.

For more details on encryption and key management in MS SQL, refer to this MSDN document http://msdn.microsoft.com/en-us/library/ms189586.aspx.

11. Using MS SQL Cluster as the Backend Database

To learn about using MS SQL Cluster as the backend database, click here.

12. Using Azure PostgreSQL as the Backend Database

Password Manager Pro has a provision to point to the Azure PostgreSQL database instead of default bundled PostgreSQL database. To learn about using Azure PostgreSQL as the backend database, click here.

13. Running the PMP service using a group Managed Service Account

Password Manager Pro allows you to run/manage services using group Managed Service Account (gMSA). To learn about gMSA in detail, refer to Microsoft's documentation.

To create a group Managed Service Account,

  1. Open Powershell ISE as administrator.
  2. Execute the following commands:
    1. Import-Module ActiveDirectory
    2. Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
    3. New-ADServiceAccount -Name -DNSHostName -PrincipalsAllowedToRetrieveManagedPassword $
    4. Add-ADComputerServiceAccount -Identity -ServiceAccount
    5. Install -ADServiceAccount -Identity
  3. Provide Full Control Permission to the installation folder.
  4. To configure LogOn Services,
    1. Navigate to Services >> Properties >> LogOn.
    2. Browse for MSA Account.
    3. Now, clear the Password field and click Apply.
    4. Click Ok.

      Now you have successfully configured the LogOn Services.

    You have successfully created a group Managed Service Account (gMSA) account. Now, you can run your Password Manager Pro service using the gMSA account.

Troubleshooting Step:

If you are unable to Install the Service Account, execute the below command before executing Install statement:

  • Set-ADServiceAccount -Identity -KerberosEncryptionType AES128,AES256


Reference links:

14. Workflow in Password Manager Pro

To know about the workflow of Password Manager Pro, click here.

15. Managing PMP Encryption Key (from PMP 6402 onwards)

PMP uses AES-256 encryption to secure the passwords and other sensitive information in the password database. The key used for encryption is auto-generated and is unique for every installation. By default, this encryption key is stored in a file named pmp_key.key under the /conf folder. For production instances, PMP does not allow the encryption key to be stored within its installation folder. This is done to ensure that the encryption key and the encrypted data, in both live and backed-up database, do not reside together.

We strongly recommend that you move and store this encryption key outside of the machine, where PMP is installed, in another machine or an external drive. You can supply the full path of the folder, where you want to move the pmp_key.key file, manually move the file to that location and delete any reference within PMP server installation folder. The path can be a mapped network drive or an external USB (hard drive / thumb drive) device.

PMP will store the location of the pmp_key.key in a configuration file named manage_key.conf, present under the /conf folder. You can also edit that file directly to change the key file location. After configuring the folder location, move the pmp_key.key file to that location and ensure the file or the key value is not stored anywhere within the PMP installation folder.

PMP requires the pmp_key.key folder to be accessible with necessary permissions, to read the pmp_key.key file, when it starts up every time. After a successful start-up, it does not need access to the file anymore and the device with the file can go offline.

Important Notes:

  1. Always ensure sufficient protection to the key with multiple layers of encryption (such as by using Windows File Encryption) and access control.
  2. Since only the PMP application needs access to this key, make sure no other software, script or person has access to this key under any circumstances.
  3. Take care of securely backing up the pmp_key.key file by yourself. You can recover the PMP backups only if you supply this key. If you misplace the key or lose it, PMP will not start.
  4. If you store the database_params.conf file at a different location, you will have to copy the file back to the original location (i.e. to /conf/ ), whenever you perform an application upgrade.

16. Rotating the Encryption Key
(Feature available only in Enterprise Edition)

Even if you are sure of managing the encryption key securely outside of PMP, one of the best practices is to periodically change the encryption key. PMP provides an easy option to automatically rotate the encryption key.

16.1 How does the key rotation process work?

PMP will look for the current encryption key present in the file pmp_key.key, available in the path specified in the manage_key.conf file, present under the /conf folder. Only if it is present in the specified path, the rotation process will continue. Before rotating the encryption key, PMP will take a copy of the entire database. This is to avoid data loss, if anything goes wrong with the rotation process.

During the key rotation process, all passwords and sensitive data will be decrypted first using the current encryption key and subsequently encrypted with the new key. Later, the new key will be written in the pmp_key.key file present in the location as specified in the manage_key.conf file. At the end of successful key rotation, PMP will write the new encryption key in the same file that contains the old key. If any error occurs while writing the key, the rotation process will be aborted.

16.2 Steps to rotate the encryption key (if you are NOT using High Availability)

  1. Ensure that the current encryption key (pmp_key.key file) is present in the location as specified in the manage_key.conf file. Also, ensure that PMP gets the read/write permission while accessing the pmp_key.key file.
  2. Stop the PMP server.
  3. Open the command prompt and navigate to /bin directory. Execute RotateKey.bat (in Windows) or sh RotateKey.sh (in Linux).
  4. Based on the number of passwords managed and other parameters, the rotation process will take a few minutes to complete.
  5. Start mthe PMP server once you see the confirmation message.

16.3 Steps to rotate the encryption key (if you are USING High Availability)

  1. Navigate to Admin >> General >> High Availability in the PMP web interface. Make sure High Availability and Replication Status are alive.
  2. Check if the current encryption key (pmp_key.key file) is present in the location as specified in the manage_key.conf file. Also, ensure that PMP gets the read/write permission when accessing the pmp_key.key file.
  3. Stop the PMP Primary server and make sure PMP Secondary server is running.
  4. Open the command prompt in the PMP Primary installation, navigate to the /bin directory and execute RotateKey.bat (in Windows) or sh RotateKey.sh (in Linux).
  5. Based on the number of passwords managed and other parameters, the rotation process will take a few minutes to complete. You will see confirmation message ons successful completion of the rotation process
  6. Copy the new encryption key from the Primary installation and paste it in the location, as specified in the manage_key.conf file. This is the location from where the Standby will fetch the pmp_key.key file.
  7. Now, start the Primary and the Standby servers.

17. Managing the PMP Database Password

Apart from AES encryption, the PMP database is secured using a separate password, which is auto-generated and unique for every installation. The password for the database can be stored securely in PMP itself. There is also an option to store the password at some other secure location, accessible by the PMP server.

By default, the database password is stored under /conf/database_params.conf. If you choose to manage the database password by yourself, store the configuration file somewhere securely and instruct the location of the file to PMP. Follow the below steps:

  • If you are starting PMP as service, go to /conf/wrapper.conf (in Windows) / /conf/wrapper_lin.conf (in Linux) and edit the following entry under Java Additional Parameters.
    wrapper.java.additional.9=-Ddatabaseparams.file=

  • If you are starting PMP from command line or through the tray icon, you need to edit the file system_properties.conf present in /conf directory. In this file, edit the following entry under Splash Screen default Properties.
    databaseparams.file=

Notes:

  • If you misplace the conf file or lose it, PMP will not start. So, take care to save it in a secure location.
  • Enclose the full path of database_params.conf file in double-quotes. Eg. databaseparams.file="C:\Program Files\Manage Engine\PMP\conf\database_params.conf"

18. Licensing

18.1 License Types

There are three license types:

  1. Evaluation download: Valid for 30 days, capable of supporting a maximum of 2 administrators. You can test the Enterprise edition features.
  2. Free Edition: Licensed software that allows you to have 1 administrator and manage up to 10 resources. Valid forever.
  3. Registered Version - Licensing is based on two factors:
    • Number of Administrators
    • Types of Edition - Standard, Premium or Enterprise

18.2 User Roles and Licensing

Password Manager Pro comes with five user roles:

  1. Administrator
  2. Password Administrator
  3. Privileged Administrator
  4. Password Auditor
  5. Password User

The term 'administrator' denotes Administrators, Password Administrators and Privileged Administrators. So, licensing restricts the number of administrators as a whole, which includes Administrators, Password Administrators and Privileged Administrators. There is no restriction on the number of Password Users and Password Auditors. To get more details on the five user roles, see here.

18.3 Editions

  1. Standard - If your requirement is to have a secure, password repository to store your passwords and selectively share them among the enterprise users, Standard Edition would be ideal.
  2. Premium - Apart from storing and sharing your passwords, if you wish to have enterprise-class password management features such as remote password reset, password alerts and notifications, application-to-application password management, reports, high-availability and others, Premium edition would be the best choice.
  3. Enterprise Edition - If you require more enterprise-class features like auto discovery of privileged accounts, integration with ticketing systems and SIEM solutions, jump server configuration, application-to-application password management, out-of-the-box compliance reports, SQL server / cluster as backend database, Enterprise edition will be ideal.
  4. Key Manager Plus Add-on - If you require life cycle management functions for SSH keys and SSL certificates in your environment, the Key Manager Plus add-on will perfectly meet your needs. Key Manager Plus is ManageEngine’s key and certificate management solution. Features offered with this add-on in Password Manager Pro include automated SSH/SSL discovery, SSH key pair lifecycle management, CSR process management, certificate deployment and tracking, SSL vulnerability scanning, and certificate expiration alerts. The add-on licensing is based on the number of SSH keys and SSL certificates you want to manage.

18.4 Features Matrix

Standard Edition Premium Edition Enterprise Edition

18.5 Add-on Features

Standard Edition Premium and Enterprise Editions

For more information on licensing or to procure a license, get in touch with our sales team @sales@manageengine.com.

19. Migrating PMP Installations

If you want to move the PMP installation from one machine to another, or to a different location within the same machine, follow the procedure detailed below:

19.1 Prerequisites

Do not remove the existing installation of PMP until the new installation works fine. This is to ensure a backup and to overcome any disaster/data corruption during the movement.

19.2 Steps Required

If you are using the PostgreSQL database bundled with PMP:

  1. Take a backup of the current database and install the same version of PMP (as the one you are currently running) in the new machine.
  2. Restore the backup data in the new installation.

If you are using MySQL as the backend database:

  1. Stop the PMP server / service, if running.
  2. If you have installed PMP to run as a startup service, remove it as a service before proceeding further. (See the table below for the procedure to remove it as a service)
  3. Take a zip of the entire PMP installation folder and move the zip to a different machine or to a different location in the same machine as required.
  4. Now, install it to run as a service.
Installing as a Startup Service in Windows Installing as a Startup Service in Linux

To install as a service using batch file:

  1. Open the console and navigate to the /bin directory.
  2. Execute the command pmp.bat install.

To remove as service using batch file:

  1. Open the console and navigate to the /bin directory.
  2. Execute the command pmp.bat remove.
  1. Login as a root user.
  2. Open the console and navigate to the /bin directory.
  3. Execute sh pmp.sh install.
    (In Ubuntu, execute bash pmp.sh install)

To remove as service:

Execute the script sh pmp.sh remove
(In Ubuntu, execute bash pmp.sh remove)

Notes:

  • When you use this procedure, you cannot uninstall the program using the Windows Add/Remove programs fuctionality. Simply delete the entire installation folder and you are done.
  • There is no need to reapply the license after moving the installation.

20. Updating Web Server Certificates using Password Manager Pro Web Console

If you want to use PMP web console to update the web server certificates, follow the below steps:

  1. Navigate to Admin >> Configuration >> Password Manager Pro Server.
  2. En la página del servidor de Password Manager Pro que se abre, instale su archivo de almacén de claves que pertenece al certificado SSL y/o cambie el puerto del servidor PMP predeterminado.
  3. Para actualizar su certificado SSL, seleccione el tipo de archivo de almacén de claves ( JKS, PKCS12 o PKCS11 ) en el   menú desplegable Tipo de almacén de claves.
  4. Examine el archivo del almacén de claves de su sistema y cárguelo en el  campo Nombre del archivo del almacén de claves  .
  5. Introduzca la contraseña de su archivo de almacén de claves junto al campo Contraseña del almacén de claves.

  6. Si desea cambiar el puerto del servidor PMP predeterminado, ingrese el número de puerto en el  campo Puerto del servidor  .
  7. Haga clic en  Guardar.

Reinicie Password Manager Pro después de guardar los cambios.

21. Edición MSP

Si desea utilizar la edición MSP de PMP, consulte aquí.

Para cualquier asistencia, comuníquese con passwordmanagerpro-support@manageengine.com / Línea gratuita: + 1 888 720 9500

©2014, ZOHO Corp. Todos los derechos reservados.

Cima