Смена учётных данных агента и отзыв устройства

Время · ~4 мин Уровень · Средний Для · безопасности и жизненного цикла

Агенты аутентифицируются в LRO учётными данными, хранящимися на машине и привязанными к её железу. Иногда это нужно изменить: вы переносите агента на новое железо, потеряли файл с учётными данными, подозреваете, что машина скомпрометирована, или выводите её из эксплуатации. Два действия в панели покрывают все эти случаи — Re-register (перерегистрировать) для смены, Delete agent (удалить агента) для отзыва.

Откройте управление агентом
Зайдите в Agents (агенты), откройте агента — и действия его жизненного цикла будут внизу детального вида: Re-register (перерегистрировать) и Delete agent (удалить агента), рядом с управлением подпиской.

Рис. 1. Управление жизненным циклом каждого агента — Re-register для смены учётных данных, Delete agent для отзыва.
Перерегистрируйте, чтобы сменить учётные данные
Re-register выдаёт свежий одноразовый токен для того же агента и мгновенно аннулирует старые учётные данные. Идентичность агента, подписка, баланс и остаток трафика сохраняются — меняется только секрет на машине.

Рис. 2. Re-register — генерируется новый токен; старые учётные данные перестают работать сразу, подписка и трафик переносятся.

Затем на машине зарегистрируйте агента заново с новым токеном — тот же шаг, что и при первой установке:

$ lro -t - # paste the new token (stdin keeps it out of the process list) $ lro # run the agent — it reconnects with fresh credentials

Используйте это, чтобы перенести агента на новое железо (перерегистрировать, затем установить с новым токеном на новой машине), восстановить потерянный файл учётных данных или сменить секрет, который, как вы думаете, мог быть раскрыт — старый умирает в момент подтверждения.
Отзовите устройство, удалив агента
Когда машина выводится из эксплуатации, потеряна или больше не должна иметь доступ, Delete agent отзывает её начисто. Её учётные данные перестают работать, она исчезает из панели, а её эндпоинты и туннели удаляются. В отличие от перерегистрации, это навсегда — агент исчезает, а не получает новый ключ.

Эмпирическое правило: Re-register, когда машина остаётся, но секрет должен смениться; Delete agent, когда машина уходит. Для украденного ноутбука вы обычно удаляете агента, а затем регистрируете замену.

Заметки

Старые учётные данные умирают мгновенно — перерегистрация не оставляет льготного окна для предыдущего секрета; в момент подтверждения работает только новый токен.
При перерегистрации идентичность сохраняется — подписка, баланс, трафик, эндпоинты и туннели остаются привязанными к агенту. Удаление, напротив, их убирает.
Ключи E2E-туннелей отдельны — ключи шифрования для каждого туннеля заново согласуются для каждого туннеля и обнуляются при закрытии; предварительно разделённые ключи для туннелей живут в собственном хранилище ключей каждого агента (управляется из меню установщика агента или GUI), независимо от учётных данных входа, сменяемых здесь.
Аудиторский след — изменения жизненного цикла агента попадают в организационный журнал аудита с указанием действующего пользователя.

Сменить секрет или вывести устройство за секунды — из панели.

Создать аккаунт →