Versions Compared

Old Version 4

changes.mady.by.user Dmitry Ignatyev

Saved on

compared with

New Version 5

changes.mady.by.user Dmitry Ignatyev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

PamSu

Установка PamSu

Note

Установка утилиты PamSu выполняется на ресурсы ОС *nix.

Загрузите установочный пакет на ресурс и выполните команду:

Code Block
languagebash
titleУстановка на Debian-based ОС
$ sudo dpkg -i Indeed.PAM.PamSu*.deb


Code Block
languagebash
titleУстановка на RedHat-based ОС
$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

Code Block
languagetext
$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:

  • idp_url - адрес idp
  • api_url - адрес core
  • log_path - путь к каталогу с файлами логов
  • log_level - уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL
Code Block
languagetext
Set idp_url https://pam.indeed-id.local/pam/idp
Set api_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

Note
iconfalse
Для разрешения выполнения команды pamsu необходимо включить в политике, в разделе SSH опцию Разрешить выполнять pamsu.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

Warning
При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин 

  1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions

  2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)

  3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)

  4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

  5. Обновить групповые политики на клиентском ПК

Настройка для машин, к которым не применяются доменные политики 

  1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
  2. Запустите редактор локальной групповой политики gpedit.msc
  3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
  4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

Table of Contents