Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Сервисные операции для ресурсов Windows
Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной учётной записи:
- Проверка соединения с ресурсом
- Синхронизация локальных учётных записей
- Проверка пароля локальных учётных записей
- Изменение пароля локальных учётных записей
- Получение данных о ОС
- Получение списка групп безопасности
Настройка доменной учётной записи в качестве сервисной
- Выполните вход на ресурс.
- Запустите оснастку Управление компьютером (Computer management)
- Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
- Откройте контекстное меню группы Администраторы (Administrators)
- Выберите пункт Свойства (Properties)
- Нажмите Добавить (Add)
- Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
Настройка локальной учётной записи в качестве сервисной
Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:
- Выполните вход на ресурс.
- Запустите оснастку Управление компьютером (Computer management)
- Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
- Откройте контекстное меню группы Администраторы (Administrators)
- Выберите пункт Свойства (Properties)
- Нажмите Добавить (Add)
- Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
- Запустите Редактор реестра (RegEdit)
- Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
- Откройте контекстное меню раздела System
- Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
- Введите название параметра - LocalAccountTokenFilterPolicy
- Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
- Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1
Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.
Настройка Indeed PAM Core для выполнения сервисных операций от имени локальных учётных записей ресурса
Сервисные операции выполняется при помощи WinRM, для использования локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts на сервере Indeed PAM Core.
Настройка TrustedHosts
- Выполните вход на сервер Indeed PAM Core
- Откройте Командную строку (CMD) от имени администратора
- Выполните команду
Code Block | ||
---|---|---|
| ||
C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.domain.local, Resource2.domain.local"} |
Указанные ресурсы будут добавлены в список доверенных.
Warning | |||||
---|---|---|---|---|---|
| |||||
При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.
|
Сервисные операции в Active Directory
Настройка сервисной учётной записи
- Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Откройте контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMADServiceOps
- Заполните обязательные поля и завершите создание учётной записи.
- Откройте контекстное меню контейнера, подразделения или корня домена.
- Выберите пункт Свойства (Properties)
- Перейдите на вкладку Безопасность (Security)
- Нажмите Добавить (Add)
- Выберите учётную запись IPAMADServiceOps и нажмите Ок
- Нажмите Дополнительно (Advanced)
- Выберите учётную запись IPAMADServiceOps и нажмите Изменить (Edit)
- Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
- В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
- Сохраните внесённые изменения
Сервисные операции для ресурсов *nix
Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи:
- Проверка соединения с ресурсом
- Поиск учётных локальных записей доступа
- Проверка пароля локальных учётных записей доступа
- Изменение пароля локальных учётных записей доступа
- Получение данных о ОС
- Получение списка групп безопасности
Создание и настройка сервисной учётной записи
- Выполните вход на ресурс
- Запустите Терминал (Terminal)
Создайте пользователя, например, IPAMService
Code Block language bash adduser IPAMService
Добавьте пользователя в группу SUDO
Code Block language bash usermod -aG sudo IPAMService
Настройка группы привилегированных учётных записей
Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers
Divbox | ||||
---|---|---|---|---|
| ||||
|