Каталог пользователей
Область домена Active Directory, из которой Indeed PAM будет получать получает данные о сотрудниках. В качестве каталога пользователей, может быть выбран домен Active Directory целиком, или отдельные контейнеры. Indeed PAM поддерживает мультидоменность и может работать с пользователями разных доменов Возможна работа с несколькими доменами Active Directory.
Пользователи
Сотрудники, чьи личные учётные записи Active Directory входят в каталог пользователей.
Учётные записи
Локальные учётные записи различных систем или доменные привилегированные учётные записи предназначенные для работы системами Windows, *nix, различными СУБД, или другими системамиActive Directory, от которых Indeed PAM получил пароль.
Ресурсы
Различные системы, к которым необходимо получить доступ от имени учётных записей.
Домены
Домены предназначены для получения и автоматического добавления в Indeed PAM доменных компьютеров и доменных привилегированных учётных записей.
Хранилище данных
Для хранения данных Indeed PAM использует может использовать СУБД:
- Microsoft SQL Server
- PostgreSQL
- PostgreSQL Pro
- Jatoba
Сервисное подключение
Для ресурсов может быть настроено сервисное подключение для выполнения операцийСервисное подключение к ресурсу позволяет выполнять следующие операции:
- Проверка соединения с ресурсом
- Синхронизация учётных записей
- Синхронизация групп безопасности учётных записей
- Проверка
- паролей (SSH-ключей) учётных записей
- Изменение
- паролей (SSH-ключей) учётных записей
- Синхронизация версии ОС ресурса или версии СУБД
- Синхронизация доменных компьютеров в Active Directory
Следующие типы ресурсов поддерживают сервисное подключение:
- ОС Windows
- ОС *nix
- Microsoft SQL Server
- PostgreSQL
- MySQL
- OracleDB
- Cisco
- Inspur
Сервисные операции выполняются от имени учётной записи:
- Для ресурсов (Windows) может быть назначена:
- Локальная учётная запись с правами администратора
- Учётная запись Active Directory с правами локального администратора
- Для ресурсов (*nix) может быть назначена
- Локальная учётная запись с правами на выполнение команды SUDO
- Для доменов Active Directory может быть назначена:
- Доменная учётная запись с правами доменного администратора.
Пользовательское подключение
- Cisco (ОС IOS XE)
- Inspur BMC (IPMI)
Пользовательское подключение
Пользовательское подключение позволяет открывать сессии на ресурсах или запускать отдельные RemoteApp приложения. Поддерживаются следующие типы подключенийДля каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполняться подключение к ресурсу. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:
- RDP
- SSH
- Telnet
- RemoteAppКлиентское - подключение через клиентское приложение, например, браузер или клиент СУБД.
Разрешения
Разрешения используются для управления привилегированным доступом. Любому пользователю сотруднику из каталога Active Directory пользователей может быть выдано разрешение на открытие RDP, SSH или клиентской сессии на ресурсе от имени локальной, доменной или собственной учётной записи доступадоступ к ресурсу.
Состав разрешения:
- Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешениесотрудник, чья личная учётная запись входит в состав каталога пользователей.
- Учётная запись - локальная , доменная или собственная доменная учётная запись , от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
- Ресурс - ресурс, на котором будет открыта сессия.
| Warning | ||
|---|---|---|
| ||
Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены. |
Состояния учётных записей доступа
- Ожидает решения (
) - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения. - Управляемая - Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
- Игнорируется (
) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны. - Заблокирована (
) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут приостановлены. - Удалена (
) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.
Состояния ресуров
- Готов - ресурс добавлен.
- Заблокирован () - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
- Удалён () - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.
Состояния доменов
- Готов - домен добавлен.
- Удалён () - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов
Состояния сессий
- Активная - если для пользователя есть разрешение на доступ к целевому ресурсу с указанной учетной записи, которые не заблокированы и разрешение не отозвано, то сервер создает сессию, которая становится активной.
- Завершенная - сессия завершается при завершении пользователем сеанса работы с целевым ресурсом, например завершение сеанса удалённого доступа к серверу, закрытие окна рабочего приложения или веб-страницы.
- Прерванная - сессия становится прерванной при принудительном завершении администратором PAM активной сессии пользователя.
Политики
Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
| Backtotop | ||||
|---|---|---|---|---|
|
| Divbox | ||||
|---|---|---|---|---|
| ||||
|