Page History

PamSu

Установка PamSu

Загрузите установочный пакет на ресурс и выполните команду:

$ sudo dpkg -i Indeed.PAM.PamSu*.deb

$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:

• idp_url - адрес idp
• apicore_url - адрес core
• log_path - путь к каталогу с файлами логов
• log_level - уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL

Set idp_url https://pam.indeed-id.local/pam/idp
Set apicore_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин 

1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions

2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)

3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)

4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

5. Обновить групповые политики на клиентском ПК

Настройка для машин, к которым не применяются доменные политики 

1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
2. Запустите редактор локальной групповой политики gpedit.msc
3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

Настройка записи событий в Syslog

1. Перейдите в каталог

1. C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте её в

1. Syslog.config, затем отредактируйте в соответствии с настройками ниже:
   <Settings> … </Settings>:
   • HostName - имя Syslog сервера 
   • Port - порт Syslog сервера 
   • Protocol

1. • - тип подключения к Syslog серверу: TCPoverTLS, TCP, UDP
   • Format - формат логов: Plain, CEF, LEEF

   • SyslogVersion - спецификация протокола: RFC3164, RFC5424

1. • Code Block
     language xml theme Confluence
     <Settings HostName="localhost"

1. • Port="5081"

1. • Protocol="TCP"

1. • Format="CEF"

1. • SyslogVersion="RFC3164"

1. • />

     
     

2. В файле

1. C:\inetpub\wwwroot\ls\clientApps.config

1. отредактируйте секцию

1. pam для работы с файлом Syslog.config - добавьте новый TargetId для WriteTarget:

1. 
   

   Code Block
   language xml
   <Application

1. Id="pam"

1. SchemaId="Pam.Schema">

1. <ReadTargetId>mssqlDB</ReadTargetId> <WriteTargets> <TargetId>mssqlDB</TargetId> <TargetId>Syslog</TargetId> </WriteTargets> <AccessControl> <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />-->

1. </AccessControl> </Application>

   
   

2. Далее в этом же файле в секции

1. Targets

1. добавьте новый элемент:

1. Code Block
   language xml
   <Targets> ... <Target Id="mssqlDb"

1. Type="mssql"/>

1. <Target Id="Syslog"

1. Type="syslog"/>

1. </

1. Targets>