Active Directory
Взаимодействие Indeed PAM с конечными пользователями выполняется за счёт учётной записи, которая будет получать список пользователей и их атрибуты.
Учётная запись для работы с каталогом пользователей
- Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Вызовите контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMADReadOps
- Заполните обязательные поля и завершите создание учётной записи
Или используйте уже созданную учётную запись.
Учётная запись для сервисных операций в Active Directory
- Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Вызовите контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMADServiceOps
- Заполните обязательные поля и завершите создание учётной записи
- Откройте контекстное меню созданной учётной записи и выберите пункт Свойства (Properties)
- Перейдите на вкладку Член группы (Member Of) и нажмите Добавить (Add)
- Выполните поиск группы безопасности Администраторы домена (Domain Admins) и нажмите Ok
- Сохраните все изменения.
Или используйте уже созданную учётную запись.
Tip |
---|
|
Членство в группе безопасности Администраторы домена (Domain Admins) необходимо для сброса пароля доменным администраторам, которыми должен управлять Indeed PAM. Если конечные пользователи не должны получать привилегии администратора домена, а Indeed PAM не должен управлять этими учётными записями, то потребуется выполнить делегирование прав на сброс пароля для определённых контейнеров или домена в целом.
Запустите - оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Откройте контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMADServiceOps
- Заполните обязательные поля и завершите создание учётной записи.
- Откройте контекстное меню контейнера, подразделения или корня домена.
- Выберите пункт Свойства (Properties)
- Перейдите на вкладку Безопасность (Security)
- Нажмите Добавить (Add)
- Выберите учётную запись IPAMADServiceOps и нажмите Ок
- Нажмите Дополнительно (Advanced)
- Выберите учётную запись IPAMADServiceOps и нажмите Изменить (Edit)
- Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
- В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
- Сохраните внесённые изменения
Или используйте уже созданную учётную запись.
Хранилище медиафайлов и теневых копий
Файловые хранилища необходимы для агрегации и долгосрочного хранения видеозаписей, снимков экрана и передаваемых в сессиях файлов.
Учётная запись для работы с файловым хранилищем
Warning |
---|
|
Рекомендуется использовать отдельную учётную запись IPAMStorageOps. Для работы с хранилищами требуется доменная учётная запись Active Directory. |
Создание и настройка файлового хранилища
- Выполните вход на сервер, который будет выступать в роли файлового хранилища.
- Создайте каталоги, например, MediaData, ShadowCopy и ShadowCopy Screencasts.
- Вызовите контекстное меню каталогов, выберите пункт Предоставить доступ к (Share with) и Отдельные люди (Specific people)
- Введите имя учётной записи, например, IPAMStorageOps и нажмите кнопку Добавить (Add)
- Выберите IPAMStorageOps из списка добавленных измените Уровень разрешений (Permission level) на Чтение и запись (Read/Write)
- Нажатием Нажмите Поделиться (Share).
Хранилище данных
Для хранения данных Indeed PAM использует следующие БД:
- IPAMCore - БД компонента Indeed PAM Core, используется для хранения данных привилегированных учётных записей, ресурсов, разрешений, и прочих сервисных данных Indeed PAM.
- IPAMJobs - БД компонента Indeed PAM Core, используется для хранения задач по расписанию.
- IPAMIdP - БД компонента Indeed PAM IdP, используется для хранения аутентификаторов пользователей и администраторов Indeed PAM.
- ILS - БД компонента Indeed Log Server, используется для хранения события Indeed PAM.
Создание баз данных
Divbox |
---|
|
Expand |
---|
title | Microsoft SQL Server |
---|
| - Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
- Откройте контекстное меню пункта Базы данных (Databases)
- Выберите пункт Новая база данных (New Database)
- Укажите имя базы данных, например: IPAMCore, IPAMJobs, IPAMIdP, ILS
- Нажмите Ок
|
|
Divbox |
---|
|
Expand |
---|
title | PostgreSQL, PostgreSQL Pro |
---|
| - Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
- Откройте контекстное меню пункта Базы данных (Databases)
- Выберите пункт Создать (Create) и База данных (Database)
- Укажите имя базы данных, например: IPAMCore, IPAMJobs, IPAMIdP, ILS
- Нажмите Сохранить (Save)
|
|
Создание и назначение учётной записи для работы с хранилищем данных
Divbox |
---|
|
Expand |
---|
title | Microsoft SQL Server |
---|
| - Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
- Раскройте пункт Безопасность (Security)
- Откройте контекстное меню пункта Имена для входа (Logins)
- Выберите пункт Создать имя для входа (Create login)
- Укажите имя, например, IPAMSQLServiceOps
- Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
- Перейдите в пункт Сопоставление пользователей (User Mapping)
- Отметьте БД IPAMCore, IPAMJobs, IPAMIdP и ILS
- Отметьте права db_owner, db_datareader и db_datawriter
- Нажмите Ок
|
|
Divbox |
---|
|
Expand |
---|
title | PostgreSQL, PostgreSQL Pro |
---|
| - Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
- Откройте контекстное меню пункта Роли входа/группы (Login/Group Roles)
- Выберите пункт Создать (Create) и Роль входа/группы (Login/Group Role)
- Укажите Имя (Name) учётной записи, например, IPAMSQLServiceOps
- Перейдите на вкладку Определения (Definition) и введите пароль для учётной записи
- Перейдите на вкладку Права (Privileges), выберите Да (Yes) для пунктов Вход разрешён? (Can login?) и Суперпользователь? (Superuser?)
- Нажмите Сохранить (Save)
|
|
Note |
---|
|
Права db_owner для Microsoft SQL Server и Superuser для PostgreSQL требуются только для первого обращения к БД. |
IIS
Дополнительные компоненты Microsoft .NET Core Hosting Bundle и URL Rewrite (из папки MSComponents) устанавливать только после подготовки IIS.
Генерация секрета для приложений
Для взаимодействия Indeed PAM Core, Indeed PAM Gateway, SSH PROXY и ConsoleApp c Indeed PAM IdP потребуется сгенерировать ключ и его хеш.
Excerpt |
---|
Перейдите в каталог Indeed.PAM\Misc\ConsoleAppЗапустите Командную строку (CMD).Запустите утилиту Pam.ConsoleApp.exe c параметром generate-secretСохраните ключ и его хеш . |