Page History

Получение доступа к ресурсам выполняется при помощи специальной оболочки для Indeed PAM Core, консоли пользователя. Доступна по следующему URL:

• https://pam.domain.local/pam/uc

Обучение аутентификатора

Для работы с консолью пользователя необходимо обучить аутентификатор. Выполните вход в консоль, если пользователь не имеет аутентификатора, то он будет перенаправлен на IDP для его регистрации:

После успешной регистрации вы будете перенаправлены в консоль пользователя.

Получение доступа к ресурсу

В консоли отображаются разрешения на доступ к ресурсам. Для каждого разрешения указан ресурс, тип подключения, адрес подключения и учётная запись, от имени которой будет открыта сессия. По каждому столбцу доступна сортировка. При вводе символов в поле для поиска совпадения будут выводиться по всем столбцам.

Доступ к ресурсам осуществляется при помощи RDP-файлов. Для загрузки файла необходимо нажать Подключиться справа от нужного разрешения или нажать Подключиться к шлюзу доступа. Второй вариант подключения удобен при большом количестве разрешений, так как позволяет выбрать нужный ресурс после аутентификации.

В деталях разрешений отображаются период действия, расписание доступа и идентификатор разрешения (порядковый номер разрешения в Разделе разрешений в консоли управления).

Прямое подключение к ресурсу

• Нажмите Подключиться справа от нужного разрешения.
• Запустите RDP-файл для доступа к ресурсу.
• Выполните аутентификацию и следуйте этапам настройки подключения.

Подключение к шлюзу доступа

• Нажмите Подключиться к шлюзу доступа.
• Запустите RDP-файл для доступа к ресурсу.
• Выполните аутентификацию и следуйте этапам настройки подключения.

Подключение к SSH Proxy

Для подключения к шлюзу SSH Proxy можно воспользоваться любым SSH клиентом.

• Запустите SSH-клиент.
• Укажите адрес SSH Proxy и выполните подключение.
• Пройдите аутентификацию.
• Выберите ресурс для подключения.

Подключение по SSH напрямую

Шаблон команды для подключения напрямую к ресурсу через ssh-клиент:

ssh [user-name]#[resource]#[account-name]#[reason]@[proxy-address]

где:

• user-name - имя пользователя
• resource - IP адрес/DNS имя конечного ресурса
• account-name - имя привилегированной учетной записи
• reason - текст причины подключения
• proxy-address - IP адрес/DNS SSH Proxy

Если причина содержит пробелы, то её следует указывать в кавычках. Если какой-то из параметров не указан, то SSH Proxy дополнительно запросит необходимую информацию.

После выполнения команды SSH Proxy запросит пароль пользователя и TOTP.

Пример команды: 

ssh victor.osipov#ubuntu#webmaster#"system configuration"@pam

Выполнение команд с привилегией root

Для выполнения команд с привилегией root, аналогично sudo используется команда pamsu. Отличие заключается в том, что аутентификация будет запрашиваться у пользователя PAM, а не привилегированной УЗ от имени которой открыта сессия.

Перед командой с аргументами необходимо ввести два дефиса. Пример:

[administrator@centos7su ~]$ pamsu -- ls -la /etc/ssl
Password for indeed-id\victor.osipov:
total 12
drwxr-xr-x. 4 root root 68 Sep 22 19:20 .
drwxr-xr-x. 75 root root 8192 Sep 22 17:49 ..
drwxr-xr-x. 2 root root 123 Sep 22 19:30 CA
lrwxrwxrwx. 1 root root 21 Sep 22 15:51 cert.pem -> /etc/pki/tls/cert.pem
lrwxrwxrwx. 1 root root 16 Nov 23 2020 certs -> ../pki/tls/certs
[administrator@centos7su ~]$ 
[administrator@centos7su ~]$ pamsu vi /etc/resolv.conf

Просмотр пароля и SSH-ключа учётной записи

Если пользователь имеет разрешение, в котором включена опция Разрешить просмотр учётных данных пользователем, то в личном кабинете станет доступен раздел Учётные записи. В разделе отображаются все учётные записи, для которых доступен просмотр пароля и SSH-ключа. Для просмотра нажмите Показать учётные данные, введите причину просмотра и подтвердите свои действия.

Завершение сессии

Для завершения сессии завершите сеанс пользователя на ресурсе, либо закройте окно удалённого подключения.