Page History

PamSu

Установка PamSu

Загрузите установочный пакет на ресурс и выполните команду:

$ sudo dpkg -i Indeed.PAM.PamSu*.deb

$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:

• idp_url - адрес idp
• core_url - адрес core
• log_path - путь к каталогу с файлами логов
• log_level - уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL

Set idp_url https://pam.indeed-id.local/pam/idp
Set apicore_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин 

1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions

2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)

3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)

4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

5. Обновить групповые политики на клиентском ПК

Настройка для машин, к которым не применяются доменные политики 

1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
2. Запустите редактор локальной групповой политики gpedit.msc
3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

Настройка записи событий в Syslog

1. Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте её в Syslog.config, затем отредактируйте в соответствии с настройками ниже:
   <Settings> … </Settings>:
   • HostName - имя Syslog сервера 
   • Port - порт Syslog сервера 
   • Protocol - тип подключения к Syslog серверу: TCPoverTLS, TCP, UDP
   • Format - формат логов: Plain, CEF, LEEF

   • SyslogVersion - спецификация протокола: RFC3164, RFC5424

     Code Block
     language xml theme Confluence
     <Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />

     
     

2. В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию pam для работы с файлом Syslog.config - добавьте новый TargetId для WriteTarget:
   

   Code Block
   language xml
   <Application Id="pam" SchemaId="Pam.Schema"> <ReadTargetId>mssqlDB</ReadTargetId> <WriteTargets> <TargetId>mssqlDB</TargetId> <TargetId>Syslog</TargetId> </WriteTargets> <AccessControl> <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />--> </AccessControl> </Application>

   
   

3. Далее в этом же файле в секции Targets добавьте новый элемент:

   Code Block
   language xml
   <Targets> ... <Target Id="mssqlDb" Type="mssql"/> <Target Id="Syslog" Type="syslog"/> </Targets>