Создание сервисной учетной записи для работы с хранилищем данных
Для полноценной работы системы Indeed Certificate Manager необходимо наличие определенных прав доступа к объектам Active Directory. В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте сервисную учетную запись (например, servicecm), от имени которой будут выполняться операции сохранения и чтения данных в хранилище Active Directory.
Создание хранилища данных
Хранилище данных Indeed Certificate Manager создается при помощи утилиты IndeedCM.PersistenceAD.Cfg.exe (располагается в каталоге Misc дистрибутива сервера).
В общем случае, для создания хранилища при помощи утилиты IndeedCM.Persistence.AD.Cfg.exe в корне домена необходимо наличие прав Администратора Домена (Domain Admins), либо администратор домена может создать вручную Подразделение (Organizational Unit) с произвольным именем и предоставить полный доступ на управление этим подразделением и всеми его дочерними объектами сервисной учетной записи (servicecm), от имени которой будет запущена утилита IndeedCM.Persistence.AD.Cfg.exe.
Для создания хранилища данных запустите утилиту IndeedCM.Persistence.AD.Cfg.exe с параметром /create <LDAP Path> <container name> <subcontainer name>, где:
LDAP Path – путь к контейнеру или корню домена, в котором необходимо создать хранилище.
container name – имя контейнера, в котором будут храниться все данные системы.
На Рисунке 1 приведен пример запуска и выполнения команды для создания хранилища данных в подразделении MSK Office, домена demo.local c именем контейнера Indeed Identity и именем подконтейнера Indeed CM.
Рисунок 1 – Создание хранилища данных Indeed CM в Active Directory.
Выдайте сервисной учетной записи (servicecm) Полные права (Full Control) на Этот объект и все дочерние объекты (This object and all descendant objects) для созданного контейнера Indeed Identity.
Для этого выполните следующее:
1. Откройте свойство Безопасность (Security) контейнера Indeed Identity. 2. Нажмите Добавить (Add) и укажите сервисную учетную запись (servicecm). 3. Нажмите Дополнительно (Advanced), выберите сервисную учетную запись и нажмите Изменить (Edit). 4. Выберите область применения Этот объект и все дочерние объекты (This object and all descendant objects). 5. Установите разрешение Полный доступ (Full control) в списке Разрешений (Permissions). 6. Нажмите ОК и затем Применить (Apply).