You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 5 Next »

PamSu

Установка PamSu

Установка утилиты PamSu выполняется на ресурсы ОС *nix.

Загрузите установочный пакет на ресурс и выполните команду:

Установка на Debian-based ОС
$ sudo dpkg -i Indeed.PAM.PamSu*.deb
Установка на RedHat-based ОС
$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:

  • idp_url - адрес idp
  • api_url - адрес core
  • log_path - путь к каталогу с файлами логов
  • log_level - уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL
Set idp_url https://pam.indeed-id.local/pam/idp
Set api_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

Для разрешения выполнения команды pamsu необходимо включить в политике, в разделе SSH опцию Разрешить выполнять pamsu.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин 

  1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions

  2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)

  3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)

  4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

  5. Обновить групповые политики на клиентском ПК

Настройка для машин, к которым не применяются доменные политики 

  1. Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
  2. Запустите редактор локальной групповой политики gpedit.msc
  3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
  4. Включите и настроите PAM connection settings (Настройки подключения с PAM)

  • No labels