You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Active Directory

Взаимодействие Indeed PAM с конечными пользователями выполняется за счёт учётной записи, которая будет получать список пользователей и их атрибуты. 

Учётная запись для работы с каталогом пользователей

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Вызовите контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMADReadOps
  5. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись.

Учётная запись для сервисных операций в Active Directory 

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Вызовите контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMADServiceOps
  5. Заполните обязательные поля и завершите создание учётной записи
  6. Откройте контекстное меню созданной учётной записи и выберите пункт Свойства (Properties)
  7. Перейдите на вкладку Член группы (Member Of) и нажмите Добавить (Add)
  8. Выполните поиск группы безопасности Администраторы домена (Domain Admins) и нажмите Ok
  9. Сохраните все изменения.

Или используйте уже созданную учётную запись.

Членство в группе безопасности Администраторы домена (Domain Admins) необходимо для сброса пароля доменным администраторам, которыми должен управлять Indeed PAM. Если конечные пользователи не должны получать привилегии администратора домена, а Indeed PAM не должен управлять этими учётными записями, то потребуется выполнить делегирование прав на сброс пароля для определённых контейнеров или домена в целом.

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMADServiceOps
  5. Заполните обязательные поля и завершите создание учётной записи.
  6. Откройте контекстное меню контейнера, подразделения или корня домена.
  7. Выберите пункт Свойства (Properties)
  8. Перейдите на вкладку Безопасность (Security)
  9. Нажмите Добавить (Add)
  10. Выберите учётную запись IPAMADServiceOps и нажмите Ок
  11. Нажмите Дополнительно (Advanced)
  12. Выберите учётную запись IPAMADServiceOps и нажмите Изменить (Edit)
  13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
  15. Сохраните внесённые изменения 


Хранилище медиафайлов и теневых копий

Файловые хранилища необходимы для агрегации и долгосрочного хранения видеозаписей, снимков экрана и передаваемых в сессиях файлов.

Учётная запись для работы с файловым хранилищем

Рекомендуется использовать отдельную учётную запись IPAMStorageOps. Для работы с хранилищами требуется доменная учётная запись Active Directory.

Создание и настройка файлового хранилища 

  1. Выполните вход на сервер, который будет выступать в роли файлового хранилища.
  2. Создайте каталоги, например, MediaData и ShadowCopy
  3. Вызовите контекстное меню каталогов, выберите пункт Предоставить доступ к (Share with) и Отдельные люди (Specific people)
  4. Введите имя учётной записи, например, IPAMStorageOps и нажмите кнопку Добавить (Add)
  5. Выберите IPAMStorageOps из списка добавленных измените Уровень разрешений (Permission level) на Чтение и запись (Read/Write)
  6. Нажатием Поделиться (Share).

Хранилище данных

Для хранения данных Indeed PAM использует следующие БД:

  • IPAMCore - БД компонента Indeed PAM Core, используется для хранения данных привилегированных учётных записей, ресурсов, разрешений, и прочих сервисных данных Indeed PAM.
  • IPAMJobs - БД компонента Indeed PAM Core, используется для хранения задач по расписанию.
  • IPAMIdP - БД компонента Indeed PAM IdP, используется для хранения аутентификаторов пользователей и администраторов Indeed PAM.
  • ILS - БД компонента Indeed Log Server, используется для хранения события Indeed PAM.

Создание баз данных

Microsoft SQL Server

  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  2. Откройте контекстное меню пункта Базы данных (Databases)
  3. Выберите пункт Новая база данных (New Database)
  4. Укажите имя базы данных, например: IPAMCore, IPAMJobsIPAMIdPILS
  5. Нажмите Ок

PostgreSQL, PostgreSQL Pro

  1. Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
  2. Откройте контекстное меню пункта Базы данных (Databases)
  3. Выберите пункт Создать (Create) и База данных (Database)
  4. Укажите имя базы данных, например: IPAMCore, IPAMJobsIPAMIdPILS
  5. Нажмите Сохранить (Save)

Создание и назначение учётной записи для работы с хранилищем данных

Microsoft SQL Server

  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  2. Раскройте пункт Безопасность (Security)
  3. Откройте контекстное меню пункта Имена для входа (Logins)
  4. Выберите пункт Создать имя для входа (Create login)
  5. Укажите имя, например, IPAMSQLServiceOps
  6. Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
  7. Перейдите в пункт Сопоставление пользователей (User Mapping)
  8. Отметьте БД IPAMCoreIPAMJobsIPAMIdP и ILS
  9. Отметьте права db_ownerdb_datareader и db_datawriter
  10. Нажмите Ок

PostgreSQL, PostgreSQL Pro

  1. Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
  2. Откройте контекстное меню пункта Роли входа/группы (Login/Group Roles)
  3. Выберите пункт Создать (Create) и Роль входа/группы (Login/Group Role)
  4. Укажите Имя (Name) учётной записи, например, IPAMSQLServiceOps
  5. Перейдите на вкладку Определения (Definition) и введите пароль для учётной записи
  6. Перейдите на вкладку Права (Privileges), выберите Да (Yes) для пунктов Вход разрешён? (Can login?) и Суперпользователь? (Superuser?)
  7. Нажмите Сохранить (Save)

Права db_owner для Microsoft SQL Server и Superuser для PostgreSQL требуются только для первого обращения к БД.

IIS

Дополнительные компоненты Microsoft .NET Core Hosting Bundle и URL Rewrite (из папки MSComponents) устанавливать только после подготовки IIS.

Генерация секрета для приложений

Для взаимодействия Indeed PAM Core, Indeed PAM Gateway, SSH PROXY и ConsoleApp c Indeed PAM IdP потребуется сгенерировать ключ и его хеш.

  1. Перейдите в каталог Indeed.PAM\Misc\ConsoleApp
  2. Запустите Командную строку (CMD).
  3. Запустите утилиту Pam.ConsoleApp.exe c параметром generate-secret
  4. Сохраните ключ и его хеш.

  • No labels