You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Каталог пользователей

Область Active Directory, из которой Indeed PAM будет получать данные о сотрудниках. В качестве каталога пользователей, может быть выбран домен Active Directory целиком, или отдельные контейнеры. Indeed PAM поддерживает мультидоменность и может работать с пользователями разных доменов Active Directory.

Пользователи

Сотрудники, чьи учётные записи Active Directory входят в каталог пользователей.

Учётные записи

Локальные или доменные привилегированные учётные записи предназначенные для работы системами Windows, *nix, различными СУБД, или другими системами.

Ресурсы

Различные системы, к которым необходимо получить доступ от имени учётных записей.

Домены

Домены предназначены для получения и автоматического добавления в Indeed PAM доменных компьютеров и доменных привилегированных учётных записей.

Хранилище данных

Для хранения данных Indeed PAM использует СУБД:

  • Microsoft SQL Server
  • PostgreSQL
  • PostgreSQL Pro

Сервисное подключение

Для ресурсов может быть настроено сервисное подключение для выполнения операций:

  1. Проверка соединения
  2. Синхронизация учётных записей
  3. Синхронизация групп безопасности
  4. Проверка пароля учётных записей
  5. Изменение пароля учётных записей
  6. Синхронизация версии ОС или СУБД
  7. Синхронизация доменных компьютеров

Следующие типы ресурсов поддерживают сервисное подключение:

  • Windows
  • *nix
  • Microsoft SQL Server
  • PostgreSQL
  • MySQL
  • OracleDB
  • Cisco 
  • Inspur

Сервисные операции выполняются от имени учётной записи:

  1. Для ресурсов (Windows) может быть назначена:
    • Локальная учётная запись с правами администратора
    • Учётная запись Active Directory с правами локального администратора
  2. Для ресурсов (*nix) может быть назначена
    • Локальная учётная запись с правами на выполнение команды SUDO
  3. Для доменов Active Directory может быть назначена:
    • Доменная учётная запись с правами доменного администратора.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполняться подключение к ресурсу. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

  • RDP
  • SSH
  • Клиентское - подключение через клиентское приложение, например, браузер или клиент СУБД.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory может быть выдано разрешение на открытие RDP, SSH или клиентской сессии на ресурсе от имени локальной, доменной или собственной учётной записи доступа.
Состав разрешения:

  • Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
  • Учётная запись - локальная, доменная  или собственная учётная запись, от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
  • Ресурс - ресурс, на котором будет открыта сессия.

Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены.

Состояния учётных записей доступа

  • Ожидает решения () - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения.
  • Управляемая -  Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
  • Игнорируется () - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны.
  • Заблокирована () - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником  разрешения, а все разрешения, в которых она использовалась, будут приостановлены.
  • Удалена () - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.

Состояния ресуров

  • Готов - ресурс добавлен.
  • Заблокирован () - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
  • Удалён () - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.

Состояния доменов

  • Готов - домен добавлен.
  • Удалён () - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов

Состояния сессий

  • Активная - если для пользователя есть разрешение на доступ к целевому ресурсу с указанной учетной записи, которые не заблокированы и разрешение не отозвано, то сервер создает сессию, которая становится активной. 
  • Завершенная - сессия завершается при завершении пользователем сеанса работы с целевым ресурсом, например завершение сеанса удалённого доступа к серверу, закрытие окна рабочего приложения или веб-страницы.
  • Прерванная - сессия становится прерванной при принудительном завершении администратором PAM активной сессии пользователя.

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.

  • No labels