- Created by Dmitry Ignatyev, last modified by Danila Vasilyev on May 18, 2023
PamSu
Установка PamSu
Установка утилиты PamSu выполняется на ресурсы ОС *nix.
Загрузите установочный пакет на ресурс и выполните команду:
$ sudo dpkg -i Indeed.PAM.PamSu*.deb
$ sudo rpm -i Indeed.PAM.PamSu*.rpm
Настройка PamSu
На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:
$ curl https://pam.indeed-id.local
Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:
- idp_url - адрес idp
- core_url - адрес core
- log_path - путь к каталогу с файлами логов
- log_level - уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL
Set idp_url https://pam.indeed-id.local/pam/idp Set core_url https://pam.indeed-id.local/pam/core Set log_path /var/log Set log_level INFO
На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.
Indeed PAM Agent
Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.
После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.
Indeed PAM Desktop Console
Настройка Indeed Pam Desktop Console для доменных машин
Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions
На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)
Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
Включите и настроите PAM connection settings (Настройки подключения с PAM)
Обновить групповые политики на клиентском ПК
Настройка для машин, к которым не применяются доменные политики
- Скопируйте содержимое папки \IPAM\IPAMDC\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
- Запустите редактор локальной групповой политики gpedit.msc
- Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
- Включите и настроите PAM connection settings (Настройки подключения с PAM)
Настройка записи событий в Syslog
- Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте её в Syslog.config, затем отредактируйте в соответствии с настройками ниже:
<Settings> … </Settings>:- HostName - имя Syslog сервера
- Port - порт Syslog сервера
- Protocol - тип подключения к Syslog серверу: TCPoverTLS, TCP, UDP
- Format - формат логов: Plain, CEF, LEEF
SyslogVersion - спецификация протокола: RFC3164, RFC5424
<Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />
В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию pam для работы с файлом Syslog.config - добавьте новый TargetId для WriteTarget:
<Application Id="pam" SchemaId="Pam.Schema"> <ReadTargetId>mssqlDB</ReadTargetId> <WriteTargets> <TargetId>mssqlDB</TargetId> <TargetId>Syslog</TargetId> </WriteTargets> <AccessControl> <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />--> </AccessControl> </Application>
Далее в этом же файле в секции Targets добавьте новый элемент:
<Targets> ... <Target Id="mssqlDb" Type="mssql"/> <Target Id="Syslog" Type="syslog"/> </Targets>
- No labels