Versions Compared

Old Version 90

changes.mady.by.user Pavel Golubnichiy

Saved on

compared with

New Version 91

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

User directory

As a user directory, containers and Active Directory organizational units or containers are used . To as user directory. A service account is required to work with a directory, you need a service account that reads the user properties in that directory.

Создание учётной записи для работы с каталогом пользователей

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

  1. Вызовите контекстное меню контейнера или подразделения.
  2. Выберите пункт Создать (Create) - Пользователь (User)
  3. Укажите имя, например, IPAMManager
  4. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись, по умолчанию права на чтение свойств остальных пользователей есть у всех в домене Active Directory. 

Видеохранилище

in order to read directory users properties.

Creating an account to use with user directory

Run the Active Directory Users and Computers snap-in.

  1. Open the context menu of organizational unit or container.
  2. Select Create - User item from the menu.
  3. Specify the user name, say, IPAMManager.
  4. Fill in the mandatory fields and complete the account creation.

Alternatively, you can use an existing account. All Active Directory domain users have a right to read the properties of other users by default.

Video storage

A service account is required to access video storage. The account is used to perform read and write operations. It is recommended to use the existing IPAMManager account as the service oneДля доступа к видеохранилищу потребуется сервисная учётная запись, которая будет выполнять операции чтения и записи. В качестве сервисной рекомендуется использовать уже созданную учётную запись IPAMManager.

Warning
iconfalse

Для работы с видеохранилищем требуется доменная учётная запись.

Хранилище данных

A domain account is required to work with video storage.

Data storage

Microsoft SQL Server database is used to store Indeed PAM data. The following components require databasesДля хранения данных Indeed PAM использует СУБД Microsoft SQL Server. Базы данных необходимы для следующих компонентов:

  • Indeed PAM Core (БД DB IPAMCore и БД DB IPAMTasks)
  • Indeed PAM IdP (БД DB IPAMIdP)
  • Indeed Log Server (БД DB ILS)

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи для работы с хранилищем данных. Учётная запись должна обладать следующими правами на базы данных: 

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

Создание баз данных

Table creation, data read and write operations are performed under service account to use with data storage. The account should have the following database rights:

  • db_owner - this is required to create tables upon the first request to database
  • db_datareader - for read operations from database
  • db_datawriter - for write operations to database

Database creation

  1. Run Microsoft SQL Management Studio (SSMS) and connect to Microsoft SQL Server instance.
  2. Open the context menu of Databases item.
  3. Select the New Database item.
  4. Specify a database name, for example
  5. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  6. Откройте контекстное меню пункта Базы данных (Databases)
  7. Выберите пункт Новая база данных (New Database)
  8. Укажите имя базы данных, например: IPAMCore, IPAMTasksIPAMIdPILS
  9. Нажмите Ок

Создание сервисной учётной записи для работы с хранилищем данных

  1. Click Ок

Creating a service account to work with data storage

  1. Start Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру and connect to the Microsoft SQL Server instance.
  2. Раскройте пункт Безопасность (Security)
  3. Откройте контекстное меню пункта Имена для входа (Logins)
  4. Выберите пункт Создать имя для входа (Create login)
  5. Укажите имя, например, IPAMSQLService
  6. Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
  7. Перейдите в пункт Сопоставление пользователей (User Mapping)
  8. Expand the Security item
  9. Open the context menu of Logins item
  10. Select the Create login item
  11. Enter the name, for example IPAMSQLService
  12. Select SQL Server authentication item and fill in the required fields
  13. Switch to User Mapping item
  14. Check Отметьте базы данных IPAMCoreIPAMTasksIPAMIdP и and ILS databases
  15. Отметьте права Check database roles db_ownerdb_datareader и  and db_datawriter
  16. Нажмите Ок
Сервисные операции в
  1. Click ОK

Service operations on Active Directory

Сервисные операции в Active Directory выполняются от имени сервисной учётной записи: 

  • Проверка соединения с доменом
  • Синхронизация доменных учётных записей
  • Проверка пароля доменных учётных записей
  • Изменение пароля доменных учётных записей

Создание и настройка сервисной учётной записи для работы с Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMService
  5. Заполните обязательные поля и завершите создание учётной записи.
  6. Откройте контекстное меню контейнера или подразделения, в которых расположены учётные записи доступа.
  7. Выберите пункт Свойства (Properties)
  8. Перейдите на вкладку Безопасность (Security)
  9. Нажмите Добавить (Add)
  10. Выберите учётную запись IPAMService и нажмите Ок
  11. Нажмите Дополнительно (Advenced)
  12. Выберите учётную запись IPAMService и нажмите Изменить (Edit)
  13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
  15. Сохраните внесённые изменения 

Создание группы безопасности для привилегированных учётных записей доступа Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню домена, контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Группа (Group)
  4. Укажите имя, например, IPAMPrivilegedAccounts
  5. В секции Область действия группы (Group scope) выберите Глобальная (Global)
  6. В секции Тип группы (Group type) выберите Группа безопасности (Security)
  7. Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Синхронизация локальных учётных записей
  • Проверка пароля локальных учётных записей
  • Изменение пароля локальных учётных записей

Настройка доменной учётной записи в качестве сервисной

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management)
  3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  4. Откройте контекстное меню группы Администраторы (Administrators)
  5. Выберите пункт Свойства (Properties)
  6. Нажмите Добавить (Add)
  7. Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:

Active Directory service operations are performed on behalf of the service account:

  • Checking the connection to the Domain
  • Domain accounts synchronization
  • Checking the domain account password
  • Changing the domain account password

Creating and configuring the service account to use with Active Directory

  1. Start the Active Directory Users and Computers snap-in.
  2. Open the context menu of the Container or Organization Unit.
  3. Select Create - User item
  4. Enter the name, for example IPAMService
  5. Fill in the required fields and complete the creation of the account.
  6. Open the context menu of the Container or Organization Unit in which the access accounts are located.
  7. Select Properties item
  8. Go to Security tab
  9. Click Add
  10. Select IPAMService account and click OK
  11. ClickAdvanced
  12. Select IPAMService account and click Edit
  13. For the field Applies to: set value Descendant User objects
  14. In the Permissions: section check Reset password
  15. Save the changes

Create a security group for Active Directory Privileged access accounts 

  1. Start the Active Directory Users and Computers snap-in.
  2. Open the context menu of the Domain, Container or Organization Unit
  3. Select Create - Group item
  4. Enter the name, for example IPAMPrivilegedAccounts
  5. Select Global in the Group scope section
  6. Select Security in the Group type section
  7. Save the changes

Service operations for Windows resources

The following service operations are performed at Windows resources on behalf of the domain or local service account:

  • Checking of connection to resources
  • Synchronization of local accounts
  • Checking of local account passwords
  • Changing of local account passwords

Configuring a domain account as service one

  1. Log in to resource
  2. Run the Computer management snap-in
  3. Switch to System tools - Local Users and Groups - Groups section
  4. Open the context menu of Administrators group
  5. Select Properties item
  6. Click Add
  7. Select the domain account to be used as service one for the resource and click OK

Configuring a local account as service one

If you plan to use local built-in administrator account as service account, then no additional configuration is required. Otherwise, proceed as follows:

  1. Log in to resource
  2. Run the Computer management snap-in
  3. Switch to System tools - Local Users and Groups - Groups section
  4. Open the context menu of Administrators group
  5. Select Properties item
  6. Click Add
  7. Select the local account to be used as service one for the resource and click Ок
  8. Run Windows registry editor (RegEdit)
  9. Expand the
  10. Выполните вход на ресурс.
  11. Запустите оснастку Управление компьютером (Computer management)
  12. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  13. Откройте контекстное меню группы Администраторы (Administrators)
  14. Выберите пункт Свойства (Properties)
  15. Нажмите Добавить (Add)
  16. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
  17. Запустите Редактор реестра (RegEdit)
  18. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
  19. Откройте контекстное меню раздела System
  20. branch
  21. Open the context menu of System section
  22. Select Create - DWORD Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
  23. Введите название параметра - LocalAccountTokenFilterPolicy
  24. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
  25. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Синхронизировать учётные записи выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts.

Настройка TrustedHosts

  2. Specify the parameter name - LocalAccountTokenFilterPolicy
  3. Open the context menu of LocalAccountTokenFilterPolicy parameter
  4. Select Modify item and set the Value data:  equal to 1

Registry editing is required due to restrictions on remote WinRM management for all local accounts except for built-in administrator account.

Configuring a resource to use local accounts as service one

Synchronize accounts operation is performed using remote WinRM management. It is necessary to add the resource to the TrustedHosts list if local resource accounts are used as service ones.

Configuring the TrustedHosts list

  1. Log in to the server on which Indeed PAM Core will be installed.
  2. Run Command line (CMD) as Administrator.
  3. Execute the following command:
  4. Выполните вход на сервер, на котором будет установлен компонент Indeed PAM Core
  5. Откройте Командную строку (CMD) от имени администратора
  6. Выполните команду
Code Block
languagepowershell
winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенныхThe specified resources shall be added to the TrustedHosts list.

Warning
iconfalse

При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает староеWhen adding new resources to the trusted list, you must specify previously added resources and new ones, since the new value overwrites the old one.

Code Block
@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}
Сервисные операции для ресурсов


Service operations for *nix


Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Поиск учётных локальных записей доступа
  • Проверка пароля локальных учётных записей доступа
  • Изменение пароля локальных учётных записей доступа

Создание и настройка сервисной учётной записи

resources

The following service operations are performed at *nix resources on behalf of the local service account:

  • Checking of connection to resource
  • Searching for local accounts
  • Checking of local account passwords
  • Changing of local account passwords

Creating and configuring a service account

  1. Log in to resource.
  2. Run Terminal.

  3. Create a user, for example IPAMService:

  4. Выполните вход на ресурс
  5. Запустите Терминал (Terminal)

  6. Создайте пользователя, например, IPAMService

    Code Block
    languagebash
    adduser IPAMService


  7. Add the user to SUDO groupДобавьте пользователя в группу SUDO

    Code Block
    languagebash
    usermod -aG sudo IPAMService

Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM


Configuring a group of privileged accounts

Automatic searching and adding of Access accounts to Indeed PAM is performed based on their permission to execute a SUDO command. To grant the permission to execute SUDO command, you need to edit the /etc/sudoers file.

SSL Configuration for Indeed PAM components

Secure interaction will require certificates for servers that have Indeed PAM components installed. The certificates can be generated using the standard Machine templateДля защищённого взаимодействия потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).

Backtotop
Delay0
Distance250


Divbox
classrightFloat

Table of Contents
printablefalse