Каталог (Каталог пользователей)
Область Active Directory, из которой inRights Indeed PAM будет получать данные о сотрудниках. В качестве каталога, может быть выбран домен Active Directory целиком, или отдельные контейнеры. Только пользователи каталога имеют право получать разрешения на доступ к ресурсам. inRights Indeed PAM поддерживает мультидоменность и может работать с пользователями разных доменов Active Directory.
Пользователи (Конечные пользователи, Сотрудники).
Сотрудники, чьи учётные записи Active Directory входят в каталог пользователей.
Учётные записи (Учётные записи доступа, Привилегированные учетные записи)
Учётные записи ОС Windows, ОС *nix, СУБД, Active Directory, web-приложений или клиентских приложений, от имени, которых будут открываться сессии в контролируемых системах.
Ресурсы (Конечные ресурсы)
Компьютеры на базе ОС Windows или ОС *nix, также, различные СУБД, web-приложения или клиентские приложения являются ресурсами. Перечисленные объекты могут быть добавлены в inRights Indeed PAM, и использованы для открытия сессии.
Домены (домены Active Directory)
В домене Active Directory содержатся не только учётные записи рядовых сотрудников, но и привилегированные учетные записи, а также, данные о доменных компьютерах. Для управления доменными учётными записями, и автоматического добавления в систему доменных компьютеров в inRights Indeed PAM предусмотрен отдельный тип объектов - домены.
Хранилище данных
Для хранения данных inRights Indeed PAM может использовать различные СУБД:
- Microsoft SQL Server
- PostgreSQL
- PostgreSQL Pro
Сервисная учётная запись для работы с каталогом пользователей
Учётная запись Active Directory с правами на чтение свойств пользователей, состоящих в каталоге.
Сервисная учётная запись для работы с хранилищем данных
Локальная учётная запись СУБД с правами на чтение и запись в БД inRights Indeed PAM.
Сервисная учётная запись для работы с медиахранилищем/хранилищем теневых копий
Учётная запись Active Directory с правами на чтение и запись в медиахранилище и хранилище теневых копий.
Сервисная учётная запись для работы доменом Active Directory
Учётная запись Active Directory c правами на сброс пароля остальных доменных учётных записей.
Группа привилегированных учётных записей доступа Active Directory
Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.
Сервисная учётная запись для работы с локальными учётными записями доступа
Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.
Аутентификатор пользователя
Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.
Сервисное подключение
Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:
- Проверка соединения с ресурсом или доменом
- Синхронизация локальных или доменных учётных записей
- Синхронизация групп безопасности локальных или доменных учётных записей
- Проверка пароля учётных записей
- Изменение пароля учётных записей
- Синхронизация версии ОС или СУБД
- Синхронизация доменных компьютеров
Сервисные операции выполняются от имени учётной записи:
- Для ресурсов (ОС Windows) может быть назначена:
- Локальная учётная запись с правами администратора
- Учётная запись Active Directory с правами локального администратора
- Для ресурсов (ОС *nix) может быть назначена
- Локальная учётная запись с правами на выполнение команды SUDO
- Для доменов Active Directory может быть назначена:
- Доменная учётная запись с правами на сброс пароля.
Пользовательское подключение
Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполнять подключение к ресурсу, доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:
- RDP - подключение к ресурсу по RDP
- SSH - подключение к ресурсу по SSH
- Клиентское - подключение к web-ресурсу или к клиентскому приложению.
Разрешения
Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory может быть выдано разрешение на открытие RDP, SSH или клиентской сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:
- Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
- Учётная запись - локальная или доменная учётная запись доступа, от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
- Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.
| Warning | ||
|---|---|---|
| ||
Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены. |
Состояния учётных записей доступа
- Ожидает решения (
) - учётная запись добавленная в inRights Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе inRights Indeed PAM нет её пароля, такая учётная запись не управляется inRights Indeed PAM и не может стать участником разрешения. - Управляемая - Для учётной записи предоставлен пароль, такой учётной записью управляет inRights Indeed PAM, и она может стать участником разрешения.
- Игнорируется (
) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется inRights Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны. - Заблокирована (
) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут приостановлены. - Удалена (
) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется inRights Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.
Состояния ресуров
- Готов - ресурс добавлен.
- Заблокирован () - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
- Удалён () - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.
Состояния доменов
- Готов - домен добавлен.
- Удалён () - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов
Состояния сессий
- Активная - если для пользователя есть разрешение на доступ к целевому ресурсу с указанной учетной записи, которые не заблокированы и разрешение не отозвано, то сервер создает сессию, которая становится активной.
- Завершенная - сессия завершается при завершении пользователем сеанса работы с целевым ресурсом, например завершение сеанса удалённого доступа к серверу, закрытие окна рабочего приложения или веб-страницы.
- Прерванная - сессия становится прерванной при принудительном завершении администратором PAM активной сессии пользователя.
Политики
Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
- Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
- Политики подключений - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.
| Backtotop | ||||
|---|---|---|---|---|
|
| Divbox | ||||
|---|---|---|---|---|
| ||||
|