Versions Compared

Old Version 13

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Каталог пользователей

В качестве каталога пользователей используется домен используются контейнеры или подразделения Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств читать свойства пользователей находящихся в каталоге.

Создание учётной записи для работы с каталогом пользователей

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

  1. Вызовите контекстное меню контейнера или подразделения.
  2. Выберите пункт Создать (Create) - Пользователь (User)
  3. Укажите имя, например, IPAMManager
  4. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную записьСоздайте учётную запись, например, IPAMService или используйте уже созданную, по умолчанию права на чтение свойств остальных пользователей есть у всех учётных записей домена в домене Active Directory. 

Видеохранилище

Видеохранилище представляет собой сетевую папку с настроенным доступом. Для доступа к видеохранилищу потребуется сервисная учётная запись, которая будет выполнять операции чтения и записи. В качестве сервисной рекомендуется использовать уже созданную учётную запись IPAMManager.

Warning
iconfalse

Для работы с видеохранилищем требуется доменная учётная запись.

Для создания сетевой папки выполните следующие действия:

  1. На сетевом хранилище создайте папку.
  2. Вызовите контекстное меню созданной папки, выберите пункт Предоставить доступ к (Share with) > Отдельные люди... (Specific people...)
  3. Введите имя пользователя (IPAMManager) и нажмите кнопку Добавить (Add)
  4. Чуть ниже в графе "Уровень разрешений" (Permission level) нажмите на значение Чтение (Read) рядом с пользователем IPAMManager и выберите в меню пункт Чтение и запись (Read/Write).
  5. Завершите создание сетевой папки нажатием кнопки Поделиться (Share).

Теневое хранилище файлов

В хранилище копируются файлы, которые пользователь передает на целевой ресурс. Представляет собой сетевую папку аналогичную видеохранилищу.

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server , базы или PostgreSQL, PostgreSQL Pro. Базы данных необходимы для следующих компонентов:

  • Indeed PAM Core (БД IPAMCore и БД IPAMTasks)
  • Indeed PAM IDPIdP (БД IPAMIdP)
  • Indeed Log Server (БД ILS
Warning
iconfalse

База ILS требуется только для конфигурации с хранением событий в СУБД. При использовании Windows Event Log в создании базы нет необходимости.

Создание таблиц, чтение и запись данных выполняются выполняется от имени сервисной учётной записи для работы с правами:

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

хранилищем данных. Учётная запись должна обладать правами на чтение и запись в БД.

Создание баз данных

Microsoft SQL Server

Настройка

Вызовите
  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.

Создание баз данных:

  1. Откройте контекстное меню пункта Базы данных (Databases)
  2. Выберите пункт Новая база данных (New Database)
  3. Укажите имя базы данных, например: 
IPAMCORE
  1. IPAMCore, IPAMTasks
IPAMIDP
  1. IPAMIdPILS
  2. Нажмите Ок

PostgreSQL, PostgreSQL Pro

  1. Запустите pgAdmin и выполните подключение к серверу PostgreSQL
  2. Откройте контекстное меню пункта Базы данных (Databases)
  3. Выберите пункты Создать (Create), База данных (Database)
Создание имени для входа и назначение прав:
  1. Укажите имя базы данных, например: IPAMCore, IPAMTasksIPAMIdPILS
  2. Нажмите Сохранить (Save)

Создание сервисной учётной записи для работы с хранилищем данных

Microsoft SQL Server

  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  2. Раскройте пункт Безопасность (Security)
Вызовите
  1. Откройте контекстное меню пункта Имена для входа (Logins)
  2. Выберите пункт Создать имя для входа (Create login)
Выберите тип проверки подлинности
  1. Укажите имя, например, IPAMSQLService
  2. Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
  3. Перейдите в пункт Сопоставление пользователей (User Mapping)
  4. Отметьте
флажком
  1. базы данных 
IPAMCORE
  1. IPAMCoreIPAMTasks
IPAMIDP
  1. IPAMIdP и ILS
  2. Отметьте
флажком
  1. права db_ownerdb_datareader и db_datawriter
  2. Нажмите Ок

PostgreSQL, PostgreSQL Pro

  1. Запустите pgAdmin и выполните подключение к серверу PostgreSQL
  2. Откройте контекстное меню пункта Роли входа/группы (Login/Group Roles)
  3. Выберите пункт Создать (Create), Роль входа/группы (Login/Group Role)
  4. Укажите Имя (name), например, IPAMSQLService, во вкладке Определения (Definition) введите новый пароль, во вкладке Права (Privileges), в пункте Вход разрешён? (Can login?) выберите Да (Yes), нажмите Сохранить (Save)
  5. Перейдите в созданные базы данных, откройте контекстное меню, выберите Свойства (Properties), укажите Владельца (Owner) IPAMSQLService
  6. Перейдите во вкладку Безопасноть (Security), в Правах (Privileges) добавьте новый ряд, в графе Субъект (Grantee) из списка выберите IPAMSQLService, щёлкните по ячейке в графе Права и отметьте флажками пункты All и With grant option
  7. Нажмите Сохранить (Save), повторите для остальных баз.

Сервисные операции в Active Directory

Сервисные операции в Active Directory выполняются от имени сервисной учётной записи: 

  • Проверка соединения с доменом
  • Синхронизация доменных учётных записей
  • Проверка пароля доменных учётных записей
  • Изменение пароля доменных учётных записей

Создание и настройка сервисной учётной записи для работы с Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMService
  5. Заполните обязательные поля и завершите создание учётной записи.
  6. Откройте контекстное меню контейнера или подразделения, в которых расположены учётные записи доступа.
  7. Выберите пункт Свойства (Properties)
  8. Перейдите на вкладку Безопасность (Security)
  9. Нажмите Добавить (Add)
  10. Выберите учётную запись IPAMService и нажмите Ок
  11. Нажмите Дополнительно (Advanced)
  12. Выберите учётную запись IPAMService и нажмите Изменить (Edit)
  13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
  15. Сохраните внесённые изменения 

Создание группы безопасности для привилегированных учётных записей доступа Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню домена, контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Группа (Group)
  4. Укажите имя, например, IPAMPrivilegedAccounts
  5. В секции Область действия группы (Group scope) выберите Глобальная (Global)
  6. В секции Тип группы (Group type) выберите Группа безопасности (Security)
  7. Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Синхронизация локальных учётных записей
  • Проверка пароля локальных учётных записей
  • Изменение пароля локальных учётных записей

Настройка доменной учётной записи в качестве сервисной

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management)
  3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  4. Откройте контекстное меню группы Администраторы (Administrators)
  5. Выберите пункт Свойства (Properties)
  6. Нажмите Добавить (Add)
  7. Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management)
  3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  4. Откройте контекстное меню группы Администраторы (Administrators)
  5. Выберите пункт Свойства (Properties)
  6. Нажмите Добавить (Add)
  7. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
  8. Запустите Редактор реестра (RegEdit)
  9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
  10. Откройте контекстное меню раздела System
  11. Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
  12. Введите название параметра - LocalAccountTokenFilterPolicy
  13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
  14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Синхронизировать учётные записи выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts.

Настройка TrustedHosts

  1. Выполните вход на сервер, на котором будет установлен компонент Indeed PAM Core
  2. Откройте Командную строку (CMD) от имени администратора
  3. Выполните команду
Code Block
languagepowershell
themeRDark
C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

Warning
iconfalse

При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.

Code Block
languagepowershell
@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}


Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Поиск учётных локальных записей доступа
  • Проверка пароля локальных учётных записей доступа
  • Изменение пароля локальных учётных записей доступа

Создание и настройка сервисной учётной записи

  1. Выполните вход на ресурс
  2. Запустите Терминал (Terminal)

  3. Создайте пользователя, например, IPAMService

    Code Block
    languagebash
    themeRDark
    adduser IPAMService


  4. Добавьте пользователя в группу SUDO

    Code Block
    languagebash
    themeRDark
    usermod -aG sudo IPAMService


Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM

Для защищённого взаимодействия потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).

Backtotop
Delay0
Distance250


Divbox
classrightFloat

Table of Contents
printablefalse