Versions Compared

Old Version 14

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Каталог (Каталог пользователей

)

Право использовать привилегированные учётные записи предоставляется Права на использование привилегированных учётных записей предоставляются пользователям Active Directory. Каталогом пользователей Indeed PAM считается домен Active Directory целиком или отдельные контейнеры и организационные подразделения определенные на этапе настройки Indeed PAM. Каталог пользователей может быть изменен в любой момент.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory, используется для чтения свойств остальных пользователей домена.

Хранилище данных

Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

, которые состоят в каталоге пользователей. В качестве каталога могут быть назначены контейнеры или подразделения Active Directory.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые находятся в контейнерах или подразделениях, определённых как каталог пользователей. Для пользователей предоставляются разрешения на использование привилегированных учётных записей.Учётная запись для чтения баз данных и записи в них, может быть назначена как учётная запись Active Directory, так и учётная запись Micorost SQL. 

Учётные записи (Учётные записи доступа)

Локальные учётные записи или доменные или доменные учётные записи, которые будут использоваться используются для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAMпользователей, так и учётные записи доступа, которые будут использоваться членами каталога пользователей.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции , или оборудование или web-приложения, которые будут использоваться для открытия на них RDP, SSH или web-сессий , от имени локальных учётных записей, расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Домены Active Directory

Домены Active Directory используются для получения учётных записей доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Сервисные операции

Для ресурсов, доменов и учётных записей доступа могут быть выполнены сервисные операции:

Ресурсы и домены: 

  • Проверка соединения
  • Поиск учётных записей

Учётные записи доступа:

  • Проверка пароля
  • Изменение пароля

Сервисная учётная запись ресурса/домена

В качестве сервисной учётной записи могут быть назначены:

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает СУБД Microsoft SQL Server или PostgreSQL, PostgreSQL Pro. Для следующих компонентов требуется база данных:

  • Indeed PAM Core (2 базы данных)
  • Indeed PAM IdP
  • Indeed Log Server

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей, состоящих в каталоге.

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных. В роли сервисной назначается локальная учётная запись СУБД.

Сервисная учётная запись для работы с видеохранилищем

Учётная запись с правами на чтение и запись в сетевом хранилище.  В роли сервисной назначается учётная запись Active Directory.

Сервисная учётная запись для работы с доменными учётными записями доступа

Доменная учётная запись, которая имеет право на сброс пароля в контейнерах или подразделениях Active Directory, в которых находятся доменные учётные записи доступа.

Группа привилегированных учётных записей доступа Active Directory

Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.  

Сервисная учётная запись для работы с локальными учётными записями доступа

Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

  1. Проверка соединения с ресурсом или доменом
  2. Синхронизация локальных или доменных учётных записей
  3. Проверка пароля учётных записей
  4. Изменение пароля учётных записей

Сервисные операции выполняются от имени учётной записи:

  1. Для ресурсов (ОС Windows) может быть назначена
Ресурсы (Windows)
  1. :
    • Локальная учётная запись с правами администратора
Доменная учётная
    • Учётная запись Active Directory с правами локального администратора
Ресурсы (Unix/Linux):
  1. Для ресурсов (ОС *nix) может быть назначена
    • Локальная учётная запись с правами на выполнение команды SUDO

Домены

  1. Для доменов Active Directory может быть назначена:
    • Доменная учётная
Учётная
    • запись с правами на сброс пароля.

Домены

Домен Active Directory, который используется в Indeed PAM для поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые будут добавлены в Indeed PAM через группы безопасности, определенные в настройках Indeed PAM или добавленные вручную.

Разрешения

Средство управления привилегированным доступом. Любое разрешение состоит из трёх участников:

  • Пользователь каталога Indeed PAM
  • Учётная запись доступа
  • Ресурс

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполнять подключение к ресурсу, доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

  • RDP - подключение к ресурсу по RDP
  • SSH - подключение к ресурсу по SSH
  • Клиентское - подключение к web-ресурсу или к клиентскому приложению.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory Любому пользователю каталога Indeed PAM может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи .

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

  1. Область действия - ресурсы и домены.
  2. Настройки:
    • Сбрасывать пароль после показа
    • Сбрасывать пароль через Х мин
    • Требовать указать причину просмотра пароля
    • Искать новые учетные записи раз в Х дней
    • Проверять пароль учетной записи раз в Х дней
    • Проверять пароль при ручной установке
    • Периодически изменять пароль учетной записи
    • Изменять пароль учетной записи раз в Х дней
    • Длина генерируемого пароля
    • Латинские строчные буквы
    • Латинские прописные буквы
    • Цифры
    • Специальные символы

Политики сессий

  • Область действия - учётные записи доступа.
    • Настройки:
  • Требовать указать причину подключения
  • Сохранять видео сессии
  • Количество кадров в секунду
  • Разрешение видео
  • Ротация видео
  • Удалять видео сессии старше Х дней
  • Сохранять снимки экрана
  • Интервал снимков, сек
  • Разрешение изображения
  • Ротация снимков экрана
    • Удалять снимки экрана старше Х дней

    доступа.
    Состав разрешения:

    • Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
    • Учётная запись - локальная или доменная учётная запись доступа, от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
    • Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.
    Warning
    iconfalse

    Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены.

    Состояния учётных записей доступа

    • Ожидает решения (Image Added) - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения.
    • Управляемая -  Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
    • Игнорируется (Image Added) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны.
    • Заблокирована (Image Added) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником  разрешения, а все разрешения, в которых она использовалась, будут приостановлены.
    • Удалена (Image Added) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.

    Состояния ресуров

    • Готов - ресурс добавлен.
    • Заблокирован (Image Added) - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
    • Удалён (Image Added) - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.

    Состояния доменов

    • Готов - домен добавлен.
    • Удалён (Image Added) - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов

    Состояния сессий

    • Активная - если для пользователя есть разрешение на доступ к целевому ресурсу с указанной учетной записи, которые не заблокированы и разрешение не отозвано, то сервер создает сессию, которая становится активной. 
    • Завершенная - сессия завершается при завершении пользователем сеанса работы с целевым ресурсом, например завершение сеанса удалённого доступа к серверу, закрытие окна рабочего приложения или веб-страницы.
    • Прерванная - сессия становится прерванной при принудительном завершении администратором PAM активной сессии пользователя.

    Политики

    Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.

    • Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
    • Политики подключений - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.

    Backtotop
    Delay0
    Distance250


    Divbox
    classrightFloat

    Table of Contents
    printablefalse