Versions Compared

Old Version 15

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Конфигурация

Indeed PAM Gateway

Компонент Indeed PAM Gateway необходимо устанавливать устанавливается на сервер RDSH Узел сеансов удаленных рабочих столов (Remote Desktop Session Host), который находится в составе Remote Desktop Services на основе сеансов. Если серверов RDSH несколько, то Indeed PAM Gateway должен быть установлен на каждый.

Warning
titleiconВажноfalse

Все URL -адреса указываются в нижнем регистре.

Перейдите в каталог C:\Program Files\Indeed PAM\Proxy\ProxyApp и откройте для редактирования Gateway\ProxyApp и отредактируйте файл Pam.Proxy.App.exe.config.:

Заполните секцию <pamProxy <pamProxy ... />:

  • ApiUrl - URL адрес Indeed PAM Core

  • IdpUrl - URL

    адрес

    Indeed PAM

    IDP

    IdP

  • IdpRequiresHttps - требовать HTTPS
  • AgentConnectionTimeout - параметр определяет время в секундах, в течении которого должна быть установлена связь с клиентским компонентом Agent (оставить без изменений)

  • AgentHeartbeatTimeout - параметр определяет время в секундах, в течении которого клиентский компонентом Agent должен отправить Heartbeat (оставить без изменений)

  • FfmpegPath - расположение кодека для обработки видно (оставить без изменений)

    • MediaDataStoragePath - адрес сетевого или локального хранилища видеозаписей

    Code BlocklanguagexmltitleПример

  • GatewaySecret - Секрет для ключей клиентов в целях дополнительной аутентификации компонента

    Note
    iconfalse

    Секрет и его хэш генерируются консольной утилитой Pam.ConsoleApp.exe. Запустите командную строку, перейдите в папку "ConsoleApp" и выполните команду "Pam.ConsoleApp.exe generate-secret"

    Code Block
    themeRDark
    D:\ConsoleApp>Pam.ConsoleApp.exe generate-secret
Secret: OClhdGA1M6wWFcYflCfF1qINX8dYbvTrU0Aad4cb7piASoMEEiB2yM0I8N6zq7T/FSQunLyYzsRcm3PhQzqM9w==
Hash: bQAl17Y58+Htv982eadHmFaDguAPNrjd+Bl9vN0Uw5c=
Done.



    Warning
    iconfalse

    Хэш нужно будет указать при настройке Indeed PAM IdP.


  • IdpRequiresHttps - требовать защищённое подключение
  • остальное оставить без изменений
Code Block
languagexml
<pamProxy ApiUrl="https://pam.indeed
.demo:4000
-id.local/api" IdpUrl="https://pam.indeed
.demo:4003
-id.local/idp" GatewaySecret="OClhdGA1M6wWFcYflCfF1qINX8dYbvTrU0Aad4cb7piASoMEEiB2yM0I8N6zq7T/FSQunLyYzsRcm3PhQzqM9w==" IdpRequiresHttps="true" AgentConnectionTimeout="60" AgentHeartbeatTimeout="20"
FfmpegPath="ffmpeg.exe" MediaDataStoragePath="\\Storage\Video
VideoTempPath="C:\ProgramData\Indeed\Pam\VideoTemp\" FileCopyMaxPercentToIgnore="1" FileCopyEnoughPercentToSave="50" FileCopyMinBytesToSave="1048576" />
Warning
titleВажно

Перед создание коллекции необходимо убедиться в том, что на сервер Indeed PAM Gateway не действуют групповые политики, которые выполняют его настройку RDS.

Настройка коллекции

Создайте коллекцию приложений и опубликуйте 

Настройка коллекции сеансов

  1. Выполните вход на сервер с ролью Посредник подключений удаленного рабочего стола (Remote Desktop Connection Broker) и запустите Диспетчер серверов (Server Manager)
  2. Перейдите в пункт Служба удалённых рабочих столов (Remote Desktop Services) - Коллекции (Collections)
  3. В разделе Коллекции (Collections) нажмите Задачи (Tasks) и выберите пункт Создать коллекцию сеансов (Create session collections)
  4. Завершите работу мастера по созданию коллекции с необходимыми вам настройками.
  5. В разделе Удалённые приложения RemoteApp (RemoteApp Programs) нажмите Задачи (Tasks) и выберите пункт Опубликовать удалённое приложение RemoteApp (Publish RemoteApp Programs)
  6. Нажмите Добавить (Add), выберите приложение C:\Program Files\Indeed PAM\
Proxy
  1. Gateway\ProxyApp\Pam.Proxy.App.exe
.Откройте Редактирование свойств
  1. , нажмите Далее (Next) и Опубликовать (Publish).
  2. В разделе Удалённые приложения RemoteApp (RemoteApp Programs) откройте контекстное меню опубликованного приложения и выберите пункт Изменить свойства (Edit Properties)
опубликованного приложения, перейдите на вкладку
  1. .
  2. Перейдите в пункт Параметры (Parameters)
и
  1. , установите опцию Разрешить любые параметры командной строки (Allow any command-line parameters) и нажмите Ок.

Настройка доступа к web приложениям

Установка Indeed-Id ESSO Agent/Admin Pack

Для доступа к web приложениям через Indeed PAM потребуется установка дополнительных компонентов Indeed-Id:

  • Indeed-Id Admin Pack
  • Indeed-Id ESSO Agent
  • Расширение для браузера
Warning
iconfalse
  • Если расширение для браузера Google Chrome должно быть установлено из магазина Google, то установка компонента Indeed-Id SSO Agent выполняется при помощи файла Install1.bat
  • Если расширение для браузера Google Chrome должно быть установлено через групповые политики, то установка компонента Indeed-Id SSO Agent выполняется при помощи файла Install2.bat

Настройка расширения для Internet Explorer через групповые политики

После установки Indeed-Id ESSO Agent в Internet Explorer будет автоматически добавлено расширение, но оно будет выключено. Для автоматического включения и настройки расширения потребуется:

  1. Запустите оснастку Управление групповой политикой (Group Policy Management), выберите домен, откройте контекстное меню пункта Объекты групповой политики (Group Policy Objects) и выберите Создать (New) или используйте уже имеющийся объект групповой политики.
  2. Перейдите в Объекты групповой политики (Group Policy Objects), откройте контекстное меню объекта групповой политики и выберите Изменить (Edit).

  3. Перейдите

    Tip
    iconfalse

    Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Управление надстройками
    (Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management)


  4. Установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).
  5. В поле Имя значения (Value name) введите ID расширения {D1080A9B-B3D0-443C-AE86-1A2B295A53A2}, в поле Значение (Value) введите 1 и сохраните изменения.
    Image Added

  6. Перейдите

    Tip
    iconfalse

    Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка "Безопасность"
    (Computer configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page).


  7. Откройте параметр Список назначений зоны для веб-сайтов (Site to Zone Assignment List), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).
  8. В поле Имя значения (Value name) введите URL узла, на котором расположено веб приложение, в поле Значение (Value) введите 2 и сохраните изменения.
    Image Added

  9. Перейдите

    Tip
    iconfalse

    Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка "Дополнительно"
    (Computer configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page).


  10. Откройте параметр Разрешить сторонние расширения браузера (Allow third-party browser extensions), установите переключатель на Включено (Enabled) и сохраните изменения.
  11. Откройте параметр Включить усиленный защищённый режим (Turn on Enhanced Protected Mod), установите переключатель на Отключено (Disabled) и сохраните изменения.
  12. Закройте Редактор управления групповыми политиками (Group Policy Management Editor)
  13. Вызовите контекстное меню домена или подразделения, нажмите Связать существующий объект групповой политики (Link an Existing GPO), выберите объект групповой политики и настройте его на работу с сервером Indeed PAM Gateway.
  14. Выполните вход на сервер Indeed PAM Gateway и запустите Диспетчер серверов (Server Manager).
  15. Перейдите в пункт Локальный сервер (Local Server) и откройте опцию Конфигурация усиленной безопасности Internet Explorer (Internet Explorer Enhanced Security Configuration).
  16. Для групп Администратора (Administrators) и Пользователи (Users) установите переключатель на Выключено (Off).

Настройка расширения для Google Chrome через групповые политики

Warning
iconfalse

Распространение расширения для Google Chrome через групповые политики возможно только при установке Indeed-Id ESSO Agent при помощи файла Install2.bat

Также, для распространения расширения потребуется сервер с ролью Internet Information Services (IIS).

  1. Выполните вход на сервер c ролью Internet Information Services (IIS), перейдите в C:\initpub\wwwroot\ и создайте каталог ChromeExtension.
  2. Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager) и раскройте пункт Сайты (Sites) в разделе Подключения (Connections).
  3. Откройте контекстное меню сайта Default Web Site или любого другого сайта и выберите Добавить приложение (Add Application).
  4. В поле Псевдоним (Alias) введите ChromeExtension, в поле Физический путь (Physical path) введите C:\initpub\wwwroot\ChromeExtension и сохраните изменения.
    Image Added
  5. Выберите сайт, в котором было создано приложение ChromeExtension, откройте Типы MIME (MIME Types) в разделе IIS и нажмите Добавить (Add) в разделе Действия (Actions).
  6. В поле Расширение файла (File name extension) введите .crx, в поле Тип MIME (MIME Type) введите application/chrome и сохраните изменения.
    Image Added

  7. Пришлите в службу поддержки support@indeed-id.com URL приложения ChromeExtension.

    Note
    iconfalse

    Пример: https://server.indeed-id.local/ChromeExtension


  8. Откройте каталог C:\initpub\wwwroot\ChromeExtension и поместите в него файлы файлы полученные от службы поддержки:
    • Update.xml
    • icpjelgegalmjjkfoilkbeeodgfbcaam.crx
  9. Выполните установку ADMX шаблонов на контроллер домена, шаблоны входят в состав дистрибутива и расположены в каталоге IndeedPAM\IESSO\IndeedID.SSO.Agent\Chrome\PolicyTemplates\ADMX
  10. Запустите оснастку Управление групповой политикой (Group Policy Management), выберите домен, откройте контекстное меню пункта Объекты групповой политики (Group Policy Objects) и выберите Создать (New) или используйте уже имеющийся объект групповой политики.
  11. Перейдите в Объекты групповой политики (Group Policy Objects), откройте контекстное меню объекта групповой политики и выберите Изменить (Edit).

  12. Перейдите

    Tip
    iconfalse

    Конфигурация компьютера/Административные шаблоны/Google/Google Chrome/Расширения
    (Computer Configuration/Administrative Templates/Google/Google Chrome/Extensions).


  13. Откройте параметр Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).

  14. В поле Значение (Value name) введите ID расширения icpjelgegalmjjkfoilkbeeodgfbcaam и URL, по которому доступен файл update.

Сохраните все изменения.

  1. xml, сохраните изменения.

    Image Added

    Note
    iconfalse

    Разделителем между ID приложения и URL является точка с запятой.
    icpjelgegalmjjkfoilkbeeodgfbcaam;https://server.indeed-id.local/ChromeExtension/Update.xml


  2. Откройте параметр Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension, app, and user script install sources), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).

  3. В поле Значение (Value name) введите URL узла, на котором расположено веб приложение ChromeExtension и сохраните изменения.
    Image Added

    Note
    iconfalse

    URL должен заканчиваться символом - звёздочка.
    https://server.indeed-id.local/*


  4. Закройте Редактор управления групповыми политиками (Group Policy Management Editor)
  5. Вызовите контекстное меню домена или подразделения, нажмите Связать существующий объект групповой политики (Link an Existing GPO), выберите объект групповой политики и настройте его на работу с сервером Indeed PAM Gateway.

Backtotop
Delay0
Distance250


Divbox
classrightFloat

Table of Contents
printablefalse