Каталог пользователей

В качестве каталога пользователей используется домен используются контейнеры или подразделения Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств читать свойства пользователей находящихся в каталоге.

Создание учётной записи для работы с каталогом пользователей

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

1. Вызовите контекстное меню контейнера или подразделения.
2. Выберите пункт Создать (Create) - Пользователь (User)
3. Укажите имя, например, IPAMManager
4. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную записьСоздайте учётную запись, например, IPAMService или используйте уже созданную, по умолчанию права на чтение свойств остальных пользователей есть у всех учётных записей домена в домене Active Directory. 

Видеохранилище

Видеохранилище представляет собой сетевую папку с настроенным доступом. Для доступа к видеохранилищу потребуется сервисная учётная запись, которая будет выполнять операции чтения и записи. В качестве сервисной рекомендуется использовать уже созданную учётную запись IPAMManager.

Для создания сетевой папки выполните следующие действия:

1. На сетевом хранилище создайте папку.
2. Вызовите контекстное меню созданной папки, выберите пункт Предоставить доступ к (Share with) > Отдельные люди... (Specific people...)
3. Введите имя пользователя (IPAMManager) и нажмите кнопку Добавить (Add)
4. Чуть ниже в графе "Уровень разрешений" (Permission level) нажмите на значение Чтение (Read) рядом с пользователем IPAMManager и выберите в меню пункт Чтение и запись (Read/Write).
5. Завершите создание сетевой папки нажатием кнопки Поделиться (Share).

Теневое хранилище файлов

В хранилище копируются файлы, которые пользователь передает на целевой ресурс. Представляет собой сетевую папку аналогичную видеохранилищу.

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server , базы или PostgreSQL, PostgreSQL Pro. Базы данных необходимы для следующих компонентов:

• Indeed PAM Core (БД IPAMCore и БД IPAMTasks)
• Indeed PAM IDPIdP (БД IPAMIdP)
• Indeed Log Server (БД ILS) 

Создание таблиц, чтение и запись данных выполняются выполняется от имени сервисной учётной записи для работы с правами:

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД
  

Настройка

хранилищем данных. Учётная запись должна обладать правами на чтение и запись в БД.

Создание баз данных

Microsoft SQL Server

1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.

Создание баз данных:

1. Откройте контекстное меню пункта Базы данных (Databases)
2. Выберите пункт Новая база данных (New Database)
3. Укажите имя базы данных, например: 

1. IPAMCore, IPAMTasks, 

1. IPAMIdP, ILS
2. Нажмите Ок

PostgreSQL, PostgreSQL Pro

1. Запустите pgAdmin и выполните подключение к серверу PostgreSQL
2. Откройте контекстное меню пункта Базы данных (Databases)
3. Выберите пункты Создать (Create), База данных (Database)

1. Укажите имя базы данных, например: IPAMCore, IPAMTasks, IPAMIdP, ILS
2. Нажмите Сохранить (Save)

Создание сервисной учётной записи для работы с хранилищем данных

Microsoft SQL Server

1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
2. Раскройте пункт Безопасность (Security)

1. Откройте контекстное меню пункта Имена для входа (Logins)
2. Выберите пункт Создать имя для входа (Create login)
3. Укажите имя, например, IPAMSQLService
4. Выберите

1. тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
2. Перейдите в пункт Сопоставление пользователей (User Mapping)
3. Отметьте

1. базы данных 

1. IPAMCore, IPAMTasks, 

1. IPAMIdP и ILS
2. Отметьте

1. права db_owner, db_datareader и db_datawriter
2. Нажмите Ок

Сервисные операции Indeed PAM

Домен Active Directory

Для сервисных операций в домене необходима учётная запись, которая будет назначена в качестве сервисной в Indeed PAM и будет выполнять операции: 

PostgreSQL, PostgreSQL Pro

1. Запустите pgAdmin и выполните подключение к серверу PostgreSQL
2. Откройте контекстное меню пункта Роли входа/группы (Login/Group Roles)
3. Выберите пункт Создать (Create), Роль входа/группы (Login/Group Role)
4. Укажите Имя (name), например, IPAMSQLService, во вкладке Определения (Definition) введите новый пароль, во вкладке Права (Privileges), в пункте Вход разрешён? (Can login?) выберите Да (Yes), нажмите Сохранить (Save)
5. Перейдите в созданные базы данных, откройте контекстное меню, выберите Свойства (Properties), укажите Владельца (Owner) IPAMSQLService
6. Перейдите во вкладку Безопасноть (Security), в Правах (Privileges) добавьте новый ряд, в графе Субъект (Grantee) из списка выберите IPAMSQLService, щёлкните по ячейке в графе Права и отметьте флажками пункты All и With grant option
7. Нажмите Сохранить (Save), повторите для остальных баз.

Сервисные операции в Active Directory

Сервисные операции в Active Directory выполняются от имени сервисной учётной записи: 

• Проверка соединения с доменом
• Синхронизация доменных учётных записей
• Проверка пароля доменных учётных записей
• Изменение пароля доменных учётных записей

Создание и настройка сервисной учётной записи для работы с Active Directory

1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
2. Откройте контекстное меню контейнера или подразделения.
3. Выберите пункт Создать (Create) - Пользователь (User)
4. Укажите имя, например, IPAMService
5. Заполните обязательные поля и завершите создание учётной записи.
6. Откройте контекстное меню контейнера или подразделения, в которых расположены учётные записи доступа.
7. Выберите пункт Свойства (Properties)
8. Перейдите на вкладку Безопасность (Security)
9. Нажмите Добавить (Add)
10. Выберите учётную запись IPAMService и нажмите Ок
11. Нажмите Дополнительно (Advanced)
12. Выберите учётную запись IPAMService и нажмите Изменить (Edit)
13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
15. Сохраните внесённые изменения 

Создание группы безопасности для привилегированных учётных записей доступа Active Directory

1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
2. Откройте контекстное меню домена, контейнера или подразделения.
3. Выберите пункт Создать (Create) - Группа (Group)
4. Укажите имя, например, IPAMPrivilegedAccounts
5. В секции Область действия группы (Group scope) выберите Глобальная (Global)
6. В секции Тип группы (Group type) выберите Группа безопасности (Security)
7. Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной сервисной учётной записи: 

• Проверка соединения с ресурсом
• Синхронизация локальных учётных записей
• Проверка пароля локальных учётных записей
• Изменение пароля локальных учётных записей

Настройка доменной учётной записи в качестве сервисной

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management)
3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
4. Откройте контекстное меню группы Администраторы (Administrators)
5. Выберите пункт Свойства (Properties)
6. Нажмите Добавить (Add)
7. Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management)
3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
4. Откройте контекстное меню группы Администраторы (Administrators)
5. Выберите пункт Свойства (Properties)
6. Нажмите Добавить (Add)
7. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
8. Запустите Редактор реестра (RegEdit)
9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
10. Откройте контекстное меню раздела System
11. Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
12. Введите название параметра - LocalAccountTokenFilterPolicy
13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Синхронизировать учётные записи выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts.

Настройка TrustedHosts

1. Выполните вход на сервер, на котором будет установлен компонент Indeed PAM Core
   
2. Откройте Командную строку (CMD) от имени администратора
3. Выполните команду
   

C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

• Проверка соединения с ресурсом
• Поиск учётных локальных записей доступа
• Проверка пароля локальных учётных записей доступа
• Изменение пароля локальных учётных записей доступа

Создание и настройка сервисной учётной записи

1. Выполните вход на ресурс
2. Запустите Терминал (Terminal)

3. Создайте пользователя, например, IPAMService
   

   Code Block
   language bash theme RDark
   adduser IPAMService

   
   

4. Добавьте пользователя в группу SUDO

   Code Block
   language bash theme RDark
   usermod -aG sudo IPAMService

   
   

Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM

Поиск выполняется через группы безопасности Active Directory, в которые должны входить привилегированные учётные записи.

Создайте новую группу безопасности, например, IPAMAccounts или используйте уже созданную, возможно использование нескольких групп.

выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM

Для защищённого взаимодействия потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).