Каталог (Каталог пользователей
)
Право использовать привилегированные учётные записи предоставляется Права на использование привилегированных учётных записей предоставляются пользователям Active Directory, которые состоят в каталоге пользователей. Каталогом пользователей Indeed PAM может быть домен Active Directory целиком или отдельные контейнеры и подразделения определенные на этапе настройки Indeed PAM. Каталог пользователей может быть изменен в любой момент.
Сервисная учётная запись для работы с каталогом пользователей
Учётная запись Active Directory, которая используется для чтения свойств пользователей состоящих в каталоге.
Хранилище данных
Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:
- Indeed PAM Core
- Indeed PAM IDP
- Indeed Log Server
Сервисная учётная запись для работы с хранилищем данных
В качестве каталога могут быть назначены контейнеры или подразделения Active Directory.
Пользователи (Конечные пользователи)
Пользователи Active Directory, которые находятся в контейнерах или подразделениях, определённых как каталог пользователей. Для пользователей предоставляются разрешения на использование привилегированных учётных записей. Учётная запись для чтения баз данных и записи в них, может быть назначена как учётная запись Active Directory, так и учётная запись Micorost SQL.
Учётные записи (Учётные записи доступа)
Локальные учётные записи или доменные или доменные учётные записи, которые будут использоваться используются для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAMпользователей, так и учётные записи доступа, которые будут использоваться членами каталога пользователей.
Ресурсы (Конечные ресурсы)
Серверы, рабочие станции , или оборудование или web-приложения, которые будут использоваться для открытия на них RDP, SSH или web-сессий , от имени локальных учётных записей, расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.
Сервисные операции
Для ресурсов, доменов и учётных записей доступа могут быть выполнены сервисные операции:
Ресурсы и домены:
- Проверка соединения
- Поиск учётных записей
Учётные записи доступа:
- Проверка пароля
- Изменение пароля
Сервисная учётная запись ресурса/домена
В качестве сервисной учётной записи могут быть назначены:
Домены Active Directory
Домены Active Directory используются для получения учётных записей доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.
Хранилище данных
Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:
- Indeed PAM Core (2 базы данных)
- Indeed PAM IdP
- Indeed Log Server
Сервисная учётная запись для работы с каталогом пользователей
Учётная запись Active Directory с правами на чтение свойств пользователей, состоящих в каталоге.
Сервисная учётная запись для работы с хранилищем данных
Учётная запись с правами на чтение и запись в базы данных. В роли сервисной назначается учётная запись SQL.
Сервисная учётная запись для работы с видеохранилищем
Учётная запись с правами на чтение и запись в сетевом хранилище. В роли сервисной назначается учётная запись Active Directory.
Сервисная учётная запись для работы с доменными учётными записями доступа
Доменная учётная запись, которая имеет право на сброс пароля в контейнерах или подразделениях Active Directory, в которых находятся доменные учётные записи доступа.
Группа привилегированных учётных записей доступа Active Directory
Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.
Сервисная учётная запись для работы с локальными учётными записями доступа
Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.
Аутентификатор пользователя
Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.
Сервисное подключение
Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:
- Проверка соединения с ресурсом или доменом
- Синхронизация локальных или доменных учётных записей
- Проверка пароля учётных записей
- Изменение пароля учётных записей
Сервисные операции выполняются от имени учётной записи:
- Для ресурсов (ОС Windows) может быть назначена
- :
- Локальная учётная запись с правами администратора
- Учётная запись Active Directory с правами локального администратора
- Для ресурсов (ОС *nix) может быть назначена
- Локальная учётная запись с правами на выполнение команды SUDO
Домены
- Для доменов Active Directory может быть назначена:
- Доменная учётная
- запись с правами на сброс пароля.
Домены
Домен Active Directory, который используется в Indeed PAM для поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM через группы безопасности, определенные в настройках Indeed PAM или добавленные вручную.
Разрешения
Средство управления привилегированным доступом. Любое разрешение состоит из трёх участников:
- Пользователь каталога Indeed PAM
- Учётная запись доступа
- Ресурс
Пользовательское подключение
Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполнять подключение к ресурсу, доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:
- RDP - подключение к ресурсу по RDP
- SSH - подключение к ресурсу по SSH
- Web - подключение к web-ресурсу по http или https
Разрешения
Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory Любому пользователю каталога Indeed PAM может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи .
Политики
Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:
Политики учетных записей
- Область действия - ресурсы и домены.
- Настройки:
- Сбрасывать пароль после показа
- Сбрасывать пароль через Х мин
- Требовать указать причину просмотра пароля
- Искать новые учетные записи раз в Х дней
- Проверять пароль учетной записи раз в Х дней
- Проверять пароль при ручной установке
- Периодически изменять пароль учетной записи
- Изменять пароль учетной записи раз в Х дней
- Длина генерируемого пароля
- Латинские строчные буквы
- Латинские прописные буквы
- Цифры
- Специальные символы
Политики сессий
доступа.
Состав разрешения:
- Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
- Учётная запись - локальная или доменная учётная запись доступа, от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
- Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.
| Warning | ||
|---|---|---|
| ||
Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены. |
Состояния учётных записей доступа
- Ожидает решения (
) - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения. - Управляемая - Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
- Игнорируется (
) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны. - Заблокирована (
) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут приостановлены. - Удалена (
) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.
Состояния ресуров
- Готов - ресурс добавлен.
- Заблокирован () - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
- Удалён () - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.
Состояния доменов
- Готов - домен добавлен.
- Удалён () - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов
Политики
Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
- Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
- Политики подключений - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.
| Backtotop | ||||
|---|---|---|---|---|
|
| Divbox | ||||
|---|---|---|---|---|
| ||||
|