Versions Compared

Old Version 21

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Tip
iconfalse

Indeed PAM Core can work as the part of an Active-Active failover cluster. Failover requires one or several additional Indeed PAM Core servers. Load balancing is performed using the HAProxy load balancer. To configure a fault-tolerant configuration, you must contact technical support support@indeed-id.com

IIS

  1. Run IIS and switch to Default Web Site
  2. Select the api application and open the Configuration Editor from Management section
  3. Open the Section: drop-down list and select system.webServer - serverRuntime item
  4. Set the uploadReadAheadSize parameter to value of 1048576
  5. Click Apply in Actions section

Indeed PAM Core

Warning
iconfalse

All URLs are specified in lowercase.

IIS

  1. Запустите Internet Information Services (IIS) Manager и раскройте пункт Сайты (Sites).
  2. Выберите сайт Indeed.PAM.ApiServer и нажмите Привязки (Bindings) в разделе Действия (Actions).
  3. Нажмите Добавить (Add):
    1. Тип (Type) - https.
    2. Порт (Port) - 4000.
    3. Выберите SSL-сертификат (SSL Certificate).
  4. Сохраните привязку.

Конфигурация

Перейдите в каталог Switch to C:\inetpub\wwwroot\Indeed.PAM.ApiServer и откройте для редактирования файл api folder and edit web.config.Заполните секции file:

<logServer … />

  • Url -
адрес API единого журнала событий. 
  • CertificateThumbprint - отпечаток сертификата (оставить без изменений). 
  • CertificateFilePath - путь до сертификата (оставить без изменений). 
    • API URL for the uniform event log
    Code Block
    CertificateFilePassword - пароль от контейнера с закрытым ключом сертификата (оставить без изменений).
    Code BlocklanguagexmlthemeConfluencetitleПример
    <logServer Url="http://logserver.indeed-id.
    demo
    local/ils/api" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" />

    <logServerClient … />:

  • AppId - id приложения.
  • Component - компонент (оставить без изменений).
    • EventCacheDirectory - временный каталог для записи событий.
    • EventCacheDirectory - a temporary folder for event writing

    Code Block
    languagexml
    themeConfluence
    titleПример
    <logServerClient AppId="pam" Component="server" EventCacheDirectory="
    c
    C:\
    temp
    Temp\ILS\Core\EventCacheDirectory" LogServerTargetConfigFile="" EventCacheSendingIntervalSec="10"/>
    <adUserCatalogProvider> … </adUserCatalogProvider>: 
  • id - идентификатор провайдера.
  • serverName - полное DNS-имя контроллера домена.
  • containerPath - LDAP-путь к контейнеру или OU с пользователями.
  • userName - имя для входа сервисной учётной записи для работы с каталогом пользователей Active Directory.

    • <encryptionSettings ... />:

    • cryptoAlgName - is the name of encryption algorithm
    • cryptoKey - is encryption key
    Note
    iconfalse

    The encryption key is generated by the IndeedPAM.KeyGen.exe utility, which is the part of the Indeed PAM distribution and is located in the /Misc directory.


    Code Block
    <encryptionSettings cryptoAlgName="DES" cryptoKey="ea06v76ht457t2l8" />

    <adUserCatalogProvider ... >:

    • serverName - is the DNS name of Domain Controller that performs Global Catalog function
    • containerPath - is the LDAP path to container or unit to be used as Active Directory user directory
    • userName - service account for working with Active Directory user directory
    • Password - service account password
    Password - пароль сервисной учётной записи.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <adUserCatalogProvider id="ad" serverName="dc.
    domain
    indeed-id.
    demo
    local" containerPath="
    ou
    OU=
    organizational
    organization unit,
    dc
    DC=
    domain
    indeed-id,
    dc
    DC=
    demo
    local" userName="
    servicepam
    IPAMManager" password="
    123456
    password">


    <connectionStrings> ... </connectionStrings>    :

    1. <add name="DBConnection" ... />:
      • Data Source - имя SQL-сервера.Microsoft SQL Server Name or Instance Name
      • Initial Catalog - имя базы данных API.
      • Integrated Security - тип проверка подлинности (оставить без изменений).
      • User ID - имя для входа сервисной учётной записи для работы с базами данных Indeed PAM.
        • Password - пароль сервисной учётной записи.
      • database Name (IPAMCore)
      • User ID - service account to use with Indeed PAM databases
      • Password - service account password
    2. <add name="JobsQueueConnectionString" ... />:
      • Data Source - Microsoft SQL Server Name or Instance Name
      • Initial Catalog - database Name (IPAMTasks)
      • User ID - service account to use with Indeed PAM databases
      • Password - service account password

    An example of connecting to a Microsoft SQL Server database

    Code Block
    languagexml
    themeConfluence
    titleПример
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=
    sqlserver
    MSSQLServer;Initial Catalog=
    apipam
    IPAMCore;Integrated Security=False;User ID=
    sqlservicepam
    IPAMSQLService;Password=
    123456
    password" providerName="System.Data.SqlClient" />
    Note
    titleПримечание
    В случае использования SQL Express параметр подключения к серверу необходимо задавать в формате <имя сервера SQL >\<имя инстанса SQL>.
    Code Block
    languagexml
    themeConfluence
    titleПример
    
	<add name="
    DBConnection
    JobsQueueConnectionString" connectionString="Data Source
    =sqlserver\SQLEXPRESS; ... />
    =MSSQLServer;Initial Catalog=IPAMTasks;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="System.Data.SqlClient" />
</connectionStrings>

    An example of connecting to a PostgreSQL Pro database

    Warning
    iconfalse

    In the connection string, you need to replace the providerName=''System.Data.SqlClient' with the providerName=''Npgsql'

    <add key="IdpUrl" ... />:
    value - URL адрес IDP.


    Code Block
    languagexml
    themeConfluencetitleПример
    <add key="IdpUrl" value="https://pam.indeed.demo:4003"/>
    <add key="PamProxyIpAddresses" … />:
    value - IP-адрес сервера Proxy.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="PamProxyIpAddresses" value="192.168.0.100" />
    <add key="TempVideoDirectory" ... />:
    value - каталог для временных файлов.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="TempVideoDirectory" value="c:\temp\" />
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=PostgreSQLProServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
	<add name="JobsQueueConnectionString" connectionString="Data Source=PostgreSQLProServer;Initial Catalog=IPAMTasks;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
</connectionStrings>

    For PostgreSQL Pro, in the <appSettings> ... </appSettings> section, add the line

    Code Block
    languagexml
    <appSettings>
	...
	<add key="DBMS" value="PostgreSQL" /> 
</appSettings>


    Warning
    iconfalse

    If using a Named Instance of Microsoft SQL Server, the value of the Data Source parameter must be specified in the <Server Name>\<Named instance> format.

    Code Block
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
	<add name="JobsQueueConnectionString" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
</connectionStrings>


    <add key="IdpUrl" ... />:

    • value - URL Indeed PAM IdP
    Note
    titleПримечание
    На указанный каталог необходимо выдать полные права для пула приложений API. Откройте Свойства (Properties) каталога и перейдите на вкладку Безопасность (Security). Нажмите Редактировать (Edit...), затем Добавить (Add..). Нажмите Размещение... (Location) и выберите локальный ПК. Введите имя локальной учётной записи IIS AppPool\Indeed.PAM.ApiServer или IIS_IUSRS (если используется IIS 7.0), нажмите Проверить имя (Check Names) и ОК. Установите права Полный доступ (Full control) и нажмите Применить (Apply).
    <add key="FileStorageDirectory" … />:
    value - каталог для хранения снимков экрана и видеозаписей сессий.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="
    FileStorageDirectory
    IdpUrl" value="
    c:\pamstorage\" />
    Note
    titleПримечание
    (см. примечание п. 7)
    https://pam.indeed-id.local/idp"/>


    <add key="

    DomainAdminGroupNames

    PamProxyIpAddresses" … />:

    • value -
    distinguishedName группы безопасности Active Directory, используется для получения доменных учётных записей с административными правами. В репозиторий аккаунтов PAM будут добавлены все учётные записи, которые входят в указанную группу.
    • Indeed PAM Gateway server IP address
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="
    DomainAdminGroupNames
    PamProxyIpAddresses" value="
    CN=Domain Admins,CN=Users,DC=domain,DC=demo
    192.168.0.100" />

    Backtotop
    Delay0
    Distance250