Каталог пользователей

В качестве каталога пользователей используется домен используются контейнеры или подразделения Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств читать свойства пользователей находящихся в каталоге.

Создание учётной записи для работы с каталогом пользователей

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

1. Вызовите контекстное меню

1. контейнера или подразделения.
2. Выберите пункт Создать (Create) - Пользователь (User)
3. Укажите имя, например,

1. IPAMManager
2. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись, по умолчанию права на чтение свойств остальных пользователей есть у всех в домене Active Directory. 

Видеохранилище

Для доступа к видеохранилищу потребуется сервисная учётная запись, которая будет выполнять операции чтения и записи. В качестве сервисной рекомендуется использовать уже созданную учётную запись IPAMManager.

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы . Базы данных необходимы для следующих компонентов:

• Indeed PAM Core (БД IPAMCore и БД IPAMTasks)
• Indeed PAM IDPIdP (БД IPAMIdP)
• Indeed Log Server (БД ILS)

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи для работы с хранилищем данных. Учётная запись должна обладать следующими правами на базы данных: 

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД

Создание баз данных

1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
2. Откройте контекстное меню пункта Базы данных (Databases)
3. Выберите пункт Новая база данных (New Database)
4. Укажите имя базы данных, например: 

1. IPAMCore, IPAMTasks, 

1. IPAMIdP, ILS
2. Нажмите Ок

Создание

сервисной учётной записи для работы с хранилищем данных

1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
2. Раскройте пункт Безопасность (Security)
3. Откройте контекстное меню пункта Имена для входа (Logins)
4. Выберите пункт Создать имя для входа (Create login)
5. Укажите имя, например, IPAMSQLService
6. Выберите

1. тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
2. Перейдите в пункт Сопоставление пользователей (User Mapping)
3. Отметьте

1. базы данных 

1. IPAMCore, IPAMTasks, 

1. IPAMIdP и ILS
2. Отметьте

1. права db_owner, db_datareader и db_datawriter
2. Нажмите Ок

Сервисные операции в

Active Directory

Сервисные операции в домене Active Directory выполняются от имени доменной сервисной учётной записи: 

• Проверка соединения с доменом
• Поиск Синхронизация доменных учётных записей доступа
• Проверка пароля учётных пароля доменных учётных записей доступа
• Изменение пароля учётных записей доступа

• пароля доменных учётных записей

Создание и настройка сервисной учётной записи для работы с Active Directory

Для изменения пароля требуются права на сброс пароля, права предоставляются сервисной учётной записи на домен, контейнер или подразделение, в котором находятся учётные записи доступа.

Для поиска учётных записей доступа требуется создать или использовать уже созданную группу безопасности Active Directory, в которой будут числиться учётные записи доступа.

1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
2. Откройте контекстное меню

домена,

1. контейнера или подразделения.
2. Выберите пункт Создать (Create) - Пользователь (User)
3. Укажите имя, например, 

IPAMDomainService

1. IPAMService
2. Заполните обязательные поля и завершите создание учётной записи

.

Или используйте уже созданную учётную запись.

Настройка изменения пароля учётных записей доступа

1. .
2. Откройте контекстное меню

1. контейнера или подразделения, в которых расположены учётные записи доступа.
2. Выберите пункт Свойства (Properties)
3. Перейдите на вкладку Безопасность (Security)
4. Нажмите Добавить (Add)
5. Выберите учётную запись 

1. IPAMService и нажмите Ок
2. Нажмите Дополнительно (Advenced)
3. Выберите учётную запись 

1. IPAMService и нажмите Изменить (Edit)
2. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
3. В разделе Разрешения: (Permissions:)

1. отметьте Сброс пароля (Reset password)
2. Сохраните внесённые

1. изменения 

Создание группы безопасности для привилегированных учётных записей доступа Active Directory

1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
2. Откройте контекстное меню домена, контейнера или подразделения.
3. Выберите пункт Создать (Create) - Группа (Group)
4. Укажите имя, например, IPAMPrivilegedAccounts
5. В секции Область действия группы (Group scope) 

1. выберите Глобальная (Global)
2. В секции Тип группы (Group type)

1. выберите Группа безопасности (Security)
2. Сохраните внесённые изменения

Или используйте уже созданную группу безопасности.

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записейдоменной или локальной сервисной учётной записи: 

• Проверка соединения с доменомресурсом
• Поиск Синхронизация локальных учётных записей доступа
• Проверка пароля учётных пароля локальных учётных записей доступа
• Изменение пароля учётных записей доступа

• пароля локальных учётных записей

Настройка доменной учётной записи в качестве сервисной

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management)
3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
4. Откройте контекстное меню группы Администраторы (Administrators)
5. Выберите пункт Свойства (Properties)
6. Нажмите Добавить (Add)
7. Выберите

1. доменную учётную запись, которая будет использоваться в роли

1. сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться любая не встроенная локальная учётная запись состоящая в группе Администраторыадминистратора, то необходимо:

1. Выполните вход на ресурс.
2. Запустите

1. оснастку Управление компьютером (Computer management)
2. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
3. Откройте контекстное меню группы Администраторы (Administrators)
4. Выберите пункт Свойства (Properties)
5. Нажмите Добавить (Add)
6. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
7. Запустите Редактор реестра (RegEdit)
8. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
9. Откройте контекстное меню раздела System
10. Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
11. Введите

1. название параметра - LocalAccountTokenFilterPolicy
2. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy

1. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления ( WinRM ) для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа Синхронизировать учётные записи выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

1. Выполните вход на

1. сервер, на котором будет установлен компонент Indeed PAM Core
   
2. Откройте Командную строку (CMD) от имени администратора
3. Выполните команду
   

winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

• Вызовите контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД

Создание баз данных

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Откройте контекстное меню пункта Базы данных (Databases)
• Выберите пункт Новая база данных (New Database)
• Укажите имя базы данных, например: IPAMCORE, IPAMIDP, ILS
• Нажмите Ок

Создание имени для входа и назначение прав

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Раскройте пункт Безопасность (Security)
• Откройте контекстное меню пункта Имена для входа (Logins)
• Выберите пункт Создать имя для входа (Create login)
• Выберите тип проверки подлинности и заполните необходимые поля
• Перейдите в пункт Сопоставление пользователей (User Mapping)
• Отметьте флажком базы данных IPAMCORE, IPAMIDP и ILS
• Отметьте флажком права db_owner, db_datareader и db_datawriter
• Нажмите Ок

Сервисные операции в домене Active Directory

@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной Сервисные операции в домене Active Directory выполняются от имени доменной сервисной учётной записи: 

• Проверка соединения с доменомресурсом
• Поиск учётных локальных записей доступа
• Проверка пароля учётных пароля локальных учётных записей доступа
• Изменение пароля учётных записей доступа

• пароля локальных учётных записей доступа

Создание и настройка сервисной учётной записи

Для поиска учётных записей доступа требуется создать или использовать уже созданную группу безопасности Active Directory, в которой будут числиться учётные записи доступа.

Создание сервисной учётной записи

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMDomainService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись.

Настройка изменения пароля учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Свойства (Properties)
• Перейдите на вкладку Безопасность (Security)
• Нажмите Добавить (Add)
• Выберите учётную запись IPAMDomainService и нажмите Ок
• Нажмите Дополнительно (Advenced)
• Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
• Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
• В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
• Сохраните внесённые изменения

Настройка поиска учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Группа (Group)
• Укажите имя, например, IPAMPrivilegedAccounts
• В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
• В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
• Сохраните внесённые изменения

Или используйте уже созданную группу безопасности.

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Выполнение операций Изменение пароля учётных записей доступа и Поиск учётных записей доступа требует предварительной настройки.

Настройка доменной учётной записи в качестве сервисной

• Выполните вход на ресурс.
• Запустите оснастку Управление компьютером (Computer management)
• Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
• Откройте контекстное меню группы Администраторы (Administrators)
• Выберите пункт Свойства (Properties)
• Нажмите Добавить (Add)
• Выберите любую доменную учётную запись, которая будет использоваться в роли сервисной и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться любая локальная учётная запись состоящая в группе Администраторы, то необходимо:

• Выполните вход на ресурс.
• Запустите оснастку Редактор реестра (RegEdit)
• Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
• Откройте контекстное меню раздела System
• Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
• Введите имя параметра - LocalAccountTokenFilterPolicy
• Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
• Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления (WinRM) для всех учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

• Выполните вход на будущий сервер Indeed PAM Core
  
• Откройте Командную строку (CMD) от имени администратора
• Выполните команду
  

winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Добавленные ресурсы 

1. Выполните вход на ресурс
2. Запустите Терминал (Terminal)

3. Создайте пользователя, например, IPAMService
   

   Code Block
   language bash
   adduser IPAMService

   
   

4. Добавьте пользователя в группу SUDO

   Code Block
   language bash
   usermod -aG sudo IPAMService

   
   

Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM

Для защищённого взаимодействия потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).