Versions Compared

Old Version 25

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Tip
iconfalse

Компонент Indeed PAM Core может работать в составе отказоустойчивого кластера по схеме Active-Active. Для реализации отказоустойчивости потребуется один иди несколько дополнительных серверов Indeed PAM Core. Балансировка нагрузки выполняется при помощи балансировщика HAProxy. Для настройки отказоустойчивой конфигурации необходимо обратиться в службу технической поддержки support@indeed-id.com

IIS

  1. Запустите IIS и перейдите в Default Web Site
  2. Выберите приложение api и откройте Редактор конфигурации (Configuration Editor) из раздела Управление (Manage)
  3. Раскройте выпадающий список Раздел: (Section:) и выберите system.webServerserverRuntime
  4. Установите для параметра uploadReadAheadSize значение 1048576
  5. Нажмите Применить (Apply

IIS

  1. Запустите Internet Information Services (IIS) Manager и раскройте пункт Сайты (Sites).
  2. Выберите сайт Indeed.PAM.ApiServer и нажмите Привязки (Bindings) в разделе Действия (Actions).
  3. Нажмите Добавить (Add):
    1. Тип (Type) - https.
    2. Порт (Port) - 4000.
    3. Выберите SSL-сертификат (SSL Certificate).
  4. Сохраните привязку.
Конфигурация

Indeed PAM Core

Warning
iconfalse

Все URL указываются в нижнем регистре.

Перейдите в каталог C:\inetpub\wwwroot\Indeed.PAM.ApiServer и откройте для редактирования файл api и отредактируйте файл web.config.Заполните секции:

<logServer … />

  • Url -
адрес
  • URL API единого журнала событий
  • CertificateThumbprint - отпечаток сертификата (оставить без изменений). 
  • CertificateFilePath - путь до сертификата (оставить без изменений). 
    • CertificateFilePassword - пароль от контейнера с закрытым ключом сертификата (оставить без изменений).
    Code Block
    languagexml
    themeConfluencetitle
    Пример
    <logServer Url="
    http
    https://logserver.indeed-id.
    demo
    local/ils/api" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" />

    <logServerClient … />:


    AppId - id приложения.

  • Component - компонент (оставить без изменений).
    • EventCacheDirectory - временный каталог для записи событий
    .
    Code Block
    languagexml
    themeConfluence
    titleПример
    <logServerClient AppId="pam" Component="server" EventCacheDirectory="
    c
    C:
    \temp" /><adUserCatalogProvider> … </adUserCatalogProvider>: 
    \Temp\ILS\Core\EventCacheDirectory" LogServerTargetConfigFile="" EventCacheSendingIntervalSec="10"/>

    <encryptionSettings ... />:

    • cryptoAlgName - название алгоритма шифрования
    • cryptoKey - ключ шифрования
    Note
    iconfalse

    Ключ шифрования генерируется утилитой IndeedPAM.KeyGen.exe, которая входит в состав дистрибутива Indeed PAM и располагается в каталоге /Misc.


    Code Block
    languagexml
    <encryptionSettings cryptoAlgName="DES" cryptoKey="ea06v76ht457t2l8" />

    <adUserCatalogProvider ... >:

    • serverName - DNS-имя контроллера домена, выполняющего функцию Глобальный каталог (Global Catalog)
  • id - идентификатор провайдера.
    • serverName - полное DNS-имя контроллера домена.
    • containerPath - LDAP-путь
    к контейнеру или OU с пользователями.userName - имя для входа сервисной учётной записи
    • контейнера или подразделения, который будет использован в качестве каталога пользователей Active Directory
    • userName - сервисная учётная запись для работы с каталогом пользователей Active Directory
    .
    • Password - пароль сервисной учётной записи
    .
    Code Block
    languagexml
    themeConfluence
    titleПример
    <adUserCatalogProvider id="ad" serverName="dc.indeed-id.
    demo
    local" containerPath="
    ou
    OU=
    head
    organization
    office
    unit,
    dc
    DC=indeed-id,
    dc
    DC=
    demo
    local" userName="
    pamadministrator
    IPAMManager" password="
    Q1w2e3r4"> <userMapRules> <objectTypeSettings> <objectSetting category="person" class="user"></objectSetting> </objectTypeSettings> </userMapRules> </adUserCatalogProvider>
    password">


    <connectionStrings> ... </connectionStrings>    :

    1. <add name="DBConnection" ... />:
      • Data Source - имя SQL-сервера.сервера Microsoft SQL Server\PostgreSQL, PostgreSQL Pro или именованного экземпляра 
      • Initial Catalog - имя базы данных API.Integrated Security - тип проверка подлинности (оставить без изменений).(IPAMCore)
      • User ID - сервисная учётная запись для работы с базами данных Indeed PAM
      • Password - пароль сервисной учётной записи
    2. <add name="JobsQueueConnectionString" ... />:
      • Data Source - имя сервера Microsoft SQL Server\PostgreSQL, PostgreSQL Pro или именованного экземпляра
      • Initial Catalog - имя базы данных (IPAMTasks)
      • User ID - сервисная учётная запись имя для входа сервисной учётной записи для работы с базами данных Indeed PAM.
      • Password - пароль сервисной учётной записи.

    Пример подключения к БД Microsoft SQL Server

    Code Block
    languagexml
    themeConfluence
    titleПример
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=MSSQLServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="System.Data.SqlClient" />
	<add name="JobsQueueConnectionString" connectionString="Data Source=
    sqlserver
    MSSQLServer;Initial Catalog=
    apipam
    IPAMTasks;Integrated Security=False;User ID=
    sqlservicepam
    IPAMSQLService;Password=
    123456
    password" providerName="System.Data.SqlClient" />	
</connectionStrings>
    Note
    titleПримечание
    В случае использования SQL Express параметр подключения к серверу необходимо задавать в формате <имя сервера SQL >\<имя инстанса SQL>.

    Пример подключения к БД PostgreSQL, PostgreSQL Pro


    Warning
    iconfalse

    В строке подключения необходимо заменить значение providerName="System.Data.SqlClient" на providerName="Npgsql"


    Code Block
    languagexml
    themeConfluencetitleПример
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source
    =sqlserver\SQLEXPRESS; ... "/> </connectionStrings>
    =PostgreSQLServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
	<add name="JobsQueueConnectionString" connectionString="Data Source=PostgreSQLProServer;Initial Catalog=IPAMTasks;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
</connectionStrings>


    Для PostgreSQL, PostgreSQL Pro - в секции <appSettings> ... </appSettings> добавьте строку

    <add key="IdpUrl" ... />:
    value - URL адрес IDP.


    Code Block
    languagexml
    themeConfluencetitleПример
    <appSettings>
	...
	<add key="
    IdpUrl
    DBMS" value="
    https://pam.indeed.demo:4003"/>
    PostgreSQL" /> 
</appSettings>


    <add key="PamProxyIpAddresses" … />:
    value - IP-адрес сервера Proxy
    Warning
    iconfalse

    В случае использования именованного экземпляра Microsoft SQL Server значение параметра Data Source необходимо указывать в формате <имя сервера>\<имя экземпляра>

    .

    Code Block
    languagexml
    themeConfluencetitleПример
    <connectionStrings>
	<add
    key
    name="
    PamProxyIpAddresses
    DBConnection"
    value
    connectionString="
    192.168.0.100" /><add key="TempVideoDirectory" ... />:
    value - каталог для временных файлов.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="TempVideoDirectory" value="c:\temp\" />
    Data Source=MSSQLServer\Named instance; ... "/>
	<add name="JobsQueueConnectionString" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
</connectionStrings>


    <add key="IdpUrl" ... />:

    • value - URL Indeed PAM IdP
    Note
    titleПримечание
    На указанный каталог необходимо выдать полные права для пула приложений API. Откройте Свойства (Properties) каталога и перейдите на вкладку Безопасность (Security). Нажмите Редактировать (Edit...), затем Добавить (Add..). Нажмите Размещение... (Location) и выберите локальный ПК. Введите имя локальной учётной записи IIS AppPool\Indeed.PAM.ApiServer или IIS_IUSRS (если используется IIS 7.0), нажмите Проверить имя (Check Names) и ОК. Установите права Полный доступ (Full control) и нажмите Применить (Apply).
    <add key="FileStorageDirectory" … />:
    value - каталог для хранения снимков экрана и видеозаписей сессий.
    Code Block
    languagexml
    themeConfluence
    titleПример
    <add key="
    FileStorageDirectory
    IdpUrl" value="
    c:\pamstorage\
    https://pam.indeed-id.local/idp" />
    Notetitle
    Примечание(см. примечание п. 7)

    <add key="
    DomainAdminGroupNames
    PamProxyIpAddresses" … />:
    • value - 
     distinguishedName группы безопасности Active Directory, используется для получения доменных учётных записей с административными правами. В репозиторий аккаунтов PAM будут добавлены все учётные записи, которые входят в указанную группу.
    • IP-адрес сервера Indeed PAM Gateway
     Code Block
    languagexml
    themeConfluence
    title
    Пример
    <add key="
    DomainAdminGroupNames
    PamProxyIpAddresses" value="
    CN=Domain Admins,CN=Users,DC=domain,DC=demo
    192.168.48.29" />
     Backtotop
    Delay0
    Distance250