Резервные учётные записи
Решения класса Privileged Access Management - это ряд технических, программных и организационных мер, которые защищают привилегированные учётные записи от несанкционированного использования.
Один из механизмов защиты Indeed PAM это изоляция паролей учётных записей доступа в хранилище Indeed PAM Core, их шифрование и изменение по расписанию или требованию на случайные или пользовательские значения.
Хранилище Indeed PAM Core критический элемент, его повреждение приведет к потере доступа к ресурсам, так как пароли учётных записей доступа неизвестны конечным пользователям и администраторам.
Рекомендуется для каждого ресурса выделить резервную учётную запись с правами локального администратора (ОС Windows) или с правами на выполнение команды SUDO (ОС *nix). Мера позволит восстановить доступ к ресурсам в случае выхода из строя хранилища данных Indeed PAM Core. Для этих целей назначьте уполномоченного сотрудника, который будет отвечать за сохранность резервных учётных записей и паролей.
Доступ к Indeed PAM
Для обеспечения безопасности компонентов Indeed PAM рекомендуется выполнять установку в соответствии с размещением 2
В этом 2, в этом случае на одном сервере будут установлены компоненты:
- Indeed PAM Core
- Indeed PAM IDPIdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Indeed Pam EventLog
- Microsoft SQL Server или PostgreSQL, PostgreSQL Pro
Расположение ключевых компонентов Indeed PAM и хранилища данных на одном сервере позволяет снизить риски неправомерного доступа к ним. Для корректной работы потребуется открыть следующие порты:
| Протокол | Порт | Описание |
|---|
| Входящие и исходящие |
|---|
| TCP/UDP | 53 | DNS |
| TCP/UDP |
TCP 636 LDAPS3269 Microsoft Global Catalog 88 464 30004000Indeed PAM Core TCP | 3001
4001 | Indeed PAM Management Console/SSL
Indeed PAM |
Management TCP | 3002
4002 | User Console PAM User Console TCPIndeed PAM IDP
Indeed PAM IDP SSL | TCP | 80
443 | Indeed Log ServerIndeed Log Server SSL