Versions Compared

Old Version 4

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Maksim Kuzmov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Tip
iconfalse

Компонент Indeed PAM Core может работать в составе отказоустойчивого кластера по схеме Active-Active. Для реализации отказоустойчивости потребуется один иди несколько дополнительных серверов Indeed PAM Core. Балансировка нагрузки выполняется при помощи балансировщика HAProxy. Для настройки отказоустойчивой конфигурации необходимо обратиться в службу технической поддержки support@indeed-id.com

IIS

  1. Запустите IIS и перейдите в Default Web Site
  2. Выберите приложение api и откройте Редактор конфигурации (Configuration Editor) из раздела Управление (Manage)
  3. Раскройте выпадающий список Раздел: (Section:) и выберите system.webServerserverRuntime
  4. Установите для параметра uploadReadAheadSize значение 1048576
  5. Нажмите Применить (Apply) в разделе Действия (Actions)

Indeed PAM Core

Warning
iconfalse

Все URL указываются в нижнем регистре.

Настройка API

Перейдите в каталог C:\inetpub\wwwroot\Indeed.PAM.ApiServer и откройте для редактирования файл api и отредактируйте файл web.config.Заполните секции:

<logServer … />

  • Url -
адрес API. 
  • CertificateThumbprint - отпечаток сертификата (не заполнять). 
  • CertificateFilePath - путь до сертификата (не заполнять). 
    • URL API единого журнала событий
    Code Block
    <logServer Url="https
    CertificateFilePassword - пароль от контейнера с закрытым ключом сертификата (не заполнять).
    Пример: <logServer Url="http
    ://logserver.indeed-id.
    demo
    local/ils/api" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" />

    <logServerClient … />:

    AppId - id приложения.

  • Component - уточнить.
    • EventCacheDirectory - временный каталог для записи событий
    .
    Code Block
    languagexml
    themeConfluence
    <logServerClient
    Пример: <logServerClient 
    AppId="pam" Component="server" EventCacheDirectory="
    c
    C:\
    temp
    Temp\ILS\Core\EventCacheDirectory" LogServerTargetConfigFile="" EventCacheSendingIntervalSec="10"/>
    <adUserCatalogProvider> … </adUserCatalogProvider>: 

    <encryptionSettings ... />:

    • cryptoAlgName - название алгоритма шифрования
    • cryptoKey - ключ шифрования
    Note
    iconfalse

    Ключ шифрования генерируется утилитой IndeedPAM.KeyGen.exe, которая входит в состав дистрибутива Indeed PAM и располагается в каталоге /Misc.


    Code Block
    <encryptionSettings cryptoAlgName="DES" cryptoKey="ea06v76ht457t2l8" />

    <adUserCatalogProvider ... >:

    • serverName -
  • id - идентификатор провайдера
    • serverName - полное
    • DNS-имя контроллера домена, выполняющего функцию Глобальный каталог (Global Catalog)
    • containerPath - LDAP-путь
    к контейнеру или OU с пользователями
    • контейнера или подразделения, который будет использован в качестве каталога пользователей Active Directory
    • userName -
    имя сервисной учётной записи
    • сервисная учётная запись для работы с каталогом пользователей Active Directory
    (см. Настройка каталога пользователей Active Directory)
    • Password - пароль сервисной учётной записи

    Code Block
    languagexml
    themeConfluence
    <adUserCatalogProvider
    Пример: <adUserCatalogProvider 
    id="ad" serverName="dc.
    domain
    indeed-id.
    demo
    local" containerPath="
    ou
    OU=
    organizational 
    organization unit,
    dc
    DC=
    domain
    indeed-id,
    dc
    DC=
    demo
    local" userName="
    servicePAM
    IPAMManager" password="
    123456
    password">


    <connectionStrings> ... </connectionStrings>    :

    1. <add name="DBConnection" ... />:
      • Data Source - имя
      ПК с установленным SQL-сервером.
      • сервера Microsoft SQL Server или именованного экземпляра 
      • Initial Catalog - имя
      БД API.
    2. Integrated Security - тип проверка подлинности.
    3. User ID - имя пользователя.
      4. Password - пароль.
      Пример: <add name="DBConnection" connectionString="Data Source=sqlserver;Initial Catalog=apipam;Integrated Security=False;User ID=SQLServicePAM;Password=123456"
      • базы данных (IPAMCore)
      • User ID - сервисная учётная запись для работы с базами данных Indeed PAM
      • Password - пароль сервисной учётной записи
    4. <add name="JobsQueueConnectionString" ... />:
      • Data Source - имя сервера Microsoft SQL Server или именованного экземпляра 
      • Initial Catalog - имя базы данных (IPAMTasks)
      • User ID - сервисная учётная запись для работы с базами данных Indeed PAM
      • Password - пароль сервисной учётной записи
    Code Block
    languagexml
    themeConfluence
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=MSSQLServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="System.Data.SqlClient" />
	<add name="JobsQueueConnectionString" connectionString="Data Source=MSSQLServer;Initial Catalog=IPAMTasks;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="System.Data.SqlClient" />

    
</connectionStrings>


    Примечание:
    Warning
    iconfalse

    В случае использования

    SQL Express параметр подключения к серверу необходимо задавать

    именованного экземпляра Microsoft SQL Server значение параметра Data Source необходимо указывать в формате <имя

    сервера SQL >

    сервера>\<имя

    инстанса SQL>

    экземпляра>.

    Пример: <ConnectionString>Data Source=sqlserver\SQLEXPRESS; … </ConnectionString>
    <add key="Auth0Domain" … />value - полное DNS-имя ПК на котором установлен IDP с указанием порта по которому он доступен (заполняется после установки IDP).
    Пример: <add key="Auth0Domain" value="https://pam.indeed.demo:4003" />
    <add key="PamProxyIpAddresses" … />value - IP-адрес Proxy (заполняется после установки Proxy)
    Пример: <add key="PamProxyIpAddresses" value="192.168.0.100" />
    <add key="TempVideoDirectory" ... />
    Code Block
    <connectionStrings>
	<add name="DBConnection" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
	<add name="JobsQueueConnectionString" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
</connectionStrings>


    <add key="IdpUrl" ... />:

    • value - URL Indeed PAM IdP
    Code Block
    languagexml
    themeConfluence
    <add key="IdpUrl" value="https://pam.indeed-id.local/idp"/>


    <add key="PamProxyIpAddresses" … />:

    • value - IP-адрес сервера Indeed PAM Gateway
    Code Block
    languagexml
    themeConfluence
    <add key="PamProxyIpAddresses" value="192.168.0.100" />

    Backtotop
    Delay0
    Distance250

    value - каталог для временных файлов видеозаписи сессии пользователя.
    Пример: <add key="TempVideoDirectory" value="c:\temp\" />
    Примечание: На указанный каталог необходимо выдать полные права для пула приложений API. Откройте Свойства (Properties) каталога и перейдите на вкладку Безопасность (Security). Нажмите Редактировать (Edit...), затем Добавить (Add..). Нажмите Размещение... (Location) и выберите локальный ПК. Введите имя локальной учётной записи IIS AppPool\Indeed.PAM.ApiServer или IIS_IUSRS (если используется IIS 7.0), нажмите Проверить имя (Check Names) и ОК Установите права Полный доступ (Full control) и нажмите Применить (Apply).
    <add key="FileStorageDirectory" … />value - каталог для хранения снимков экрана и видеозаписи сессии пользователя.
    Пример: <add key="FileStorageDirectory" value="c:\temp\" /> Примечание: (см. примечание в п. 8)
    <add key="DomainAdminGroupNames" … />value - distinguishedName группы Active Directory, используется для получения административных аккаунтов из домена Active Directory. В репозиторий аккаунтов PAM будут добавлены все пользователи чьё вхождение будет обнаружено в указанную группу.
    Пример: <add key="DomainAdminGroupNames" value="CN=Domain Admins,CN=Users,DC=domain,DC=demo" />