Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Backup accounts
Solutions of Privileged Access Management class are a combination of hardware, software and organizational tools that protect privileged accounts from unauthorised use.
One of the Indeed PAM protection mechanisms is isolation of account passwords in the Indeed PAM Core storage, encryption of those, as well as change of passwords to random or user-specified values on schedule or upon request.
The Indeed PAM Core storage is a critical element. If it is damaged, then all the resources become inaccessible, since account passwords are unknown either to administrators or users.
It is highly recommended to assign a backup account for every resource. This account must possess local administrator privileges (Windows) or have rights to execute SUDO command (Unix\Linux).
This would allow to restore resource accessibility in case the data storage of Indeed PAM Core fails. Therefore, you should assign an employee who is responsible for storing the backup accounts and passwords.
Access to Indeed PAM
To provide for security of Indeed PAM components, it is recommended to install the system according to arrangement 2. In this case, the following components are installed on a single server
Безопасность Indeed PAM Core
Для обеспечения безопасности компонентов Indeed PAM рекомендуется выполнять установку в соответствии с размещением 2
В этом случае на одном сервере будут установлены:
- Indeed PAM Core
- Indeed PAM IDPIdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Microsoft SQL Server
Расположение ключевых компонентов Indeed PAM и хранилища данных на одном сервере позволяет снизить риски неправомерного доступа к ним.
Placing the key components of Indeed PAM and data storage to a single server allows to reduce risk of their unauthorized use. The following ports must be open to provide for correct operation:
| Protocol | Port | Description |
|---|---|---|
| Inbound and outbound | ||
| TCP/UDP | 53 | DNS |
| TCP/UDP | ||
TCP
| 389 |
636
| /636 | LDAP/SSL |
| TCP | 3268/3269 |
| Microsoft Global Catalog |
Microsoft Global Catalog
| /SSL |
| TCP/UDP |
| 88 | Kerberos |
| TCP/UDP |
| 464 | Kerberos |
| Inbound | ||
|---|---|---|
| TCP | ||
4000
| 80/443 | Indeed PAM Core |
Indeed PAM Core SSL
4001
| /SSL Indeed PAM Management Console |
Indeed PAM Management Console SSL
4002
| /SSL Indeed PAM User Console/SSL Indeed PAM |
4003
Indeed PAM IDP SSL
443
Indeed Log Server SSL
Резервные учётные записи
Решения класса Privileged Access Management - это ряд технических, программных и организационных мер, которые защищают привилегированные учётные записи c от несанкционированного использования.
Один из механизмов защиты Indeed PAM это изоляция пароля учётной записи в хранилище Indeed PAM Core, шифрование и изменение по расписанию или требованию на случайные или пользовательские значения.
Хранилище Indeed PAM Core критический элемент в схеме работы Indeed PAM, его повреждение приведет к потере доступа на ресурсы, так как значения паролей учётных записей для доступа неизвестны конечным пользователям и администраторам.
Рекомендуется для каждого ресурса выделить резервную учётную запись с правами локального администратора или root. Мера позволит восстановить доступ к ресурсам в случае выхода из строя хранилища данных. Для этих целей назначьте уполномоченного сотрудника, который будет отвечать за сохранность резервных учётных записей и паролей.| IdP/SSL Indeed Log Server/SSL |
| Backtotop | ||||
|---|---|---|---|---|
|
| Divbox | ||||
|---|---|---|---|---|
| ||||
|