Versions Compared

Old Version 40

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory состоящем , которые состоят в каталоге . Каталогом пользователей может быть домен Active Directory или отдельные его контейнеры и подразделения определенные на этапе настройки.

Пользователь (Конечный пользователь)

Пользователь Active Directory, который состоит в каталоге.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей состоящих в каталоге.

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

пользователей. В качестве каталога могут быть назначены контейнеры или подразделения Active Directory.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые находятся в контейнерах или подразделениях, определённых как каталог пользователей. Для пользователей предоставляются разрешения на использование привилегированных учётных записейУчётная запись с правами на чтение и запись в базы данных, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Состояния учётных записей доступа

  • Ожидает решения (Image Removed) - Учётная запись доступа добавлена без пароля и не может стать участником разрешения.
    • Игнорируется (Image Removed) - Учётная запись

    доступа

    хранится без пароля и не может стать участником разрешения

    .

  • Управляемая -  Пароль учётной записи доступа предоставлен и она может стать участником разрешения.
  • Заблокирована (Image Removed) - Управляемая учётная запись доступа была заблокирована и не может стать участником новых разрешений, все разрешения, в которых она использовалась считаются приостановленными.
  • Удалена (Image Removed) - Учётная запись доступа была удалена.

    • Ресурсы (Конечные ресурсы)

    Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей, расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

    Состояния ресуров

    • Готов - Ресурс добавлен.
    • Заблокирован (Image Removed) - Ресурс был заблокирован и не может стать участником разрешений, все разрешения, в которых он использовался считаются приостановленными.
    • Удалён (Image Removed) - Ресурс был удален.

    Домены

    Домен Active Directory, в котором выполняется поиск и управление учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

    Состояния доменов

    Домены Active Directory

    Домены Active Directory используются для получения учётных записей доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

    Хранилище данных

    Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает СУБД Microsoft SQL Server или PostgreSQL, PostgreSQL Pro. Для следующих компонентов требуется база данных:

    • Indeed PAM Core (2 базы данных)
    • Indeed PAM IdP
    • Indeed Log Server

    Сервисная учётная запись для работы с каталогом пользователей

    Учётная запись Active Directory с правами на чтение свойств пользователей, состоящих в каталоге.

    Сервисная учётная запись для работы с хранилищем данных

    Учётная запись с правами на чтение и запись в базы данных. В роли сервисной назначается локальная учётная запись СУБД.

    Сервисная учётная запись для работы с видеохранилищем

    Учётная запись с правами на чтение и запись в сетевом хранилище.  В роли сервисной назначается учётная запись Active Directory.

    Сервисная учётная запись для работы с доменными учётными записями доступа

    Доменная учётная запись, которая имеет право на сброс пароля в контейнерах или подразделениях Active Directory, в которых находятся доменные учётные записи доступа.

    Группа привилегированных учётных записей доступа Active Directory

    Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.  

    Сервисная учётная запись для работы с локальными учётными записями доступа

    Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.

    Аутентификатор пользователя

    Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.В процессе

    Сервисное подключение

    Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

    1. Проверка соединения с ресурсом или доменом
    Поиск
    1. Синхронизация локальных или доменных учётных записей
    2. Проверка пароля учётных записей
    3. Изменение пароля учётных записей

    Сервисные операции выполняются от имени специально назначенной учётной записи:

    1. Для ресурсов (ОС Windows) может быть назначена:
      • Локальная учётная запись с правами администратора
      • Учётная запись Active Directory с правами локального администратора
    2. Для ресурсов (ОС *nix) может быть назначена
    :
      • Локальная учётная запись с правами на выполнение команды SUDO
    2. Для доменов Active Directory может быть назначена:
      • Доменная учётная запись с правами на сброс пароля.

    Пользовательское подключение

    Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполнять подключение к ресурсу, доменная или локальная учётная запись доступа. Может Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

    • RDP - подключение к ресурсу по RDP
    • SSH - подключение к ресурсу по SSHWeb
    • Клиентское - подключение к web-ресурсу по http или httpsили к клиентскому приложению.

    Разрешения

    Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
    Состав разрешения:

    • Пользователь каталога Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
    • Учётная запись доступа - локальная или доменная учётная запись доступа, от имени , которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
    • Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.
    Warning
    iconfalse

    Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены.

    Состояния учётных записей доступа

    • Ожидает решения (Image Added) - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения.
    • Управляемая -  Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
    • Игнорируется (Image Added) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны.
    • Заблокирована (Image Added) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником  разрешения, а все разрешения, в которых она использовалась, будут приостановлены.
    • Удалена (Image Added) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.

    Состояния ресуров

    • Готов - ресурс добавлен.
    • Заблокирован (Image Added) - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
    • Удалён (Image Added) - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.

    Состояния доменов

    • Готов - домен добавлен.
    • Удалён (Image Added) - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов

    Состояния сессий

    • Активная - если для пользователя есть разрешение на доступ к целевому ресурсу с указанной учетной записи, которые не заблокированы и разрешение не отозвано, то сервер создает сессию, которая становится активной. 
    • Завершенная - сессия завершается при завершении пользователем сеанса работы с целевым ресурсом, например завершение сеанса удалённого доступа к серверу, закрытие окна рабочего приложения или веб-страницы.
    • Прерванная - сессия становится прерванной при принудительном завершении администратором PAM активной сессии пользователя.

    Политики

    Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.

    • Политики
    делятся на два типа:Политики
    • учетных записей
    1. Область действия - ресурсы и домены.
    2. Настройки:
      • Сбрасывать пароль после показа
      • Сбрасывать пароль через Х мин
      • Требовать указать причину просмотра пароля
      • Искать новые учетные записи раз в Х дней
      • Проверять пароль учетной записи раз в Х дней
      • Проверять пароль при ручной установке
      • Периодически изменять пароль учетной записи
      • Изменять пароль учетной записи раз в Х дней
      • Длина генерируемого пароля
      • Латинские строчные буквы
      • Латинские прописные буквы
      • Цифры
      • Специальные символы

    Политики сессий

  • Область действия - учётные записи доступа.
    • Настройки:
  • Требовать указать причину подключения
  • Сохранять видео сессии
  • Количество кадров в секунду
  • Разрешение видео
  • Ротация видео
  • Удалять видео сессии старше Х дней
  • Сохранять снимки экрана
  • Интервал снимков, сек
  • Разрешение изображения
  • Ротация снимков экрана
    • Удалять снимки экрана старше Х дней
    • - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
    • Политики подключений - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.

    Backtotop
    Delay0
    Distance250


    Divbox
    classrightFloat

    Table of Contents
    printablefalse