Versions Compared

Old Version 64

changes.mady.by.user Maksim Kuzmov

Saved on

compared with

New Version Current

changes.mady.by.user Pavel Golubnichiy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

User directory

Active Directory organizational units or containers are used as user directory. A service account is required to work with directory, in order to read directory users properties.

Creating an account to use with user directory

Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (
  1. Run the
  1. Active Directory Users and Computers
).
  • Вызовите контекстное меню домена, контейнера или подразделения.
  • Выберите пункт Создать (Create) - Пользователь (User)
  • Укажите имя, например, IPAMService
  • Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server. Базы данных необходимы для следующих компонентов:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

Создание баз данных

  • Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  • Откройте контекстное меню пункта Базы данных (Databases)
  • Выберите пункт Новая база данных (New Database)
  • Укажите имя базы данных, например: IPAMCOREIPAMIDPILS
  • Нажмите Ок

Создание имени для входа и назначение прав

  • Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  • Раскройте пункт Безопасность (Security)
  • Откройте контекстное меню пункта Имена для входа (Logins)
  • Выберите пункт Создать имя для входа (Create login)
  • Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
  • Перейдите в пункт Сопоставление пользователей (User Mapping)
  • Отметьте базы данных IPAMCOREIPAMIDP и ILS
    1. snap-in
    2. Open the context menu of organizational unit or container
    3. Select Create - User item from the menu
    4. Specify the user name, say, IPAMManager
    5. Fill in the mandatory fields and complete the account creation

    Alternatively, you can use an existing account. All Active Directory domain users have a right to read the properties of other users by default.

    Video storage

    Video storage is a network folder with configured access. A service account is required to access video storage. To access the video store you need a service account to perform read and write operations. It is recommended to use the existing IPAMManager account as the service one.

    Warning
    iconfalse

    A domain account is required to work with video storage.

    To create a network folder, follow these steps:

    1. Create a folder on the network store.
    2. Call the contextual menu of the folder you created, select the item Share with > Specific people.
    3. Enter the username (IPAMManager) and click Add.
    4. In the "Permission level" column, click the Read value next to the IPAMManager user and select Read/Write from the menu.
    5. Finish creating a network folder by clicking Share.

    Shadow file storage

    Files that the user transfers to the target resource are copied to the storage. It is a network folder similar to a video storage.

    Data storage

    Indeed PAM uses Microsoft SQL Server or PostgreSQL Pro to store data. The following components require databases:

    • Indeed PAM Core (DB IPAMCore, DB IPAMTasks)
    • Indeed PAM IdP (DB IPAMIdP)
    • Indeed Log Server (DB ILS)
    Warning
    iconfalse

    The ILS database is required only for a configuration with event storage in the DBMS. When using Windows Event Log, creating a database is not necessary.

    Table creation, data read and write operations are performed under service account to use with data storage. The account should have the following database rights:

    • db_owner - this is required to create tables upon the first request to database
    • db_datareader - for read operations from database
    • db_datawriter - for write operations to database

    Database creation

    Microsoft SQL Server

    1. Run Microsoft SQL Management Studio (SSMS) and connect to Microsoft SQL Server instance
    2. Open the context menu of Databases item
    3. Select the New Database item
    4. Specify a database name, for example IPAMCore, IPAMTasksIPAMIdPILS
    5. Click ОK

    PostgreSQL Pro

    1. Launch pgAdmin and connect to the PostgreSQL Pro server
    2. Open the context menu of the Databases item 
    3. Select Create, Database
    4. Specify a database name, for example: IPAMCore, IPAMTasksIPAMIdPILS
    5. Click Save

    Creating a service account to work with data storage

    Microsoft SQL Server

    Отметьте права 
    1. Start Microsoft SQL Management Studio (SSMS) and connect to the Microsoft SQL Server instance
    2. Expand the Security item
    3. Open the context menu of Logins item
    4. Select the Create login item
    5. Enter the name, for example IPAMSQLService
    6. Select SQL Server authentication item and fill in the required fields
    7. Switch to User Mapping item
    8. Check IPAMCoreIPAMTasksIPAMIdP and ILS databases
    9. Check database roles
    1. db_ownerdb_datareader
    и 
    1. and db_datawriter
  • Нажмите Ок

    • Сервисные операции в домене Active Directory

    Сервисные операции в домене Active Directory выполняются от имени сервисной учётной записи: 

    • Проверка соединения с доменом
    • Поиск учётных записей доступа
    • Проверка пароля учётных записей доступа
    • Изменение пароля учётных записей доступа

    Создание и настройка сервисной учётной записи

    • Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
    • Откройте контекстное меню домена, контейнера или подразделения.
    • Выберите пункт Создать (Create) - Пользователь (User)
    • Укажите имя, например, IPAMDomainService
    • Заполните обязательные поля и завершите создание учётной записи.
    • Откройте контекстное меню домена, контейнера или подразделения, в котором расположены учётные записи доступа.
    • Выберите пункт Свойства (Properties)
    • Перейдите на вкладку Безопасность (Security)
    • Нажмите Добавить (Add)
    • Выберите учётную запись IPAMDomainService и нажмите Ок
    • Нажмите Дополнительно (Advenced)
    • Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
    • Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
    • В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
    • Сохраните внесённые изменения 

    Создание группы группы безопасности для учётных записей доступа

    • Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
    • Откройте контекстное меню домена, контейнера или подразделения.
    • Выберите пункт Создать (Create) - Группа (Group)
    • Укажите имя, например, IPAMPrivilegedAccounts
    • В секции Область действия группы (Group scope) выберите Глобальная (Global)
    • В секции Тип группы (Group type) выберите Группа безопасности (Security)
    • Сохраните внесённые изменения

    Сервисные операции для ресурсов Windows

    Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

    • Проверка соединения с доменом
    • Поиск учётных записей доступа
    • Проверка пароля учётных записей доступа
    • Изменение пароля учётных записей доступа

    Настройка доменной учётной записи в качестве сервисной

    • Выполните вход на ресурс.
    • Запустите оснастку Управление компьютером (Computer management)
    • Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
    • Откройте контекстное меню группы Администраторы (Administrators)
    • Выберите пункт Свойства (Properties)
    • Нажмите Добавить (Add)
    • Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

    Настройка локальной учётной записи в качестве сервисной

    Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная (built-in) локальная учётная запись состоящая в группе Администраторы (Administrators), то необходимо:

  • Выполните вход на ресурс.
  • Запустите Редактор реестра (RegEdit)
    • Раскройте ветку 
    2. Click ОK

    PostgreSQL Pro

    1. Launch pgAdmin and connect to the PostgreSQL Pro server
    2. Open the context menu of the Login/Group Roles item
    3. Select Create, Login/Group Role
    4. Specify a Name, for example IPAMSQLService, in the Definition tab, enter the new password, in the Privileges tab, in the Can login? item select Yes, click Save
    5. Go to the created databases, open the context menu, select Properties, specify the Owner as IPAMSQLService
    6. Go to the Security tab, in Privileges add a new row, in the Grantee column select IPAMSQLService from the list, click on the cell in the Privileges column and select All and With grant option 
    7. Click Save, repeat for the rest of the databases.

    Service operations on Active Directory

    Active Directory service operations are performed on behalf of the service account:

    • Checking the connection to the Domain
    • Domain accounts synchronization
    • Checking the domain account password
    • Changing the domain account password

    Creating and configuring the service account to use with Active Directory

    1. Start the Active Directory Users and Computers snap-in
    2. Open the context menu of the Container or Organization Unit
    3. Select Create - User item
    4. Enter the name, for example IPAMService
    5. Fill in the required fields and complete the creation of the account
    6. Open the context menu of the Container or Organization Unit in which the access accounts are located
    7. Select Properties item
    8. Go to Security tab
    9. Click Add
    10. Select IPAMService account and click OK
    11. ClickAdvanced
    12. Select IPAMService account and click Edit
    13. For the field Applies to: set value Descendant User objects
    14. In the Permissions: section check Reset password
    15. Save the changes

    Create a security group for Active Directory Privileged access accounts 

    1. Start the Active Directory Users and Computers snap-in.
    2. Open the context menu of the Domain, Container or Organization Unit
    3. Select Create - Group item
    4. Enter the name, for example IPAMPrivilegedAccounts
    5. Select Global in the Group scope section
    6. Select Security in the Group type section
    7. Save the changes

    Service operations for Windows resources

    The following service operations are performed at Windows resources on behalf of the domain or local service account:

    • Checking of connection to resources
    • Synchronization of local accounts
    • Checking of local account passwords
    • Changing of local account passwords

    Configuring a domain account as service one

    1. Log in to resource
    2. Run the Computer management snap-in
    3. Switch to System tools - Local Users and Groups - Groups section
    4. Open the context menu of Administrators group
    5. Select Properties item
    6. Click Add
    7. Select the domain account to be used as service one for the resource and click OK

    Configuring a local account as service one

    If you plan to use local built-in administrator account as service account, then no additional configuration is required. Otherwise, proceed as follows:

    1. Log in to resource
    2. Run the Computer management snap-in
    3. Switch to System tools - Local Users and Groups - Groups section
    4. Open the context menu of Administrators group
    5. Select Properties item
    6. Click Add
    7. Select the local account to be used as service one for the resource and click Ок
    8. Run Windows registry editor (RegEdit)
    9. Expand the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    1. branch
    2. Open the context menu of System section
    3. Select Create - DWORD (
  • Откройте контекстное меню раздела System
    • Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (
    1. 32-bit) Value
    )
    2. Specify the parameter name - LocalAccountTokenFilterPolicy
    3. Open the context menu of LocalAccountTokenFilterPolicy parameter
    4. Select Modify item and set the Value data:  equal to 1

    Registry editing is required due to restrictions on remote WinRM management for all local accounts except for built-in administrator account.

    Configuring a resource to use local accounts as service one

    Synchronize accounts operation is performed using remote WinRM management. It is necessary to add the resource to the TrustedHosts list if local resource accounts are used as service ones.

    Configuring the TrustedHosts list

    1. Log in to the server on which Indeed PAM Core will be installed
    2. Run Command line (CMD) as Administrator
    3. Execute the following command:
  • Введите имя параметра - LocalAccountTokenFilterPolicy
  • Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
  • Установите Значение: (Value data:) равное 1

    • Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех учётных записей, кроме встроенного (built-in) администратора.

    Настройка ресурса для использования локальных учётных записей в качестве сервисных

    Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

    Настройка TrustedHosts

  • Выполните вход на будущий сервер Indeed PAM Core
  • Откройте Командную строку (CMD) от имени администратора
    • Выполните команду
    Code Block
    languagepowershell
    themeRDark
    winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

    Указанные ресурсы будут добавлены в список доверенныхThe specified resources shall be added to the TrustedHosts list.

    Warning
    iconfalse

    При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает староеWhen adding new resources to the trusted list, you must specify previously added resources and new ones, since the new value overwrites the old one.

    Code Block
    languagesql
    @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

    Настройка SSL

    Для настройки SSL потребуется сертификат выданный на имя ресурса. Сертификат должен содержать Расширенное использование ключа (Extended key usage) - Аутентификация сервера (Server authentication).

    • Выполните вход на ресурс
    • Запустите Командную строку (CMD)
    • Выполните команду
    Code Block
    languagepowershell
    winrm create winrm/config/Listener?Address=*+Transport=HTTPS{Hostname="Resource1.demo.local";CertificateThumbprint="..."}

    Где:

    • Hostname - имя ресурса, на чьё имя выдан сертификат
    • CertificateThumbprint - отпечаток сертификата ресурса

    Если в хранилище сертификатов компьютера всего один сертификат на имя ресурса, то воспользуйтесь автоматической настройкой.

    Code Block
    languagepowershell
    winrm quickconfig -transport:https

    Сервисные операции для ресурсов *nix

    Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

    • Проверка соединения с ресурсом
    • Поиск учётных записей доступа
    • Проверка пароля учётных записей доступа
    • Изменение пароля учётных записей доступа

    Создание и настройка сервисной учётной записи

  • Выполните вход на ресурс
  • Запустите Терминал (Terminal)


    • Service operations for *nix resources

    The following service operations are performed at *nix resources on behalf of the local service account:

    • Checking of connection to resource
    • Searching for local accounts
    • Checking of local account passwords
    • Changing of local account passwords

    Creating and configuring a service account

    1. Log in to resource.
    2. Run Terminal.

    3. Create a user, for example IPAMService:

    Создайте пользователя, например, IPAMUbuntuService

    1. Code Block
      languagebash
      themeRDark
      adduser
    IPAMUbuntuServiceДобавьте пользователя в группу SUDO
    1. IPAMService


    2. Add the user to SUDO group

      Code Block
      languagebash
      themeRDark
      usermod -aG sudo
    IPAMUbuntuService

    Настройка группы привилегированных учётных записей

    Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

    Настройка SSL для компонентов Indeed PAM

    Для защищённого взаимодействия Indeed PAM потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).
    1. IPAMService


    Configuring a group of privileged accounts

    Automatic searching and adding of Access accounts to Indeed PAM is performed based on their permission to execute a SUDO command. To grant the permission to execute SUDO command, you need to edit the /etc/sudoers file.

    SSL Configuration for Indeed PAM components

    Secure interaction will require certificates for servers that have Indeed PAM components installed. The certificates can be generated using the standard Machine template.

    Backtotop
    Delay0
    Distance250


    Divbox
    classrightFloat

    Table of Contents
    printablefalse