Page History

Directory (

User directory)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory, которые состоят в каталоге пользователей. В качестве каталога могут быть назначены контейнеры или подразделения Active Directory.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые находятся в контейнерах или подразделениях, определённых как каталог пользователей. Для пользователей предоставляются разрешения на использование привилегированных учётных записей.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей, расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Домены Active Directory

Домены Active Directory используются для получения учётных записей доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Хранилище данных

Active Directory users cannot use privileged accounts unless these users are members of user Directory. You can use a container or organization unit (OU) as the Directory.

Users (Target users)

These are Active Directory users that are members of container or Organization Unit defined as User directory. Permissions to use privileged accounts can be given to such users only.

Accounts (Access accounts)

These are local or domain accounts that are used to start RDP, SSH or web sessions. Active Directory can store both the User directory and Access accounts.

Resources (Target resources)

These are servers, workstations or other equipment used to start RDP, SSH or web sessions at them. The sessions can be started either as local accounts stored at the server, workstation or other equipment or as domain accounts.

Active Directory Domains

Active Directory Domains are used to obtain accounts. Domain accounts are the accounts added to Indeed PAM.

Data storage

Data used by Indeed PAM is placed to data storage. Microsoft SQL Server instance is used as storage. The following components require databaseДанные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

• Indeed PAM Core (2 базы данныхdatabases)
• Indeed PAM IdP
• Indeed Log Server

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей, состоящих в каталоге.

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных. В роли сервисной назначается учётная запись SQL.

Сервисная учётная запись для работы с видеохранилищем

Учётная запись с правами на чтение и запись в сетевом хранилище.  В роли сервисной назначается учётная запись Active Directory.

Сервисная учётная запись для работы с доменными учётными записями доступа

Доменная учётная запись, которая имеет право на сброс пароля в контейнерах или подразделениях Active Directory, в которых находятся доменные учётные записи доступа.

Группа привилегированных учётных записей доступа Active Directory

Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.  

Сервисная учётная запись для работы с локальными учётными записями доступа

Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

1. Проверка соединения с ресурсом или доменом
2. Синхронизация локальных или доменных учётных записей
3. Проверка пароля учётных записей
4. Изменение пароля учётных записей

Сервисные операции выполняются от имени учётной записи:

1. Для ресурсов (ОС Windows) может быть назначена:
   • Локальная учётная запись с правами администратора
   • Учётная запись Active Directory с правами локального администратора
2. Для ресурсов (ОС *nix) может быть назначена
   • Локальная учётная запись с правами на выполнение команды SUDO
3. Для доменов Active Directory может быть назначена:
   • Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет, как будет выполнять подключение к ресурсу, доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

• RDP - подключение к ресурсу по RDP
• SSH - подключение к ресурсу по SSH
• Web - подключение к web-ресурсу по http или https

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:

• Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
• Учётная запись - локальная или доменная учётная запись доступа, от имени которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
• Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.

Состояния учётных записей доступа

• Ожидает решения (Image Removed) - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будет иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения.
• Управляемая -  Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM, и она может стать участником разрешения.
• Игнорируется (Image Removed) - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась, будут отозваны.
• Заблокирована (Image Removed) - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником  разрешения, а все разрешения, в которых она использовалась, будут приостановлены.
• Удалена (Image Removed) - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась, будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.

Состояния ресуров

• Готов - ресурс добавлен.
• Заблокирован (Image Removed) - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
• Удалён (Image Removed) - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.

Состояния доменов

• Готов - домен добавлен.
• Удалён (Image Removed) - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.

Service account to use with User directory

This is an Active Directory account that has permissions to read the user properties in the Directory.

Service account to use with data storage

This is an account with read and write permissions to databases. SQL account is used as Service account.

Service account to use with video storage

This is an account with read and write permissions to network storage. Active Directory account is used as Service account.

Service account to use with Domain access accounts

This is a domain account that has permission to reset password of domain Access accounts stored in Active Directory containers or Organizational Units.

Privileged Access accounts security group of Active Directory

Active Directory security group that contains the domain Privileged accounts.

Service account for working with local Access accounts

This is a domain or local account that has local administrator privileges at Windows resource or privileges to execute SUDO command at *nix resource.

User authenticator

This is used to provide for two-factor authentication when user signs in or starts a privileged session.

Service connection

Service connection might be used for the following operations with resources and domains:

1. Checking a connection to a resource or domain
2. Synchronization of local or domain accounts
3. Checking of account password
4. Changing of account password

Service operations are performed under the following account types:

1. For Windows resources, you can use: 
   • Local account with administrator privileges
   • Active Directory account with local administrator privileges
2. For *nix resources, you can use:
   
   • Local account with privilege to execute SUDO command
3. For Active Directory domains, you can use:
   
   • Domain account with permission to reset passwords

User connection

A user connection must be configured for each of the resources. This connection determines how a domain or local account connects to the resource. A resource can have only one user connection of a type configured:

• RDP – connection to resource via RDP
• SSH – connection to resource via SSH
• Web – connection to web-resource via HTTP or HTTPS

Permissions

Permissions are used to manage privileged access. Any Active Directory user can be given a permission to start RDP, SSH or Web session at the Target resource under a local or domain account.

A permission contains:

• User – the Active Directory user, for which permission is issued.
• Account – local or domain account used by Active Directory user to start a session at the resource.
• Resource – a resource where a session will be started as the local or domain Access account.

Access account states

• Pending (Image Added) – an account would have Pending state if added to Indeed PAM using synchronization with resource or domain. This happens because the Indeed PAM database contains no password for the account. As a result, the account is not managed by Indeed PAM and cannot be a part of permission.
• Managed – the account has password in Indeed PAM database. Therefore, the account is managed by Indeed PAM and can be a part of permission.
• Ignored (Image Added) – an account can be switched to Ignored if it has Pending or Managed state. In this case, the account is stored without password and is not managed by Indeed PAM. The account cannot be a part of permission. Moreover, all permissions it was used in are revoked.
• Blocked (Image Added) – an account can be switched to Blocked if it has Managed status. In this situation, the account cannot be a part of permission. And all permissions it was used in are suspended.
• Removed (Image Added) – an account can be switched to Removed status from any other one. A removed account is not managed by Indeed PAM and is hidden from the common list. All permissions it was used in are revoked. A removed account can be restored and switched to Managed status if required.

Resource states

• Stand by – means that the resource is added to Indeed PAM
• Blocked (Image Added) – means that resource has been blocked and, it cannot be a part of permission. All permissions it was used in are suspended.
• Removed (Image Added) – a resource can be switched to Removed state from any other one. Removed resources are hidden from the common list. A removed resource can be restored and switched to Stand by state if required.

Domain states

• Stand by – means that the Domain is added to Indeed PAM.
• Removed (Image Added) – a domain can be switched to Removed state. Removed domains are hidden from the common list. A removed domain can be restored and switched to Stand by status if required.

Session states

• Active - if the user has permission to access the target resource from the specified account, which are not blocked and the permission is not revoked, then the server creates a session that becomes active.
• Finished - the session ends when the user ends the session with the target resource, for example, terminating the remote access session to the server, closing the window of the working application or web page.
• Aborted - the session becomes aborted when the PAM administrator forcibly terminates the active user session.

Policies

A policy is a set of settings that is propagated to multiple system objects. A single object can be assigned only one policy of the certain type.

• Account policies – are propagated to accounts and apply to resources and domains.
• Session policies – are propagated to sessions and apply to accounts
• Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
• Политики подключений - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.