| Tip |
|---|
|
Компонент Indeed PAM Core может работать в составе отказоустойчивого кластера по схеме Active-Active. Для реализации отказоустойчивости потребуется один иди несколько дополнительных серверов Indeed PAM Core. Балансировка нагрузки выполняется при помощи балансировщика HAProxy. Для настройки отказоустойчивой конфигурации необходимо обратиться в службу технической поддержки support@indeed-id.com |
IIS
- Запустите IIS и перейдите в Default Web Site
- Выберите приложение api и откройте Редактор конфигурации (Configuration Editor) из раздела Управление (Manage)
- Раскройте выпадающий список Раздел: (Section:) и выберите system.webServer - serverRuntime
- Установите для параметра uploadReadAheadSize значение 1048576
- Нажмите Применить (Apply) в разделе Действия (Actions)
Indeed PAM Core
| Warning |
|---|
|
Все URL указываются в нижнем регистре. |
Перейдите в каталог C:\inetpub\wwwroot\Indeed.PAM.ApiServer и откройте для редактирования файл api и отредактируйте файл web.config.Заполните секции:
<logServer … />:
адрес - URL API единого журнала событий
. CertificateThumbprint - отпечаток сертификата (не заполнять). CertificateFilePath - путь до сертификата (не заполнять). CertificateFilePassword - пароль от контейнера с закрытым ключом сертификата (не заполнять).| theme | Confluence |
|---|
title | Примерhttphttps://logserver.indeed-id. |
demolocal/ils/api" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" /> |
<logServerClient … />:
AppId - id приложения.Component - оставить без изменений.- EventCacheDirectory - временный каталог для записи событий
.| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
|
title"IdentitySettings": {"AdminSids": [ "S-1-5-21-1487179672-2651565253-5257550508-0000"], "IdpUrl": "https://pam.domain.demo:4003"} | <logServerClient AppId="pam" Component="server" EventCacheDirectory=" |
ctempTemp\ILS\Core\EventCacheDirectory" LogServerTargetConfigFile="" EventCacheSendingIntervalSec="10"/> |
<adUserCatalogProvider> … </adUserCatalogProvider>: <encryptionSettings ... />:
- cryptoAlgName - название алгоритма шифрования
- cryptoKey - ключ шифрования
| Note |
|---|
|
Ключ шифрования генерируется утилитой IndeedPAM.KeyGen.exe, которая входит в состав дистрибутива Indeed PAM и располагается в каталоге /Misc. |
| Code Block |
|---|
|
<encryptionSettings cryptoAlgName="DES" cryptoKey="ea06v76ht457t2l8" /> |
<adUserCatalogProvider ... >:
id - идентификатор провайдера.serverName - полное - DNS-имя контроллера домена
.- , выполняющего функцию Глобальный каталог (Global Catalog)
- containerPath - LDAP-путь
к контейнеру или OU с пользователями.- контейнера или подразделения, который будет использован в качестве каталога пользователей Active Directory
- userName -
имя для входа сервисной учётной записи для - сервисная учётная запись для работы с каталогом пользователей Active Directory
.- Password - пароль сервисной учётной записи
.| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
|
| title | Пример |
|---|
<adUserCatalogProvider id="ad" serverName="dc. |
domaindemoouorganizationaldcdomaindcdemoservicepam123456
<connectionStrings> ... </connectionStrings>:
- <add name="DBConnection" ... />:
- Data Source - имя SQL-сервера.сервера Microsoft SQL Server\PostgreSQL, PostgreSQL Pro или именованного экземпляра
- Initial Catalog - имя базы данных API.
- Integrated Security - тип проверка подлинности.
- (IPAMCore)
- User ID - сервисная учётная запись для работы с базами данных Indeed PAM
- Password - пароль сервисной учётной записи
- <add name="JobsQueueConnectionString" ... />:
- Data Source - имя сервера Microsoft SQL Server\PostgreSQL, PostgreSQL Pro или именованного экземпляра
- Initial Catalog - имя базы данных (IPAMTasks)
- User ID - сервисная учётная запись имя для входа сервисной учётной записи для работы с базами данных Indeed PAM.
- Password - пароль сервисной учётной записи.
Пример подключения к БД Microsoft SQL Server
| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
|
| title | Пример |
|---|
<connectionStrings>
<add name="DBConnection" connectionString="Data Source=MSSQLServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="System.Data.SqlClient" />
<add name="JobsQueueConnectionString" connectionString="Data Source= |
sqlserverMSSQLServer;Initial Catalog= |
apipamIPAMTasks;Integrated Security=False;User ID= |
sqlservicepam123456password" providerName="System.Data.SqlClient" /> |
| Note |
|---|
|
В случае использования SQL Express параметр подключения к серверу необходимо задавать в формате <имя сервера SQL >\<имя инстанса SQL>.Пример подключения к БД PostgreSQL, PostgreSQL Pro
| Warning |
|---|
|
В строке подключения необходимо заменить значение providerName="System.Data.SqlClient" на providerName="Npgsql" |
| theme | Confluence |
|---|
| title | Пример |
|---|
"ConnectionStrings": {<connectionStrings>
<add name=" |
DefaultConnection: connectionString="Data Source |
=sqlserver\SQLEXPRESS; ..."
}=PostgreSQLServer;Initial Catalog=IPAMCore;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
<add name="JobsQueueConnectionString" connectionString="Data Source=PostgreSQLProServer;Initial Catalog=IPAMTasks;Integrated Security=False;User ID=IPAMSQLService;Password=password" providerName="Npgsql" />
</connectionStrings> |
Для PostgreSQL, PostgreSQL Pro - в секции <appSettings> ... </appSettings> добавьте строку
<add key="IdpUrl" .../>value - URL адрес IDP.| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
| title | Пример |
|---|
|
<add key="IdpUrl" value="https://pam.indeed.demo:4003"/> |
<add key="PamProxyIpAddresses" … />value - IP-адрес сервера Proxy.
| theme | Confluence |
|---|
| title | Пример |
|---|
<appSettings>
...
<add key=" |
PamProxyIpAddresses192.168.0.100<add key="TempVideoDirectory" ... />
value - каталог для временных файлов| Warning |
|---|
|
В случае использования именованного экземпляра Microsoft SQL Server значение параметра Data Source необходимо указывать в формате <имя сервера>\<имя экземпляра> |
| theme | Confluence |
|---|
| title | Пример |
|---|
keyTempVideoDirectoryvaluec:\temp\" />| Note |
|---|
|
| На указанный каталог необходимо выдать полные права для пула приложений API. Откройте Свойства (Properties) каталога и перейдите на вкладку Безопасность (Security). Нажмите Редактировать (Edit...), затем Добавить (Add..). Нажмите Размещение... (Location) и выберите локальный ПК. Введите имя локальной учётной записи IIS AppPool\Indeed.PAM.ApiServer или IIS_IUSRS (если используется IIS 7.0), нажмите Проверить имя (Check Names) и ОК. Установите права Полный доступ (Full control) и нажмите Применить (Apply). |
Data Source=MSSQLServer\Named instance; ... "/>
<add name="JobsQueueConnectionString" connectionString="Data Source=MSSQLServer\Named instance; ... "/>
</connectionStrings> |
|
<add key="IdpUrl" ... />:
- value - URL Indeed PAM IdP
<add key="FileStorageDirectory" … />value - каталог для хранения снимков экрана и видеозаписей сессий.| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
|
titleПример | FileStorageDirectoryc:\pamstorage\https://pam.indeed-id.local/idp" /> |
| Note |
|---|
title | Примечание(см. примечание п. 7)
|
<add key="
DomainAdminGroupNamesPamProxyIpAddresses" … />:
- distinguishedName группы безопасности Active Directory, используется для получения доменных учётных записей с административными правами. В репозиторий аккаунтов PAM будут добавлены все учётные записи, которые входят в указанную группу.- - IP-адрес сервера Indeed PAM Gateway
| Code Block |
|---|
| language | xml |
|---|
| theme | Confluence |
|---|
|
titleПример | DomainAdminGroupNamesPamProxyIpAddresses" value=" |
CN=Domain Admins,CN=Users,DC=domain,DC=demo