Термины Indeed PAM

Каталог пользователей

Права на использование привилегированных учётных записей предоставляются пользователям Active Directory, которые состоят в каталоге пользователей. Каталогом пользователей Indeed PAM может быть домен Active Directory целиком или отдельные контейнеры и подразделения определенные на этапе настройки Indeed PAM.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory, которая используется для чтения свойств пользователей состоящих в каталоге.

Хранилище данных

Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

Учётная запись, которая используется для чтения баз данных и записи в них, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Учётные записи (Учётные записи доступа)

Локальные учётные записи или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAM, так и учётные записи доступа, которые будут использоваться членами каталога пользователей.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции, оборудование или web-приложения, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Сервисные операции

Для ресурсов, доменов и учётных записей доступа могут быть выполнены сервисные операции:

Ресурсы и домены: 

• Проверка соединения
• Поиск учётных записей

Учётные записи доступа:

• Проверка пароля
• Изменение пароля

Сервисная учётная запись ресурса/домена

В качестве сервисной учётной записи могут быть назначены:

Ресурсы (Windows):

• Локальная учётная запись с правами администратора
• Доменная учётная запись с правами локального администратора

Ресурсы (Unix/Linux):

• Локальная учётная запись с правами на выполнение команды SUDO

Домены

• Учётная запись с правами на сброс пароля.

Домены

Домен Active Directory, который используется в Indeed PAM для поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому члену каталога пользователей может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи.
Состав разрешения:

• Пользователь каталога
• Учётная запись доступа
• Ресурс

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

1. Область действия - ресурсы и домены.
2. Настройки:
   • Сбрасывать пароль после показа
   • Сбрасывать пароль через Х мин
   • Требовать указать причину просмотра пароля
   • Искать новые учетные записи раз в Х дней
   • Проверять пароль учетной записи раз в Х дней
   • Проверять пароль при ручной установке
   • Периодически изменять пароль учетной записи
   • Изменять пароль учетной записи раз в Х дней
   • Длина генерируемого пароля
   • Латинские строчные буквы
   • Латинские прописные буквы
   • Цифры
   • Специальные символы
     

Политики сессий

1. Область действия - учётные записи доступа.
2. Настройки:
   • Требовать указать причину подключения
     
   • Сохранять видео сессии
     
   • Количество кадров в секунду
     
   • Разрешение видео
     
   • Ротация видео
     
   • Удалять видео сессии старше Х дней
     
   • Сохранять снимки экрана
     
   • Интервал снимков, сек
     
   • Разрешение изображения
     
   • Ротация снимков экрана
     
   • Удалять снимки экрана старше Х дней