You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 82 Next »

Каталог пользователей

В качестве каталога пользователей используются контейнеры или подразделения Active Directory. Для работы с каталогом необходима сервисная учётная запись, которая будет читать свойства пользователей находящихся в каталоге.

Создание учётной записи для работы с каталогом пользователей

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

  1. Вызовите контекстное меню контейнера или подразделения.
  2. Выберите пункт Создать (Create) - Пользователь (User)
  3. Укажите имя, например, IPAMManager
  4. Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись, по умолчанию права на чтение свойств остальных пользователей есть у всех в домене Active Directory. 

Видеохранилище

Для доступа к видеохранилищу потребуется сервисная учётная запись, которая будет выполнять операции чтения и записи. В качестве сервисной рекомендуется использовать уже созданную учётную запись IPAMManager.

В качестве сервисной может использована только доменная учётная запись.


Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server. Базы данных необходимы для следующих компонентов:

  • Indeed PAM Core (БД IPAMCore и БД IPAMTasks)
  • Indeed PAM IdP (БД IPAMIdP)
  • Indeed Log Server (БД ILS)

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи для работы с хранилищем данных. Учётная запись должна обладать следующими правами на базы данных: 

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

Создание баз данных

  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  2. Откройте контекстное меню пункта Базы данных (Databases)
  3. Выберите пункт Новая база данных (New Database)
  4. Укажите имя базы данных, например: IPAMCore, IPAMTasksIPAMIdPILS
  5. Нажмите Ок

Создание сервисной учётной записи для работы с хранилищем данных

  1. Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  2. Раскройте пункт Безопасность (Security)
  3. Откройте контекстное меню пункта Имена для входа (Logins)
  4. Выберите пункт Создать имя для входа (Create login)
  5. Укажите имя, например, IPAMSQLService
  6. Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
  7. Перейдите в пункт Сопоставление пользователей (User Mapping)
  8. Отметьте базы данных IPAMCoreIPAMTasksIPAMIdP и ILS
  9. Отметьте права db_ownerdb_datareader и db_datawriter
  10. Нажмите Ок

Сервисные операции в Active Directory

Сервисные операции в Active Directory выполняются от имени сервисной учётной записи: 

  • Проверка соединения с доменом
  • Синхронизация доменных учётных записей
  • Проверка пароля доменных учётных записей
  • Изменение пароля доменных учётных записей

Создание и настройка сервисной учётной записи для работы с Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Пользователь (User)
  4. Укажите имя, например, IPAMService
  5. Заполните обязательные поля и завершите создание учётной записи.
  6. Откройте контекстное меню контейнера или подразделения, в которых расположены учётные записи доступа.
  7. Выберите пункт Свойства (Properties)
  8. Перейдите на вкладку Безопасность (Security)
  9. Нажмите Добавить (Add)
  10. Выберите учётную запись IPAMService и нажмите Ок
  11. Нажмите Дополнительно (Advenced)
  12. Выберите учётную запись IPAMService и нажмите Изменить (Edit)
  13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
  15. Сохраните внесённые изменения 

Создание группы безопасности для привилегированных учётных записей доступа Active Directory

  1. Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню домена, контейнера или подразделения.
  3. Выберите пункт Создать (Create) - Группа (Group)
  4. Укажите имя, например, IPAMPrivilegedAccounts
  5. В секции Область действия группы (Group scope) выберите Глобальная (Global)
  6. В секции Тип группы (Group type) выберите Группа безопасности (Security)
  7. Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Синхронизация локальных учётных записей
  • Проверка пароля локальных учётных записей
  • Изменение пароля локальных учётных записей

Настройка доменной учётной записи в качестве сервисной

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management)
  3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  4. Откройте контекстное меню группы Администраторы (Administrators)
  5. Выберите пункт Свойства (Properties)
  6. Нажмите Добавить (Add)
  7. Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management)
  3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  4. Откройте контекстное меню группы Администраторы (Administrators)
  5. Выберите пункт Свойства (Properties)
  6. Нажмите Добавить (Add)
  7. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
  8. Запустите Редактор реестра (RegEdit)
  9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
  10. Откройте контекстное меню раздела System
  11. Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
  12. Введите имя параметра - LocalAccountTokenFilterPolicy
  13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
  14. Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Синхронизировать учётные записи выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts.

Настройка TrustedHosts

  1. Выполните вход на сервер, на котором будет установлен компонент Indeed PAM Core
  2. Откройте Командную строку (CMD) от имени администратора
  3. Выполните команду
winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.

@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

  • Проверка соединения с ресурсом
  • Поиск учётных локальных записей доступа
  • Проверка пароля локальных учётных записей доступа
  • Изменение пароля локальных учётных записей доступа

Создание и настройка сервисной учётной записи

  1. Выполните вход на ресурс
  2. Запустите Терминал (Terminal)

  3. Создайте пользователя, например, IPAMService

    adduser IPAMService

  4. Добавьте пользователя в группу SUDO

    usermod -aG sudo IPAMService

Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM

Для защищённого взаимодействия потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты могут быть сформированы по стандартному шаблону Компьютер (Machine).


  • No labels