Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

• Вызовите контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMService
• Заполните обязательные поля и завершите создание учётной записи

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД

Создание баз данных

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Откройте контекстное меню пункта Базы данных (Databases)
• Выберите пункт Новая база данных (New Database)
• Укажите имя базы данных, например: IPAMCORE, IPAMIDP, ILS
• Нажмите Ок

Создание имени для входа и назначение прав

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Раскройте пункт Безопасность (Security)
• Откройте контекстное меню пункта Имена для входа (Logins)
• Выберите пункт Создать имя для входа (Create login)
• Выберите тип проверки подлинности и заполните необходимые поля
• Перейдите в пункт Сопоставление пользователей (User Mapping)
• Отметьте флажком базы данных IPAMCORE, IPAMIDP и ILS
• Отметьте флажком права db_owner, db_datareader и db_datawriter
• Нажмите Ок

Сервисные операции в домене Active Directory

Сервисные операции в домене Active Directory выполняются от имени сервисной учётной записи: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Создание и настройка сервисной учётной записи

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMDomainService
• Заполните обязательные поля и завершите создание учётной записи.
• Откройте контекстное меню домена, контейнера или подразделения, в котором расположены учётные записи доступа.
• Выберите пункт Свойства (Properties)
• Перейдите на вкладку Безопасность (Security)
• Нажмите Добавить (Add)
• Выберите учётную запись IPAMDomainService и нажмите Ок
• Нажмите Дополнительно (Advenced)
• Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
• Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
• В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
• Сохраните внесённые изменения 

Создание группы привилегированных пользователей

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Группа (Group)
• Укажите имя, например, IPAMPrivilegedAccounts
• В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
• В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
• Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Настройка доменной учётной записи в качестве сервисной

• Выполните вход на ресурс.
• Запустите оснастку Управление компьютером (Computer management)
• Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
• Откройте контекстное меню группы Администраторы (Administrators)
• Выберите пункт Свойства (Properties)
• Нажмите Добавить (Add)
• Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная (built-in) локальная учётная запись состоящая в группе Администраторы (Administrators), то необходимо:

• Выполните вход на ресурс.
• Запустите Редактор реестра (RegEdit)
• Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
• Откройте контекстное меню раздела System
• Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
• Введите имя параметра - LocalAccountTokenFilterPolicy
• Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
• Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

• Выполните вход на будущий сервер Indeed PAM Core
  
• Откройте Командную строку (CMD) от имени администратора
• Выполните команду
  

winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

Настройка SSL

Для настройки SSL потребуется сертификат выданный на имя ресурса. Сертификат должен содержать Расширенное использование ключа (Extended key usage) - Аутентификация сервера (Server authentication).

• Выполните вход на ресурс
• Запустите Командную строку (CMD)
• Выполните команду

winrm create winrm/config/Listener?Address=*+Transport=HTTPS{Hostname="Resource1.demo.local";CertificateThumbprint="..."}

Где:

• CertificateThumbprint - отпечаток сертификата

Если в хранилище сертификатов компьютера всего один сертификат на имя ресурса, то воспользуйтесь автоматической настройкой.

winrm quickconfig -transport:https

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальных сервисных учётных записей: 

• Проверка соединения с ресурсом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Создание и настройка сервисной учётной записи

• Выполните вход на ресурс
• Запустите Терминал (Terminal)
• Создайте пользователя, например, IPAMUbuntuService

adduser IPAMUbuntuService

• Добавьте пользователя в группу SUDO

usermod -aG sudo IPAMUbuntuService

Настройка группы привилегированных учётных записей

Автоматическое добавление учётных записей выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение необходимо внести изменения в файл /etc/sudoers

Настройка SSL для компонентов Indeed PAM

Для защищённого взаимодействия Indeed PAM потребуются сертификаты для серверов, на которых установлены компоненты Indeed PAM. Сертификаты может быть сформирован по стандартному шаблону Компьютер (Machine).

Hostname