You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 24 Next »

Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory, которые состоят в каталоге пользователей. Каталогом пользователей Indeed PAM может быть домен Active Directory целиком или отдельные контейнеры и подразделения определенные на этапе настройки Indeed PAM.

Пользователь (Конечный пользователь)

Пользователь домена Active Directory, который состоит в каталоге пользователей.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory, которая используется для чтения свойств пользователей состоящих в каталоге.

Хранилище данных

Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище. В роли хранилища данных выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

Учётная запись, которая используется для чтения баз данных и записи в них, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Учётные записи (Учётные записи доступа)

Локальные учётные записи или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAM, так и учётные записи доступа, которые будут использоваться пользователями каталога.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Сервисное подключение

Для каждого ресурса и домена может быть настроено сервисное подключение для выполнения операций:

  • Проверка соединения
  • Поиск учётных записей
  • Проверка пароля учётных записей
  • Изменение пароля учётных записей

Сервисные операции выполняются от имени специально назначенной учётной записи:

Для ресурсов (ОС Windows) может быть назначена:

  • Локальная учётная запись с правами администратора
  • Учётная запись Active Directory с правами локального администратора

Для ресурсов (ОС *nix) может быть назначена:

  • Локальная учётная запись с правами на выполнение команды SUDO

Для доменов Active Directory может быть назначена:

  • Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет как будет выполнять подключение к ресурсу пользователь каталога Indeed PAM. Для каждого ресурса может быть настроено одно пользовательское подключение следующего типа:

  • RDP - подключение к ресурсу по RDP
  • SSH - подключение к ресурсу по SSH
  • WEB - подключение к ресурсу по http или https

Домены

Домен Active Directory, в котором выполняется поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи.
Состав разрешения:

  • Пользователь каталога - пользователь, для которого выдаётся разрешение на открытие сессии от имени учётной записи доступа
  • Учётная запись доступа - учётная запись доступа от имени, которой будет открыта сессия на ресурсе
  • Ресурс - ресурс, на котором будет открыта сессия от имени учётной записи доступа

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

  1. Область действия - ресурсы и домены.
  2. Настройки:
    • Сбрасывать пароль после показа
    • Сбрасывать пароль через Х мин
    • Требовать указать причину просмотра пароля
    • Искать новые учетные записи раз в Х дней
    • Проверять пароль учетной записи раз в Х дней
    • Проверять пароль при ручной установке
    • Периодически изменять пароль учетной записи
    • Изменять пароль учетной записи раз в Х дней
    • Длина генерируемого пароля
    • Латинские строчные буквы
    • Латинские прописные буквы
    • Цифры
    • Специальные символы

Политики сессий

  1. Область действия - учётные записи доступа.
  2. Настройки:
    • Требовать указать причину подключения
    • Сохранять видео сессии
    • Количество кадров в секунду
    • Разрешение видео
    • Ротация видео
    • Удалять видео сессии старше Х дней
    • Сохранять снимки экрана
    • Интервал снимков, сек
    • Разрешение изображения
    • Ротация снимков экрана
    • Удалять снимки экрана старше Х дней


  • No labels