Решения класса Privileged Access Management - это ряд технических, программных и организационных мер, которые защищают привилегированные учётные записи от несанкционированного использования.
Один из механизмов защиты Indeed PAM это изоляция паролей учётных записей доступа в хранилище Indeed PAM Core, их шифрование и изменение по расписанию или требованию на случайные или пользовательские значения.
Хранилище Indeed PAM Core критический элемент, его повреждение приведет к потере доступа к ресурсам, так как значения паролей учётных записей доступа неизвестны конечным пользователям и администраторам.
Рекомендуется для каждого ресурса выделить резервную учётную запись с правами локального администратора (ОС Windows) или с правами на выполнение команды SUDO (ОС *nix). Мера позволит восстановить доступ к ресурсам в случае выхода из строя хранилища данных Indeed PAM Core. Для этих целей назначьте уполномоченного сотрудника, который будет отвечать за сохранность резервных учётных записей и паролей.
Доступ к Indeed PAM Core
Для обеспечения безопасности компонентов Indeed PAM рекомендуется выполнять установку в соответствии с размещением 2, в этом случае на одном сервере будут установлены:
Indeed PAM Core
Indeed PAM IdP
Indeed PAM Management Console
Indeed PAM User Console
Indeed Log Server
Microsoft SQL Server
Расположение ключевых компонентов Indeed PAM и хранилища данных на одном сервере позволяет снизить риски неправомерного доступа к ним. Для корректной работы потребуется открыть следующие порты:
Протокол
Порт
Описание
Входящие и исходящие
TCP/UDP
53
DNS
TCP/UDP TCP
389 636
LDAP LDAPS
TCP
3268 3269
Microsoft Global Catalog Microsoft Global Catalog SSL
