- Created by Maksim Kuzmov, last modified on Mar 15, 2019
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 19 Next »
Каталог пользователей
Описание
В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.
Настройка
Создание учётной записи:
Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Вызовите контекстное меню домена, контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMService
- Заполните обязательные поля и завершите создание учётной записи.
Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory.
Хранилище данных
Описание
Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:
- Indeed PAM Core
- Indeed PAM IDP
- Indeed Log Server
Создание таблиц, чтение и запись данных выполняются от имени сервисной учётной записи с правами:
- db_owner - требуется при первом обращении к БД для создания таблиц
- db_datareader - операции чтения из БД
- db_datawriter - операции записи в БД
Настройка
Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
Создание баз данных:
- Откройте контекстное меню пункта Базы данных (Databases)
- Выберите пункт Новая база данных (New Database)
- Укажите имя базы данных, например: IPAMCORE, IPAMIDP, ILS
- Нажмите Ок
Создание имени для входа и назначение прав:
- Раскройте пункт Безопасность (Security)
- Откройте контекстное меню пункта Имена для входа (Logins)
- Выберите пункт Создать имя для входа (Create login)
- Выберите тип проверки подлинности и заполните необходимые поля
- Перейдите в пункт Сопоставление пользователей (User Mapping)
- Отметьте флажком базы данных IPAMCORE, IPAMIDP и ILS
- Отметьте флажком права db_owner, db_datareader и db_datawriter
- Нажмите Ок
Сервисные операции в домене Active Directory
Описание
Сервисные операции в домене Active Directory выполняются от имени сервисной учётной записи:
- Проверка соединения с доменом
- Поиск учётных записей доступа
- Проверка пароля учётных записей доступа
- Изменение пароля учётных записей доступа
Операции Изменение пароля учётных записей доступа и Поиск учётных записей доступа требуют предварительной настройки.
Для изменения пароля требуются права на сброс пароля, права предоставляются сервисной учётной записи на домен, контейнер или подразделение, в котором находятся учётные записи доступа.
Для поиска учётных записей доступа требуется создать или использовать уже созданную группу безопасности Active Directory, в которой будут числиться учётные записи доступа.
Настройка
Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
Создание сервисной учётной записи:
- Откройте контекстное меню домена, контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMDomainService
- Заполните обязательные поля и завершите создание учётной записи.
Или используйте уже созданную учётную запись.
Настройка сброса пароля учётных записей доступа:
- Откройте контекстное меню домена, контейнера или подразделения.
- Выберите пункт Свойства (Properties)
- Перейдите на вкладку Безопасность (Security)
- Нажмите Добавить (Add)
- Выберите учётную запись IPAMDomainService и нажмите Ок
- Нажмите Дополнительно (Advenced)
- Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
- Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
- В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
- Сохраните внесённые изменения
Настройка поиска учётных записей доступа:
- Откройте контекстное меню домена, контейнера или подразделения.
- Выберите пункт Создать (Create) - Группа (Group)
- Укажите имя, например, IPAMPrivilegedAccounts
- В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
- В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
- Сохраните внесённые изменения
Или используйте уже созданную группу безопасности.
- No labels