You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 43 Next »

Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

  • Вызовите контекстное меню домена, контейнера или подразделения.
  • Выберите пункт Создать (Create) - Пользователь (User)
  • Укажите имя, например, IPAMService
  • Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

Создание баз данных

  • Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  • Откройте контекстное меню пункта Базы данных (Databases)
  • Выберите пункт Новая база данных (New Database)
  • Укажите имя базы данных, например: IPAMCOREIPAMIDPILS
  • Нажмите Ок

Создание имени для входа и назначение прав

  • Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
  • Раскройте пункт Безопасность (Security)
  • Откройте контекстное меню пункта Имена для входа (Logins)
  • Выберите пункт Создать имя для входа (Create login)
  • Выберите тип проверки подлинности и заполните необходимые поля
  • Перейдите в пункт Сопоставление пользователей (User Mapping)
  • Отметьте флажком базы данных IPAMCOREIPAMIDP и ILS
  • Отметьте флажком права db_ownerdb_datareader и db_datawriter
  • Нажмите Ок

Сервисные операции в домене Active Directory

Сервисные операции в домене Active Directory выполняются от имени сервисной учётной записи: 

  • Проверка соединения с доменом
  • Поиск учётных записей доступа
  • Проверка пароля учётных записей доступа
  • Изменение пароля учётных записей доступа

Создание и настройка сервисной учётной записи

  • Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  • Откройте контекстное меню домена, контейнера или подразделения.
  • Выберите пункт Создать (Create) - Пользователь (User)
  • Укажите имя, например, IPAMDomainService
  • Заполните обязательные поля и завершите создание учётной записи.
  • Откройте контекстное меню домена, контейнера или подразделения, в которых расположены учётные записи доступа.
  • Выберите пункт Свойства (Properties)
  • Перейдите на вкладку Безопасность (Security)
  • Нажмите Добавить (Add)
  • Выберите учётную запись IPAMDomainService и нажмите Ок
  • Нажмите Дополнительно (Advenced)
  • Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
  • Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
  • В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
  • Сохраните внесённые изменения 

Создание и настройка группы привилегированных пользователей

  • Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
  • Откройте контекстное меню домена, контейнера или подразделения.
  • Выберите пункт Создать (Create) - Группа (Group)
  • Укажите имя, например, IPAMPrivilegedAccounts
  • В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
  • В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
  • Сохраните внесённые изменения

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

  • Проверка соединения с доменом
  • Поиск учётных записей доступа
  • Проверка пароля учётных записей доступа
  • Изменение пароля учётных записей доступа

Настройка доменной учётной записи в качестве сервисной

  • Выполните вход на ресурс.
  • Запустите оснастку Управление компьютером (Computer management)
  • Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
  • Откройте контекстное меню группы Администраторы (Administrators)
  • Выберите пункт Свойства (Properties)
  • Нажмите Добавить (Add)
  • Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная (built-in) локальная учётная запись состоящая в группе Администраторы, то необходимо:

  • Выполните вход на ресурс.
  • Запустите оснастку Редактор реестра (RegEdit)
  • Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
  • Откройте контекстное меню раздела System
  • Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
  • Введите имя параметра - LocalAccountTokenFilterPolicy
  • Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
  • Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

  • Выполните вход на будущий сервер Indeed PAM Core
  • Откройте Командную строку (CMD) от имени администратора
  • Выполните команду
winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезапишет список.

@{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local, NewResource.demo.local"}

Настройка SSL

Для настройки SSL потребуется сертификат выданный на имя ресурса. Сертификат должен содержать Расширенное использование ключа (Extended key usage) - Аутентификация сервера (Server authentication).

  • Выполните вход на ресурс
  • Запустите Командную строку (CMD)
  • Выполните команду
winrm create winrm/config/Listener?Address=*+Transport=HTTPS{Hostname="Resource1.demo.local";CertificateThumbprint="..."}

Если в хранилище сертификатов компьютера всего один сертификат на имя ресурса, то воспользуйтесь автоматической настройкой.

winrm quickconfig -transport:https

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальных сервисных учётных записей: 

  • Проверка соединения с ресурсом
  • Поиск учётных записей доступа
  • Проверка пароля учётных записей доступа
  • Изменение пароля учётных записей доступа

Создание и настройка сервисной учётной записи

  • Выполните вход на ресурс
  • Запустите Терминал (Terminal)
  • Создайте пользователя, например, IPAMUbuntuService
adduser IPAMUbuntuService
  • Добавьте пользователя в группу SUDO
usermod -aG sudo IPAMUbuntuService


  • No labels