Каталог пользователей

Права на использование привилегированных учётных записей предоставляются пользователям Active Directory, которые состоят в каталоге пользователей. Каталогом пользователей Indeed PAM может быть домен Active Directory целиком или отдельные контейнеры и подразделения определенные на этапе настройки Indeed PAM.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory, которая используется для чтения свойств пользователей состоящих в каталоге.

Хранилище данных

Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

Учётная запись, которая используется для чтения баз данных и записи в них, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Учётные записи (Учётные записи доступа)

Локальные учётные записи или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAM, так и учётные записи доступа, которые будут использоваться членами каталога пользователей.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции, оборудование или web-приложения, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Сервисные операции

Для ресурсов, доменов и учётных записей доступа могут быть выполнены сервисные операции:

Ресурсы и домены: 

  • Проверка соединения
  • Поиск учётных записей

Учётные записи доступа:

  • Проверка пароля
  • Изменение пароля

Сервисная учётная запись ресурса/домена

От имени сервисной учётной записи выполняются сервисные операции:

Ресурсы (Windows):

  • Локальная учётная запись с правами администратора
  • Доменная учётная запись с правами локального администратора

Ресурсы (Unix/Linux):

  • Локальная учётная запись с правами на выполнение команды SUDO

Домены

  • Учётная запись с правами на сброс пароля.

Домены

Домен Active Directory, который используется в Indeed PAM для поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому члену каталога пользователей может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи.
Состав разрешения:

  • Пользователь каталога
  • Учётная запись доступа
  • Ресурс

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

  1. Область действия - ресурсы и домены.
  2. Настройки:
    • Сбрасывать пароль после показа
    • Сбрасывать пароль через Х мин
    • Требовать указать причину просмотра пароля
    • Искать новые учетные записи раз в Х дней
    • Проверять пароль учетной записи раз в Х дней
    • Проверять пароль при ручной установке
    • Периодически изменять пароль учетной записи
    • Изменять пароль учетной записи раз в Х дней
    • Длина генерируемого пароля
    • Латинские строчные буквы
    • Латинские прописные буквы
    • Цифры
    • Специальные символы

Политики сессий

  1. Область действия - учётные записи доступа.
  2. Настройки:
    • Требовать указать причину подключения
    • Сохранять видео сессии
    • Количество кадров в секунду
    • Разрешение видео
    • Ротация видео
    • Удалять видео сессии старше Х дней
    • Сохранять снимки экрана
    • Интервал снимков, сек
    • Разрешение изображения
    • Ротация снимков экрана
    • Удалять снимки экрана старше Х дней