Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory состоящим в каталоге. Каталогом пользователей может быть домен Active Directory или отдельные его контейнеры и подразделения определенные на этапе настройки.

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core (2 базы данных)
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей состоящих в каталоге.

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Сервисная учётная запись для работы с доменными учётными записями доступа

Доменная учётная запись, которая имеет право на сброс пароля в контейнере или подразделении, в котором находятся доменные учётные записи доступа.

Сервисная учётная запись для работы с локальными учётными записями доступа

Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые состоит в каталоге.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Домены

Домен Active Directory, в котором выполняется поиск и управление учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

  • Проверка соединения с ресурсом или доменом
  • Синхронизация локальных или доменных учётных записей
  • Проверка пароля учётных записей
  • Изменение пароля учётных записей

Сервисные операции выполняются от имени специально назначенной учётной записи:

Для ресурсов (ОС Windows) может быть назначена:

  • Локальная учётная запись с правами администратора
  • Учётная запись Active Directory с правами локального администратора

Для ресурсов (ОС *nix) может быть назначена:

  • Локальная учётная запись с правами на выполнение команды SUDO

Для доменов Active Directory может быть назначена:

  • Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет как будет выполнять подключение к ресурсу доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

  • RDP - подключение к ресурсу по RDP
  • SSH - подключение к ресурсу по SSH
  • Web - подключение к web-ресурсу по http или https

Состояния учётных записей доступа

  • Ожидает решения () - Учётная запись доступа добавлена без пароля и не может стать участником разрешения.
  • Игнорируется () - Учётная запись доступа хранится без пароля и не может стать участником разрешения.
  • Управляемая -  Пароль учётной записи доступа предоставлен и она может стать участником разрешения.
  • Заблокирована () - Управляемая учётная запись доступа была заблокирована и не может стать участником новых разрешений, все разрешения, в которых она использовалась считаются приостановленными.
  • Удалена () - Учётная запись доступа была удалена.

Состояния ресуров

  • Готов - Ресурс добавлен.
  • Заблокирован () - Ресурс был заблокирован и не может стать участником разрешений, все разрешения, в которых он использовался считаются приостановленными.
  • Удалён () - Ресурс был удален.

Состояния доменов

  • Готов - Домен добавлен.
  • Удалён () - Домен был удалён.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:

  • Пользователь каталога - пользователь, для которого выдаётся разрешение.
  • Учётная запись доступа - локальная или доменная учётная запись от имени, которой пользователь будет открывать сессию на ресурсе.
  • Ресурс - ресурс, на котором будет открыта сессия.

Разрешение не может быть изменено в процессе эксплуатации.

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

  • Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
  • Политики сессий - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.