Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory состоящем в каталоге. Каталогом пользователей может быть домен Active Directory или отдельные его контейнеры и подразделения определенные на этапе настройки.

Пользователь (Конечный пользователь)

Пользователь Active Directory, который состоит в каталоге.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей состоящих в каталоге.

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Состояния учётных записей доступа

  • Ожидает решения () - Учётная запись доступа добавлена без пароля и не может стать участником разрешения.
  • Игнорируется () - Учётная запись доступа хранится без пароля и не может стать участником разрешения.
  • Управляемая -  Пароль учётной записи доступа предоставлен и она может стать участником разрешения.
  • Заблокирована () - Управляемая учётная запись доступа была заблокирована и не может стать участником новых разрешений, все разрешения, в которых она использовалась считаются приостановленными.
  • Удалена () - Учётная запись доступа была удалена.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Состояния ресуров

  • Готов - Ресурс добавлен.
  • Заблокирован () - Ресурс был заблокирован и не может стать участником разрешений, все разрешения, в которых он использовался считаются приостановленными.
  • Удалён () - Ресурс был удален.

Домены

Домен Active Directory, в котором выполняется поиск и управление учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Состояния доменов

В процессе

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

  • Проверка соединения с ресурсом или доменом
  • Поиск локальных или доменных учётных записей
  • Проверка пароля учётных записей
  • Изменение пароля учётных записей

Сервисные операции выполняются от имени специально назначенной учётной записи:

Для ресурсов (ОС Windows) может быть назначена:

  • Локальная учётная запись с правами администратора
  • Учётная запись Active Directory с правами локального администратора

Для ресурсов (ОС *nix) может быть назначена:

  • Локальная учётная запись с правами на выполнение команды SUDO

Для доменов Active Directory может быть назначена:

  • Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет как будет выполнять подключение к ресурсу учётная запись доступа. Может быть настроено одно пользовательское подключение следующего типа:

  • RDP - подключение к ресурсу по RDP
  • SSH - подключение к ресурсу по SSH
  • Web - подключение к ресурсу по http или https

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:

  • Пользователь каталога - пользователь, для которого выдаётся разрешение.
  • Учётная запись доступа - учётная запись доступа от имени, которой пользователь будет открывать сессию на ресурсе.
  • Ресурс - ресурс, на котором будет открыта сессия от имени учётной записи доступа.

Разрешение не может быть изменено в процессе эксплуатации.

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

  1. Область действия - ресурсы и домены.
  2. Настройки:
    • Сбрасывать пароль после показа
    • Сбрасывать пароль через Х мин
    • Требовать указать причину просмотра пароля
    • Искать новые учетные записи раз в Х дней
    • Проверять пароль учетной записи раз в Х дней
    • Проверять пароль при ручной установке
    • Периодически изменять пароль учетной записи
    • Изменять пароль учетной записи раз в Х дней
    • Длина генерируемого пароля
    • Латинские строчные буквы
    • Латинские прописные буквы
    • Цифры
    • Специальные символы

Политики сессий

  1. Область действия - учётные записи доступа.
  2. Настройки:
    • Требовать указать причину подключения
    • Сохранять видео сессии
    • Количество кадров в секунду
    • Разрешение видео
    • Ротация видео
    • Удалять видео сессии старше Х дней
    • Сохранять снимки экрана
    • Интервал снимков, сек
    • Разрешение изображения
    • Ротация снимков экрана
    • Удалять снимки экрана старше Х дней