View Source

Каталог пользователей

Права на использование привилегированных учётных записей предоставляются пользователям Active Directory, которые состоят в каталоге пользователей. Каталогом пользователей Indeed PAM может быть домен Active Directory целиком или отдельные контейнеры и подразделения определенные на этапе настройки Indeed PAM. Каталог пользователей может быть изменен в любой момент.

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory, которая используется для чтения свойств пользователей состоящих в каталоге.

Хранилище данных

Все данные, которыми оперирует Indeed PAM в процессе эксплуатации помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

Indeed PAM Core
Indeed PAM IDP
Indeed Log Server

Сервисная учётная запись для работы с хранилищем данных

Учётная запись для чтения баз данных и записи в них, может быть назначена как учётная запись Active Directory, так и учётная запись Micorost SQL.

Учётные записи (Учётные записи доступа)

Локальные учётные записи или доменные учётные записи, которые будут использоваться для открытия RDP, SSH или web-сессий. В домене Active Directory может находиться как каталог пользователей Indeed PAM, так и учётные записи доступа, которые будут использоваться членами каталога пользователей.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции, оборудование или web-приложения, которые будут использоваться для открытия на них RDP, SSH или web-сессий, от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Сервисные операции

Для ресурсов, доменов и учётных записей доступа могут быть выполнены сервисные операции:

Ресурсы и домены:

Проверка соединения
Поиск учётных записей

Учётные записи доступа:

Проверка пароля
Изменение пароля

Сервисная учётная запись ресурса/домена

В качестве сервисной учётной записи могут быть назначены:

Ресурсы (Windows):

Локальная учётная запись с правами администратора
Доменная учётная запись с правами локального администратора

Ресурсы (Unix/Linux):

Локальная учётная запись с правами на выполнение команды SUDO

Домены

Учётная запись с правами на сброс пароля.

Домены

Домен Active Directory, который используется в Indeed PAM для поиска и управления учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые будут добавлены в Indeed PAM через группы безопасности, определенные в настройках Indeed PAM или добавленные вручную.

Разрешения

Средство управления привилегированным доступом. Любое разрешение состоит из трёх участников:

Пользователь каталога Indeed PAM
Учётная запись доступа
Ресурс

Любому пользователю каталога Indeed PAM может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи.

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

Область действия - ресурсы и домены.
Настройки:
- Сбрасывать пароль после показа
- Сбрасывать пароль через Х мин
- Требовать указать причину просмотра пароля
- Искать новые учетные записи раз в Х дней
- Проверять пароль учетной записи раз в Х дней
- Проверять пароль при ручной установке
- Периодически изменять пароль учетной записи
- Изменять пароль учетной записи раз в Х дней
- Длина генерируемого пароля
- Латинские строчные буквы
- Латинские прописные буквы
- Цифры
- Специальные символы

Политики сессий

Область действия - учётные записи доступа.
Настройки:
- Требовать указать причину подключения
- Сохранять видео сессии
- Количество кадров в секунду
- Разрешение видео
- Ротация видео
- Удалять видео сессии старше Х дней
- Сохранять снимки экрана
- Интервал снимков, сек
- Разрешение изображения
- Ротация снимков экрана
- Удалять снимки экрана старше Х дней