Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создайте учётную запись, например, IPAMService или используйте уже созданную, по умолчанию права на чтение есть у всех учётных записей домена Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

  • Indeed PAM Core
  • Indeed PAM IDP
  • Indeed Log Server

Создание таблиц, чтение и запись данных выполняются от имени сервисной учётной записи с правами:

  • db_owner - требуется при первом обращении к БД для создания таблиц
  • db_datareader - операции чтения из БД
  • db_datawriter - операции записи в БД

Настройка

Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.

Создание баз данных:

  • Вызовите контекстное меню пункта Базы данных (Databases)
  • Выберите пункт Новая база данных (New Database)
  • Укажите имя базы данных, например: IPAMCOREIPAMIDPILS
  • Нажмите Ок

Создание имени для входа и назначение прав:

  • Раскройте пункт Безопасность (Security)
  • Вызовите контекстное меню пункта Имена для входа (Logins)
  • Выберите пункт Создать имя для входа (Create login)
  • Выберите тип проверки подлинности и заполните необходимые поля
  • Перейдите в пункт Сопоставление пользователей (User Mapping)
  • Отметьте флажком базы данных IPAMCOREIPAMIDP и ILS
  • Отметьте флажком права db_ownerdb_datareader и db_datawriter
  • Нажмите Ок

Сервисные операции Indeed PAM

Домен Active Directory

Для сервисных операций в домене необходима учётная запись, которая будет назначена в качестве сервисной в Indeed PAM и будет выполнять операции: 

  • Проверка соединения с доменом
  • Поиск учётных записей доступа
  • Проверка пароля учётных записей доступа
  • Изменение пароля учётных записей доступа

Indeed PAM может получать из домена Active Directory учётные записи доступа и управлять ими.

Автоматический поиск и добавление учётных записей в Indeed PAM

Поиск выполняется через группы безопасности Active Directory, в которые должны входить привилегированные учётные записи.

Создайте новую группу безопасности, например, IPAMAccounts или используйте уже созданную, возможно использование нескольких групп.