Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

• Вызовите контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД

Создание баз данных

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Откройте контекстное меню пункта Базы данных (Databases)
• Выберите пункт Новая база данных (New Database)
• Укажите имя базы данных, например: IPAMCORE, IPAMIDP, ILS
• Нажмите Ок

Создание имени для входа и назначение прав

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Раскройте пункт Безопасность (Security)
• Откройте контекстное меню пункта Имена для входа (Logins)
• Выберите пункт Создать имя для входа (Create login)
• Выберите тип проверки подлинности и заполните необходимые поля
• Перейдите в пункт Сопоставление пользователей (User Mapping)
• Отметьте флажком базы данных IPAMCORE, IPAMIDP и ILS
• Отметьте флажком права db_owner, db_datareader и db_datawriter
• Нажмите Ок

Сервисные операции в домене Active Directory

Сервисные операции в домене Active Directory выполняются от имени доменной сервисной учётной записи: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Выполнение операций Изменение пароля учётных записей доступа и Поиск учётных записей доступа требует предварительной настройки.

Для изменения пароля требуются права на сброс пароля, права предоставляются сервисной учётной записи на домен, контейнер или подразделение, в котором находятся учётные записи доступа.

Для поиска учётных записей доступа требуется создать или использовать уже созданную группу безопасности Active Directory, в которой будут числиться учётные записи доступа.

Создание сервисной учётной записи

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMDomainService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись.

Настройка изменения пароля учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Свойства (Properties)
• Перейдите на вкладку Безопасность (Security)
• Нажмите Добавить (Add)
• Выберите учётную запись IPAMDomainService и нажмите Ок
• Нажмите Дополнительно (Advenced)
• Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
• Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
• В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
• Сохраните внесённые изменения

Настройка поиска учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Группа (Group)
• Укажите имя, например, IPAMPrivilegedAccounts
• В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
• В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
• Сохраните внесённые изменения

Или используйте уже созданную группу безопасности.

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Выполнение операций Изменение пароля учётных записей доступа и Поиск учётных записей доступа требует предварительной настройки.

Настройка доменной учётной записи в качестве сервисной

• Выполните вход на ресурс.
• Запустите оснастку Управление компьютером (Computer management)
• Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
• Откройте контекстное меню группы Администраторы (Administrators)
• Выберите пункт Свойства (Properties)
• Нажмите Добавить (Add)
• Выберите любую доменную учётную запись, которая будет использоваться в роли сервисной и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться любая локальная учётная запись состоящая в группе Администраторы, то необходимо:

• Выполните вход на ресурс.
• Запустите оснастку Редактор реестра (RegEdit)
• Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
• Откройте контекстное меню раздела System
• Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
• Введите имя параметра - LocalAccountTokenFilterPolicy
• Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
• Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления (WinRM) для всех учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

• Выполните вход на будущий сервер Indeed PAM Core
  
• Откройте Командную строку (CMD) от имени администратора
• Выполните команду
  

winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Указанные ресурсы будут добавлены в список доверенных.

Каталог пользователей

В качестве каталога пользователей используется домен Active Directory целиком или отдельные контейнеры и подразделения. Для работы с каталогом необходима сервисная учётная запись, которая будет выполнять чтение свойств пользователей находящихся в каталоге.

Создание учётной записи

Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).

• Вызовите контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись, по умолчанию права на чтение есть у всех в домене Active Directory. 

Хранилище данных

Для хранения данных Indeed PAM использует СУБД Microsoft SQL Server, базы данных необходимы для следующих компонентов:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Создание таблиц, чтение и запись данных выполняется от имени сервисной учётной записи с правами:

• db_owner - требуется при первом обращении к БД для создания таблиц
• db_datareader - операции чтения из БД
  
• db_datawriter - операции записи в БД

Создание баз данных

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Откройте контекстное меню пункта Базы данных (Databases)
• Выберите пункт Новая база данных (New Database)
• Укажите имя базы данных, например: IPAMCORE, IPAMIDP, ILS
• Нажмите Ок

Создание имени для входа и назначение прав

• Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
• Раскройте пункт Безопасность (Security)
• Откройте контекстное меню пункта Имена для входа (Logins)
• Выберите пункт Создать имя для входа (Create login)
• Выберите тип проверки подлинности и заполните необходимые поля
• Перейдите в пункт Сопоставление пользователей (User Mapping)
• Отметьте флажком базы данных IPAMCORE, IPAMIDP и ILS
• Отметьте флажком права db_owner, db_datareader и db_datawriter
• Нажмите Ок

Сервисные операции в домене Active Directory

Сервисные операции в домене Active Directory выполняются от имени доменной сервисной учётной записи: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Выполнение операций Изменение пароля учётных записей доступа и Поиск учётных записей доступа требует предварительной настройки.

Для изменения пароля требуются права на сброс пароля, права предоставляются сервисной учётной записи на домен, контейнер или подразделение, в котором находятся учётные записи доступа.

Для поиска учётных записей доступа требуется создать или использовать уже созданную группу безопасности Active Directory, в которой будут числиться учётные записи доступа.

Создание сервисной учётной записи

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Пользователь (User)
• Укажите имя, например, IPAMDomainService
• Заполните обязательные поля и завершите создание учётной записи.

Или используйте уже созданную учётную запись.

Настройка изменения пароля учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Свойства (Properties)
• Перейдите на вкладку Безопасность (Security)
• Нажмите Добавить (Add)
• Выберите учётную запись IPAMDomainService и нажмите Ок
• Нажмите Дополнительно (Advenced)
• Выберите учётную запись IPAMDomainService и нажмите Изменить (Edit)
• Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
• В разделе Разрешения: (Permissions:) отметьте флажком Сброс пароля (Reset password)
• Сохраните внесённые изменения

Настройка поиска учётных записей доступа

• Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
• Откройте контекстное меню домена, контейнера или подразделения.
• Выберите пункт Создать (Create) - Группа (Group)
• Укажите имя, например, IPAMPrivilegedAccounts
• В секции Область действия группы (Group scope) установите переключатель Глобальная (Global)
• В секции Тип группы (Group type) установите переключатель Группа безопасности (Security)
• Сохраните внесённые изменения

Или используйте уже созданную группу безопасности.

Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменных или локальных сервисных учётных записей: 

• Проверка соединения с доменом
• Поиск учётных записей доступа
• Проверка пароля учётных записей доступа
• Изменение пароля учётных записей доступа

Выполнение операций Изменение пароля учётных записей доступа и Поиск учётных записей доступа требует предварительной настройки.

Настройка доменной учётной записи в качестве сервисной

• Выполните вход на ресурс.
• Запустите оснастку Управление компьютером (Computer management)
• Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
• Откройте контекстное меню группы Администраторы (Administrators)
• Выберите пункт Свойства (Properties)
• Нажмите Добавить (Add)
• Выберите любую доменную учётную запись, которая будет использоваться в роли сервисной и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться любая локальная учётная запись состоящая в группе Администраторы, то необходимо:

• Выполните вход на ресурс.
• Запустите оснастку Редактор реестра (RegEdit)
• Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
• Откройте контекстное меню раздела System
• Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
• Введите имя параметра - LocalAccountTokenFilterPolicy
• Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
• Установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления (WinRM) для всех учётных записей, кроме встроенного (built-in) администратора.

Настройка ресурса для использования локальных учётных записей в качестве сервисных

Операция Поиск учётных записей доступа выполняется при помощи удаленного управления WinRM, при использовании локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список TrustedHosts или настроить SSL подключение для WinRM.

Настройка TrustedHosts

• Выполните вход на будущий сервер Indeed PAM Core
  
• Откройте Командную строку (CMD) от имени администратора
• Выполните команду
  

winrm s winrm/config/client @{TrustedHosts="Resource1.demo.local, Resource2.demo.local, Resource3.demo.local"}

Добавленные ресурсы 

Resource1.demo.local