Для обеспечения безопасности компонентов Indeed PAM рекомендуется выполнять установку в соответствии с размещением 2
В этом случае на одном сервере будут установлены:
Расположение ключевых компонентов Indeed PAM и хранилища данных на одном сервере позволяет снизить риски неправомерного доступа к ним.
| Протокол | Порт | Описание |
|---|---|---|
| Входящие и исходящие | ||
| TCP/UDP | 53 | DNS |
| TCP/UDP TCP | 389 636 | LDAP LDAPS |
| TCP | 3268 3269 | Microsoft Global Catalog Microsoft Global Catalog SSL |
| TCP/UDP | 88 | Kerberos |
| TCP/UDP | 464 | Kerberos |
| Входящие | ||
| TCP | 3000 4000 | Indeed PAM Core Indeed PAM Core SSL |
| TCP | 3001 4001 | Indeed PAM Management Console Indeed PAM Management Console SSL |
| TCP | 3002 4002 | Indeed PAM User Console Indeed PAM User Console SSL |
| TCP | 3003 4003 | Indeed PAM IDP Indeed PAM IDP SSL |
| TCP | 80 443 | Indeed Log Server Indeed Log Server SSL |
Решения класса Privileged Access Management - это ряд технических, программных и организационных мер, которые защищают привилегированные учётные записи c от несанкционированного использования.
Один из механизмов защиты Indeed PAM это изоляция пароля учётной записи в хранилище Indeed PAM Core, шифрование и изменение по расписанию или требованию на случайные или пользовательские значения.
Хранилище Indeed PAM Core критический элемент в схеме работы Indeed PAM, его повреждение приведет к потере доступа на ресурсы, так как значения паролей учётных записей для доступа неизвестны конечным пользователям и администраторам.
Рекомендуется для каждого ресурса выделить резервную учётную запись с правами локального администратора или root. Мера позволит восстановить доступ к ресурсам в случае выхода из строя хранилища данных. Для этих целей назначьте уполномоченного сотрудника, который будет отвечать за сохранность резервных учётных записей и паролей.