Active Directory
Взаимодействие inRights PAM с конечными пользователями выполняется за счёт учётной записи, которая будет получать список пользователей и их атрибуты.
Учётная запись для работы с каталогом пользователей
- Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Вызовите контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IRPAMManager
- Заполните обязательные поля и завершите создание учётной записи
Или используйте уже созданную учётную запись.
Учётная запись для сервисных операций в Active Directory
- Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Вызовите контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IRPAMService
- Заполните обязательные поля и завершите создание учётной записи
- Откройте контекстное меню созданной учётной записи и выберите пункт Свойства (Properties)
- Перейдите на вкладку Член группы (Member Of) и нажмите Добавить (Add)
- Выполните поиск группы безопасности Администраторы домена (Domain Admins) и нажмите Ok
- Сохраните все изменения.
Или используйте уже созданную учётную запись.
Членство в группе безопасности Администраторы домена (Domain Admins) необходимо для сброса пароля доменным администраторам, которыми должен управлять inRights PAM. Если конечные пользователи не должны получать привилегии администратора домена, а inRights PAM не должен управлять этими учётными записями, то потребуется выполнить делегирование прав на сброс пароля для определённых контейнеров или домена в целом.
|
Хранилище медиафалов и теневых копий
Файловые хранилища необходимы для агрегации и долгосрочного хранения видеозаписей, снимков экрана и передаваемых в сессиях файлов.
Учётная запись для работы с файловым хранилищем
Рекомендуется использовать уже созданную учётную запись IRPAMManager. Для работы с хранилищами требуется доменная учётная запись Active Directory. |
Создание и настройка файлового хранилища
- Выполните вход на сервер, который будет выступать в роли файлового хранилища.
- Создайте каталоги, например, MediaData и ShadowCopy
- Вызовите контекстное меню каталогов, выберите пункт Предоставить доступ к (Share with) и Отдельные люди (Specific people)
- Введите имя учётной записи, например, IRPAMManager и нажмите кнопку Добавить (Add)
- Выберите IRPAMManager из списка добавленных измените Уровень разрешений (Permission level) на Чтение и запись (Read/Write)
- Нажатием Поделиться (Share).
Хранилище данных
Для хранения данных inRights PAM использует следующие БД:
- IRPAMCore - БД компонента inRights PAM Core, используется для хранения данных привилегированных учётных записей, ресурсов, разрешений, и прочих сервисных данных inRights PAM.
- IRPAMJobs - БД компонента inRights PAM Core, используется для хранения задач по расписанию.
- IRPAMIdP - БД компонента inRights PAM IdP, используется для хранения аутентификаторов пользователей и администраторов inRights PAM.
- IRLS - БД компонента inRights Log Server, используется для хранения события inRights PAM.
БД IRLS не является обязательной, так как inRights Log Server может сохранять события как в БД, так и в EventLog. |
Создание баз данных
Microsoft SQL Server
- Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
- Откройте контекстное меню пункта Базы данных (Databases)
- Выберите пункт Новая база данных (New Database)
- Укажите имя базы данных, например: IRPAMCore, IRPAMTasks, IRPAMIdP, IRLS
- Нажмите Ок
PostgreSQL, PostgreSQL Pro
- Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
- Откройте контекстное меню пункта Базы данных (Databases)
- Выберите пункт Создать (Create) и База данных (Database)
- Укажите имя базы данных, например: IRPAMCore, IRPAMTasks, IRPAMIdP, IRLS
- Нажмите Сохранить (Save)
Создание и назначение учётной записи для работы с хранилищем данных
Microsoft SQL Server
- Запустите Microsoft SQL Management Studio (SSMS) и выполните подключение к экземпляру Microsoft SQL Server.
- Раскройте пункт Безопасность (Security)
- Откройте контекстное меню пункта Имена для входа (Logins)
- Выберите пункт Создать имя для входа (Create login)
- Укажите имя, например, IRPAMSQLService
- Выберите тип Проверка подлинности SQL Server (SQL Server authentication) и заполните необходимые поля
- Перейдите в пункт Сопоставление пользователей (User Mapping)
- Отметьте БД IRPAMCore, IRPAMTasks, IRPAMIdP и IRLS
- Отметьте права db_owner, db_datareader и db_datawriter
- Нажмите Ок
PostgreSQL, PostgreSQL Pro
- Запустите pgAdmin и выполните подключение к экземпляру PostgreSQL
- Откройте контекстное меню пункта Роли входа/группы (Login/Group Roles)
- Выберите пункт Создать (Create) и Роль входа/группы (Login/Group Role)
- Укажите Имя (Name) учётной записи, например, IRPAMSQLService
- Перейдите на вкладку Определения (Definition) и введите пароль для учётной записи
- Перейдите на вкладку Права (Privileges), выберите Да (Yes) для пунктов Вход разрешён? (Can login?) и Суперпользователь? (Superuser?)
- Нажмите Сохранить (Save)
Права db_owner для Microsoft SQL Server и Superuser для PostgreSQL требуются только для первого обращения к БД. |
Генерация секрета для приложений
Для взаимодействия inRights PAM Gateway, SSH PROXY и ConsoleApp c inRights PAM IdP потребуется сгенерировать ключ и его хеш.
- Перейдите в каталог inRightsPAM_2.1.0\Misc\ConsoleApp
- Отредактируйте файл appsetting.json
- Введите https://1 в качестве значения для параметра apiUrl
- Введите https://2 в качестве значения для параметра idpUrl
- Запустите Командную строку (CMD).
- Запустите утилиту Pam.ConsoleApp.exe c параметром generate-secret
- Сохраните ключ и его хеш.