You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 67 Next »

Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory, которые состоят в каталоге. В качестве каталога пользователей могут быть назначены контейнеры или подразделения Active Directory.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые находятся в контейнерах или подразделениях определённых как каталог пользователей.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Домены Active Directory

Домены Active Directory используются для получения учётных записей доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

  • Indeed PAM Core (2 базы данных)
  • Indeed PAM IdP
  • Indeed Log Server

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей состоящих в каталоге.

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных, в роли сервисной назначается учётная запись SQL.

Сервисная учётная запись для работы с видеохранилищем

Учётная запись с правами на чтение и запись в сетевом хранилище в роли сервисной назначается учётная запись Active Directory.

Сервисная учётная запись для работы с доменными учётными записями доступа

Доменная учётная запись, которая имеет право на сброс пароля в контейнерах или подразделениях Active Directory, в которых находятся доменные учётные записи доступа.

Группа привилегированных учётных записей доступа Active Directory

Группа безопасности Active Directory, в которую входят привилегированные учётные записи домена.  

Сервисная учётная запись для работы с локальными учётными записями доступа

Доменная или локальная учётная запись, которая имеет права локального администратора на ресурсе с ОС Windows или права на выполнение команды SUDO на ресурсах с ОС *nix.

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

  1. Проверка соединения с ресурсом или доменом
  2. Синхронизация локальных или доменных учётных записей
  3. Проверка пароля учётных записей
  4. Изменение пароля учётных записей

Сервисные операции выполняются от имени учётной записи:

  1. Для ресурсов (ОС Windows) может быть назначена:
    • Локальная учётная запись с правами администратора
    • Учётная запись Active Directory с правами локального администратора
  2. Для ресурсов (ОС *nix) может быть назначена
    • Локальная учётная запись с правами на выполнение команды SUDO
  3. Для доменов Active Directory может быть назначена:
    • Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет как будет выполнять подключение к ресурсу доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

  • RDP - подключение к ресурсу по RDP
  • SSH - подключение к ресурсу по SSH
  • Web - подключение к web-ресурсу по http или https

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога Active Directory может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:

  • Пользователь - пользователь каталога Active Directory, для которого выдаётся разрешение.
  • Учётная запись - локальная или доменная учётная запись доступа от имени, которой пользователь каталога Active Directory будет открывать сессию на ресурсе.
  • Ресурс - ресурс, на котором будет открыта сессия от имени локальной или доменной учётной записи доступа.

Разрешение не может быть изменено в процессе эксплуатации. Отозванные разрешения не могут быть восстановлены.

Состояния учётных записей доступа

  • Ожидает решения () - учётная запись добавленная в Indeed PAM при помощи синхронизации с ресурсом или доменом будут иметь состояние Ожидает решения, так как в базе Indeed PAM нет её пароля, такая учётная запись не управляется Indeed PAM и не может стать участником разрешения.
  • Управляемая -  Для учётной записи предоставлен пароль, такой учётной записью управляет Indeed PAM и она может стать участником разрешения.
  • Игнорируется () - учётная запись в состоянии Ожидает решения или Управляемая может быть переведена в состояние Игнорируется, такая учётная запись хранится без пароля и не управляется Indeed PAM. Учётная запись не может стать участником разрешения, а все разрешения, в которых она использовалась будут отозваны.
  • Заблокирована () - учётная запись находящаяся в состоянии Управляемая может быть переведена в состояние Заблокирована, такая учётная запись не может стать участником  разрешения, а все разрешения, в которых она использовалась будут приостановлены.
  • Удалена () - Учётная запись может быть переведена из любого состояния в Удалена, такая учётная запись не управляется Indeed PAM и скрывается из общего списка, а все разрешения, в которых она использовалась будут отозваны. При необходимости, учётная запись может быть восстановлена и переведена в состояние Управляемая.

Состояния ресуров

  • Готов - ресурс добавлен.
  • Заблокирован () - ресурс был заблокирован и не может стать участником разрешения, все разрешения, в которых он использовался будут приостановлены.
  • Удалён () - ресурс может быть переведен из любого состояния в Удален, такие ресурсы скрываются из общего списка. При необходимости, ресурс может быть восстановлен и переведён в состояние Готов.

Состояния доменов

  • Готов - домен добавлен.
  • Удалён () - домен может быть переведен в состояние Удален, такие домены скрываются из общего списка. При необходимости, домен может быть восстановлен и переведён в состояние Готов

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

  • Политики учетных записей - распространяют настройки на учётные записи доступа, применяются к ресурсам и доменам.
  • Политики сессий - распространяют настройки на сессии учётных записей доступа, применяются к учётным записям.


  • No labels