Термины Indeed PAM

Каталог (Каталог пользователей)

Право использовать привилегированные учётные записи предоставляется пользователям Active Directory состоящем в каталоге. Каталогом пользователей может быть домен Active Directory или отдельные его контейнеры и подразделения определенные на этапе настройки.

Хранилище данных

Данные, которыми оперирует Indeed PAM помещаются в хранилище данных. В роли хранилища выступает экземпляр Microsoft SQL Server. Для следующих компонентов требуется база данных:

• Indeed PAM Core
• Indeed PAM IDP
• Indeed Log Server

Сервисная учётная запись для работы с каталогом пользователей

Учётная запись Active Directory с правами на чтение свойств пользователей состоящих в каталоге.

Сервисная учётная запись для работы с хранилищем данных

Учётная запись с правами на чтение и запись в базы данных, в роли сервисной может быть назначена как учётная запись Active Directory, так и учётная запись SQL.

Сервисная учётная запись для работы доменными учётными записями доступа

Заполняется

Сервисная учётная запись для работы локальными учётными записями доступа

Заполняется

Аутентификатор пользователя

Используется для обеспечения двухфакторной аутентификации при входе в личный кабинет пользователя или открытии привилегированной сессии.

Пользователи (Конечные пользователи)

Пользователи Active Directory, которые состоит в каталоге.

Учётные записи (Учётные записи доступа)

Локальные или доменные учётные записи, которые используются для открытия RDP, SSH или web-сессий. В Active Directory может находиться как каталог пользователей, так и учётные записи доступа.

Ресурсы (Конечные ресурсы)

Серверы, рабочие станции или оборудование, которые будут использоваться для открытия на них RDP, SSH или web-сессий от имени локальных учётных записей расположенных на серверах, рабочих станциях и оборудовании или от имени доменных учётных записей.

Домены

Домен Active Directory, в котором выполняется поиск и управление учётными записями доступа. Доменными учётными записями доступа будут являться те учётные записи, которые добавлены в Indeed PAM.

Сервисное подключение

Для ресурсов и доменов может быть настроено сервисное подключение для выполнения операций:

• Проверка соединения с ресурсом или доменом
• Поиск локальных или доменных учётных записей
• Проверка пароля учётных записей
• Изменение пароля учётных записей

Сервисные операции выполняются от имени специально назначенной учётной записи:

Для ресурсов (ОС Windows) может быть назначена:

• Локальная учётная запись с правами администратора
• Учётная запись Active Directory с правами локального администратора

Для ресурсов (ОС *nix) может быть назначена:

• Локальная учётная запись с правами на выполнение команды SUDO

Для доменов Active Directory может быть назначена:

• Доменная учётная запись с правами на сброс пароля.

Пользовательское подключение

Для каждого ресурса должно быть настроено пользовательское подключение, которое определяет как будет выполнять подключение к ресурсу доменная или локальная учётная запись доступа. Для ресурса может быть настроено только одно пользовательское подключение следующего типа:

• RDP - подключение к ресурсу по RDP
• SSH - подключение к ресурсу по SSH
• Web - подключение к ресурсу по http или https

Состояния учётных записей доступа

• Ожидает решения () - Учётная запись доступа добавлена без пароля и не может стать участником разрешения.
• Игнорируется () - Учётная запись доступа хранится без пароля и не может стать участником разрешения.
• Управляемая -  Пароль учётной записи доступа предоставлен и она может стать участником разрешения.
• Заблокирована () - Управляемая учётная запись доступа была заблокирована и не может стать участником новых разрешений, все разрешения, в которых она использовалась считаются приостановленными.
• Удалена () - Учётная запись доступа была удалена.

Состояния ресуров

• Готов - Ресурс добавлен.
• Заблокирован () - Ресурс был заблокирован и не может стать участником разрешений, все разрешения, в которых он использовался считаются приостановленными.
• Удалён () - Ресурс был удален.

Состояния доменов

• Готов - Домен добавлен.
• Удалён () - Домен был удалён.

Разрешения

Разрешения используются для управления привилегированным доступом. Любому пользователю каталога может быть выдано разрешение на открытие RDP, SSH или web-сессии на конечном ресурсе от имени локальной или доменной учётной записи доступа.
Состав разрешения:

• Пользователь каталога - пользователь, для которого выдаётся разрешение.
• Учётная запись доступа - учётная запись доступа от имени, которой пользователь будет открывать сессию на ресурсе.
• Ресурс - ресурс, на котором будет открыта сессия от имени учётной записи доступа.

Политики

Набор настроек, распределяемых на множество объектов системы. Для одного объекта может быть назначена только одна политика одного типа.
Политики делятся на два типа:

Политики учетных записей

1. Область действия - ресурсы и домены.
2. Настройки:
   • Сбрасывать пароль после показа
   • Сбрасывать пароль через Х мин
   • Требовать указать причину просмотра пароля
   • Искать новые учетные записи раз в Х дней
   • Проверять пароль учетной записи раз в Х дней
   • Проверять пароль при ручной установке
   • Периодически изменять пароль учетной записи
   • Изменять пароль учетной записи раз в Х дней
   • Длина генерируемого пароля
   • Латинские строчные буквы
   • Латинские прописные буквы
   • Цифры
   • Специальные символы
     

Политики сессий

1. Область действия - учётные записи доступа.
2. Настройки:
   • Требовать указать причину подключения
     
   • Сохранять видео сессии
     
   • Количество кадров в секунду
     
   • Разрешение видео
     
   • Ротация видео
     
   • Удалять видео сессии старше Х дней
     
   • Сохранять снимки экрана
     
   • Интервал снимков, сек
     
   • Разрешение изображения
     
   • Ротация снимков экрана
     
   • Удалять снимки экрана старше Х дней