Администрирование Indeed PAM

Начать рассмотрение темы администрирования решения мы хотим с обзора инсталляции РАМ:

Заранее на Сервере доступа требуется развернуть службу удаленных рабочих столов. Эта служба используется для «jump server». То есть, когда пользователь подключается к ресурсу, сначала открывается сессия до сервера доступа, а с него открывается сессия до конечного ресурса.

Установка заключается в запуске скрипта, который устанавливает все нужные нам компоненты.

Далее открывается следующее окно, и в зависимости от роли сервера мы выбираем подходящие галочки.

Следующая настройка производится для сервера управления.

Здесь нам надо задать имя FQDN. В дальнейшем по обращению по этому имени будет открываться веб-интерфейс. Нам также надо задать IP-адрес сервера доступа.

В настройках БД нам нужно указать адрес SQL-сервера. В нашем случае он проинсталлирован на сервере управления.

В этой же БД должен быть создан пользователь с привилегией работы со следующими базами, которые уже созданы в СУБД с такими же названиями.

Дальнейшая работа с доменом такая: нам нужно указать домен и путь контейнеров, откуда Indeed РАМ будет запрашивать пользователей для работы, а также учётную запись, которая имеет на это права.

На этом была закончена работа скрипта для сервера управления.

Теперь переходим к скрипту для сервера доступа.

Здесь все гораздо проще: выбираем сервер доступа и дальше надо заполнить только FQDN сервера управления.

После проведения установки Indeed нам нужно зайти в каталог /pam/mc,
аутентифицироваться от имени первичного администратора, который находится в контейнере привилегированных пользователей, и добавить роль для нашего администратора (иначе наш администратор не сможет работать с Indeed PAM).

Также в дальнейшем нам нужно будет распределять администраторов по ролям. Сделано это с целью разграничения прав доступа одного администратора от другого.

Для добавления роли нужно перейти в выбранную роль, нажать на кнопку «Роль» и добавить нужного пользователя.

Наивысшей ролью считается Управление Indeed РАМ администратора. Её мы и будем использовать.

После добавления роли администратора находим подвкладку Лицензии во вкладке Конфигурации и добавляем лицензии.

Так же в упрощённой инсталляции разворачивается на сервере доступа Сетевое хранилище данных.

Видим три папки, которые являются общими.

Путь и названия изображены на рисунке:

Создаем пользователя IPAMStorageOps.

Для папок открываем общий доступ. Нужно выделить этого пользователя с правами на чтение и запись.
\

Перейдем в системные настройки.

Именно здесь мы изначально задаем пути сохранения логов и учетную запись, с помощью которой мы будем администрировать эти папки.

Пролистав ниже, мы увидим настройки подключения Gateway и SSH Proxy.
Здесь нам надо указать 2 сервера доступа и коллекцию для gateway из службы удаленных рабочих.

Если есть желание не выделять второй сервер доступа, можно указать один, как показано ниже:

Спускаясь ещё ниже по вкладкам мы видим вкладку Сервисное подключение. Здесь добавляются шаблоны подключению по SSH для Linux.

Каждый шаблон имеет уникальный скрипт команд для каждой версии Linux. С помощью этих команд производится проверка подключения и синхронизация учетных записей ресурса.

Сами шаблоны расположены в папке /Templates каталога дистрибутива.

Перейдем к вкладке Политики.

Здесь создаются политики. В каждой политике есть свой раздел, и если не настраивать как-то раздел, то он будет работать по настройкам из политики default policy.

Для учетной записи у нас есть возможность:

• настроить показ учетных данных;
• установить проверку и смену учетных данных;
• задать требования к паролю

В сессии мы указываем общие требования к подключению и настраиваем артефакты лога.

В SSH есть возможность дать доступ к повышению привилегий и задать реакции на запрещенные команды/

Для добавления домена нам нужно: найти вкладку Домены, нажать Добавить домен, после чего заполнить имя домена (как оно прописано на контроллере домене) и его DNS.

Открываем этот домен и для управления учетными записями и контейнерами ресурсами нам нужно добавить учетную запись администратора домена.

При первых добавлениях учетных записей с уровнем администратора мы всегда задаём пароль вручную и такой же, какой хранится в AD.

Далее нам нужно добавить эту УЗ в сервисную для того, чтобы производить сервисные операции с доменом.

Такие операции, как:

• проверка соединения;
• выгрузка ресурсов;
• выгрузка учетных записей

Сами сервисные подключения необходимы для проверки соединения с ресурсов, а также синхронизаций учетных записей этого ресурса.

При добавление сервисной УЗ надо проверить соединение для подтверждения безошибочной работы Indeed.

Далее нам нужно добавить группу откуда мы будем получать УЗ.

И нажимаем на кнопку синхронизировать УЗ.

А также нужно добавить Контейнер ресурсов.

И также после добавления нажимаем на Импорт ресурсов для их выгрузки из домена.

Найдем наш ресурс из домена и поработаем с ним.

Давайте создадим сервисное подключение.
Выбираем коннектор Windows.

Далее выбирвем сервисную учетную запись из домена, через которую будут производится сервисные операции.

Проверяем соединение.

Для добавления ресурса, который не находится в домене, нам нужно открыть вкладку ресурсы и добавить новый ресурс.

Заполняем имя ресурса и IP.

В зависимости от ОС вашего ресурса выбираем тип подключения.

И снимаем галочку для коннектора сервисного подключения, так как мы еще не создали пользователя для сервисных подключений.

Далее в самом ресурсе нам нужно добавить учетную запись с привилегией администратора для сервисных операций.

Вписываем имя администратора, с которого будут производится сервисные операции.

Пароль задаем вручную.

SSH ключи не задаем.

Для сервисного подключения используем коннектор, опять же таки в зависимости от вашей ОС.

В случае если ресурс линуксовый, нам нужно добавить определенный шаблон для каждой определенной версии Linux.

Выбираем учетную запись, ранее созданную нами, и создаем сервисное подключение.

Для корректности работы проверим соединение.

После настройки всех конечных ресурсов нам нужно добавить разрешение на подключение.

Делается это во вкладке Разрешения:

Первым делом мы выбираем пользователя, для которого мы хотим дать разрешение на подключение.

Затем мы выбираем нужные нам ресурсы или если изначально определенные ресурсы были вынесены в группу, то можно выбрать их.

Затем мы выбираем УЗ для каждого выбранного нами ресурса.

Далее мы задаем период действия и расписание времени для доступа.

Следующий параметр дает возможность читать или не читать логин и пароль УЗ ресурса тому пользователю, который будет подключатся.