Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

Создание разрешений

Разрешения дают право на открытие сессий для пользователей каталога.

Чтобы выдать разрешение:

  1. Зайдите в раздел Разрешения.
  2. Нажмите Создать.
  3. Выберите Подразделение, Пользователей, Ресурсы, Учетную запись, Ограничения времени и Параметры разрешения в открывшемся визарде.
предупреждение

Для работы с разрешениями необходимы привилегии Управления разрешениями (Permission.Create, Permission.Read, Permission.Revoke, Permission.Suspend).

Подразделение

Выберите, в каком подразделении находится ресурс.

примечание

Этот раздел визарда не будет отображаться при создании разрешения локальным администратором этого подразделения.

Пользователь

Выберите пользователя или группу пользователей.

Чтобы выбрать пользователя:

  1. На вкладке Пользователи введите в строке поиска ИмяФамилиюНомер телефона или E-mail полностью или частично. Нажмите ENTER или magnifying-glass-search-icon.
  2. Выберите одного или нескольких пользователей.

Чтобы выбрать группу пользователей:

  1. На вкладке Группы пользователей введите в строке поиска Имя или Описание полностью или частично. Нажмите ENTER или magnifying-glass-search-icon.
  2. Выберите группу пользователей.

Ресурс

Разрешения можно выдавать на:

Чтобы выбрать ресурс:

  1. На вкладке Ресурсы введите в строке поиска Имя ресурсаDNS-имя, IP-адрес полностью или частично. Нажмите ENTER или magnifying-glass-search-icon.
  2. Выберите один или несколько ресурсов.

Чтобы выбрать группу ресурсов:

  1. На вкладке Группы ресурсов введите в строке поиска Имя полностью или частично. Нажмите ENTER или magnifying-glass-search-icon.
  2. Выберите группу ресурсов.

Чтобы выбрать произвольный ресурс, на вкладке Произвольные ресурсы выберите типы подключений, по которым пользователь сможет подключаться к произвольныи ресурсам. Доступные типы подключений: RDP, SSH, Telnet.

Учетная запись

Для доступа к ресурсу можно использовать локальную, доменную или личную учетную запись пользователя.

примечание

Если вы выбрали больше одного ресурса, то для каждого из них нужно последовательно выбрать учетную запись доступа.

Чтобы выбрать доменную или локальную учетную запись:

  1. Введите в строке поиска Имя учетной записи полностью или частично. Нажмите ENTER или magnifying-glass-search-icon.
  2. Выберите учетную запись.

Чтобы выбрать личную учетную запись, нажмите Продолжить с пользовательской УЗ.

предупреждение

Для произвольных ресурсов недоступен выбор локальной учетной записи.

Для произвольных ресурсов учетная запись одна на все типы подключений.

Ограничения времени

Параметры этого раздела опциональные.

Для разрешения можно задать период действия — дату и время начала, дату и время окончания. Для этого:

  1. Включите опции Начало и Окончание.
  2. Выберите дату и время.
примечание

Если опции Начало и Окончание не выбраны, то разрешение будет действовать бессрочно.

предупреждение

По истечении периода действия разрешения сессия будет прервана.

Можно также задать расписание доступа к ресурсу по этому разрешению. В этом случае подключение будет доступно только в указанные часы. Например, только в рабочее время.

  1. Включите опцию Разрешить доступ только.
  2. Введите время С и До.
примечание

Если опция Разрешить доступ только не выбрана, то разрешение будет действовать круглосуточно.

предупреждение

По истечении времени, установленного в расписании доступа, сессия будет прервана.

Параметры разрешения

Параметры этого раздела опциональные.

Учетные данные

Indeed PAM позволяет задать, разрешено ли пользователю просматривать пароль привилегированных учетных записей, которые используются в его разрешениях. Чтобы разрешить, включите опцию Разрешить просмотр учетных данных.

Indeed PAM позволяет задать, разрешено ли пользователю изменять пароль привилегированных учетных записей, которые используются в его разрешениях. Чтобы разрешить, включите опцию Разрешить изменение учетных данных.

Источник подключения

Indeed PAM позволяет установить ограничение для подключений к ресурсам, а именно — установить конкретную сеть, из которой можно подключаться. Чтобы это сделать, выберите нужную сеть в поле Сетевое расположение источников для разрешенных подключений.

примечание

Если не были добавлены никакие Сетевые расположения, то в выпадающем списке будет единственная настройка — Без ограничений. Это значит, что использовать данное разрешение можно с любого устройства в сети.

Повышение привилегий в SSH сессиях

Indeed PAM позволяет указать для каждого разрешения, будет ли в этом разрешении доступ к pamsu.

Возможные варианты:

  • Управляется политиками — будет ли доступ к pamsu определяется политикой ресурса, на который выдается разрешение.
  • Разрешено — будет доступ к pamsu независимо от настроек политики.
  • Запрещено — не будет доступа к pamsu независимо от настроек политики.