OC Linux пилотная установка (один сервер)
В состав пилотной установки входит установка компонентов сервера управления и сервера доступа (SSH-Proxy\RDP-Proxy) на один сервер. Подходит для ознакомления с Indeed PAM. Не рекомендуется для эксплуатации в промышленной среде.
Подготовка
Перед началом установки ознакомьтесь с разделом подготовки к установке.
Сертификаты
Сертификат удостоверяющего центра
Перенесите сертификат УЦ в дистрибутив по пути indeed-pam-linux\state\ca-certificates
Сертификат сервера
Перенесите сертификат сервера в дистрибутив по пути indeed-pam-linux\state\certs
vars
- Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
- Найдите строку
# pfx_pass: "ENTER_HERE"
и удалите#
. - Вместо
ENTER_HERE
укажите пароль от сертификатов и сохраните изменения.
Плоский файл конфигурации
- Перейдите в папку дистрибутива indeed-pam-linux.
- Измените расширение файла config.json.template с template на json.
- Убедитесь, что файл теперь называется config.json.
Заполните указанные поля в этом файле конфигурации:
{
"DefaultServer": "TARGET_SERVER_FQDN", // к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"AD_ADMIN_SID" // к заполнению
],
"CoreServiceStorageConfiguration": {
"Type": "FileSystem",
"Settings": {
"Root": "/mnt/storage"
}
},
"GatewayServiceStorageConfiguration": {
"Type": "FileSystem",
"Settings": {
"Root": "/mnt/storage"
}
},
"Database": "pgsql",
"LogServerUrl": "http://ls:5080/api",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", // к заполнению
"ActiveDirectoryDomain": "AD_FQDN", //к заполнению
"ActiveDirectoryContainerPath": "USER_CONTAINER_DN", // к заполнению
"ActiveDirectoryUserName": "AD_SERVICE_USER_NAME", // к заполнению
"ActiveDirectoryPassword": "AD_SERVICE_USER_PASSWORD", // к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true,
"ThreadPoolSize": 8,
"Enable2faByDefault": true,
"enableOrganizationalUnits": false
}
Параметры:
DefaultServer — FQDN сервера, например
server.domain.local.com
.DefaultDbServer — FQDN сервера базы данных, например
server.domain.local.com
. Для установки на пилоте локального docker образа pgsql вместе с PAM необходимо указатьpgsql
.DefaultDbUser — пользователь базы данных. При установке локального Docker-образа pgsql вместе с PAM необходимо указать
admin
.DefaultDbPassword — пароль пользователя базы данных. При установке локального Docker-образа pgsql вместе с PAM необходимо указать
Q1w2e3r4
.IdpAdminSids — SID Администратора из каталога Active Directory.
CoreServiceStorageConfiguration — путь до медиахранилища, откуда компонент Core будет читать артефакты сессий.
GatewayServiceStorageConfiguration — путь до медиахранилища, куда будут записываться артефакты сессий.
Database — тип базы данных, для пилота указать
pgsql
.LogServerUrl — URL-адрес для обращения к компоненту LogServer. Необходимо оставить значение по умолчанию.
EncryptionKey — ключ шифрования. Можно воспользоваться ключом, указанным выше.
примечаниеРекомендуется сгенерировать новый ключ шифрования базы с помощью утилиты IndeedPAM.KeyGen.exe, находящейся по пути indeed-pam-tools\key-gen.
ActiveDirectoryDomain — DNS домена, например
domain.local.com
.ActiveDirectoryContainerPath — путь к пользователям Active Directory, например
DC=indeed,DC=test
.ActiveDirectoryUserName — имя пользователя для подключения к Active Directory.
ActiveDirectoryPassword — пароль пользователя для подключения к Active Directory.
ActiveDirectorySsl — параметр отвечает за выбор подключения по LDAPS.
IsLinux — параметр, отвечающий за применение настроек по умолчанию для Linux и Windows систем.
ThreadPoolSize — Общее количество создаваемых потоков в rdp-proxy. Необходимо оставить значение по умолчанию.
Enable2faByDefault — параметр, отвечающий за запрос 2FA у пользователей по умолчанию.
enableOrganizationalUnits — параметр, отвечающий за добавление раздела Структура в PAM.
Пример заполненного файла config.json:
{
"DefaultServer": "pamserver.indeed.local", // к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"S-1-5-21-2099084505-2851035876-2509165319-1112" // к заполнению
],
"CoreServiceStorageConfiguration": {
"Type": "FileSystem",
"Settings": {
"Root": "/mnt/storage"
}
},
"GatewayServiceStorageConfiguration": {
"Type": "FileSystem",
"Settings": {
"Root": "/mnt/storage"
}
},
"Database": "pgsql",
"LogServerUrl": "http://ls:5080/api",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", // к заполнению
"ActiveDirectoryDomain": "indeed.local", // к заполнению
"ActiveDirectoryContainerPath": "OU=PAMUsers,DC=indeed,DC=local", // к заполнению
"ActiveDirectoryUserName": "IPAMADReadOps", // к заполнению
"ActiveDirectoryPassword": "!Q2w3e$R", // к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true,
"ThreadPoolSize": 8,
"Enable2faByDefault": true,
"enableOrganizationalUnits": false
}
Установка
- Перенесите папку дистрибутива indeed-pam-linux на целевой Linux ресурс.
- Если выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:Если не выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:
sudo bash run-deploy.sh
sudo bash run-deploy.sh --bench-skip
- На этапе Enter target IP нажмите ENTER.
- При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
- Дождитесь окончания установки.
Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.