Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

OC Linux пилотная установка (один сервер)

предупреждение

В состав пилотной установки входит установка компонентов сервера управления и сервера доступа (SSH-Proxy\RDP-Proxy) на один сервер. Подходит для ознакомления с Indeed PAM. Не рекомендуется для эксплуатации в промышленной среде.

Подготовка

Перед началом установки ознакомьтесь с разделом подготовки к установке.

Сертификаты

Сертификат удостоверяющего центра

Перенесите сертификат УЦ в дистрибутив по пути indeed-pam-linux\state\ca-certificates

Сертификат сервера

Перенесите сертификат сервера в дистрибутив по пути indeed-pam-linux\state\certs

vars

  1. Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
  2. Найдите строку # pfx_pass: "ENTER_HERE" и удалите #.
  3. Вместо ENTER_HERE укажите пароль от сертификатов и сохраните изменения.

Плоский файл конфигурации

  1. Перейдите в папку дистрибутива indeed-pam-linux.
  2. Измените расширение файла config.json.template с template на json.
  3. Убедитесь, что файл теперь называется config.json.

Заполните указанные поля в этом файле конфигурации:

{
  "DefaultServer": "TARGET_SERVER_FQDN", // к заполнению
  "DefaultDbServer": "pgsql",
  "DefaultDbUser": "admin",
  "DefaultDbPassword": "Q1w2e3r4",
  "IdpAdminSids": [
    "AD_ADMIN_SID" // к заполнению
  ],
 "CoreServiceStorageConfiguration": {
    "Type": "FileSystem",
    "Settings": {
    "Root": "/mnt/storage"
    }
  },
  "GatewayServiceStorageConfiguration": {
    "Type": "FileSystem",
    "Settings": {
    "Root": "/mnt/storage"
    }
  },
  "Database": "pgsql",
 "LogServerUrl": "http://ls:5080/api",
  "EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", // к заполнению
  "ActiveDirectoryDomain": "AD_FQDN", //к заполнению
  "ActiveDirectoryContainerPath": "USER_CONTAINER_DN", // к заполнению
  "ActiveDirectoryUserName": "AD_SERVICE_USER_NAME", // к заполнению
  "ActiveDirectoryPassword": "AD_SERVICE_USER_PASSWORD", // к заполнению
  "ActiveDirectorySsl": false,
  "IsLinux": true,
  "ThreadPoolSize": 8,
  "Enable2faByDefault": true,
  "enableOrganizationalUnits": false
}

Параметры:

  • DefaultServer — FQDN сервера, например server.domain.local.com.

  • DefaultDbServer — FQDN сервера базы данных, например server.domain.local.com. Для установки на пилоте локального docker образа pgsql вместе с PAM необходимо указать pgsql.

  • DefaultDbUser — пользователь базы данных. При установке локального Docker-образа pgsql вместе с PAM необходимо указать admin.

  • DefaultDbPassword — пароль пользователя базы данных. При установке локального Docker-образа pgsql вместе с PAM необходимо указать Q1w2e3r4.

  • IdpAdminSids — SID Администратора из каталога Active Directory.

  • CoreServiceStorageConfiguration — путь до медиахранилища, откуда компонент Core будет читать артефакты сессий.

  • GatewayServiceStorageConfiguration — путь до медиахранилища, куда будут записываться артефакты сессий.

  • Database — тип базы данных, для пилота указать pgsql.

  • LogServerUrl — URL-адрес для обращения к компоненту LogServer. Необходимо оставить значение по умолчанию.

  • EncryptionKey — ключ шифрования. Можно воспользоваться ключом, указанным выше.

    примечание

    Рекомендуется сгенерировать новый ключ шифрования базы с помощью утилиты IndeedPAM.KeyGen.exe, находящейся по пути indeed-pam-tools\key-gen.

  • ActiveDirectoryDomain — DNS домена, например domain.local.com.

  • ActiveDirectoryContainerPath — путь к пользователям Active Directory, например DC=indeed,DC=test.

  • ActiveDirectoryUserName — имя пользователя для подключения к Active Directory.

  • ActiveDirectoryPassword — пароль пользователя для подключения к Active Directory.

  • ActiveDirectorySsl — параметр отвечает за выбор подключения по LDAPS.

  • IsLinux — параметр, отвечающий за применение настроек по умолчанию для Linux и Windows систем.

  • ThreadPoolSize — Общее количество создаваемых потоков в rdp-proxy. Необходимо оставить значение по умолчанию.

  • Enable2faByDefault — параметр, отвечающий за запрос 2FA у пользователей по умолчанию.

  • enableOrganizationalUnits — параметр, отвечающий за добавление раздела Структура в PAM.

Пример заполненного файла config.json:

{
  "DefaultServer": "pamserver.indeed.local", // к заполнению
  "DefaultDbServer": "pgsql",
  "DefaultDbUser": "admin",
  "DefaultDbPassword": "Q1w2e3r4",
  "IdpAdminSids": [
    "S-1-5-21-2099084505-2851035876-2509165319-1112" // к заполнению
  ],
 "CoreServiceStorageConfiguration": {
    "Type": "FileSystem",
    "Settings": {
    "Root": "/mnt/storage"
    }
  },
  "GatewayServiceStorageConfiguration": {
    "Type": "FileSystem",
    "Settings": {
    "Root": "/mnt/storage"
    }
  },
  "Database": "pgsql",
  "LogServerUrl": "http://ls:5080/api",
  "EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", // к заполнению
  "ActiveDirectoryDomain": "indeed.local", // к заполнению
  "ActiveDirectoryContainerPath": "OU=PAMUsers,DC=indeed,DC=local", // к заполнению
  "ActiveDirectoryUserName": "IPAMADReadOps", // к заполнению
  "ActiveDirectoryPassword": "!Q2w3e$R", // к заполнению
  "ActiveDirectorySsl": false,
  "IsLinux": true,
  "ThreadPoolSize": 8,
  "Enable2faByDefault": true,
  "enableOrganizationalUnits": false
}

Установка

  1. Перенесите папку дистрибутива indeed-pam-linux на целевой Linux ресурс.
  2. Если выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:
    sudo bash run-deploy.sh
    Если не выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:
    sudo bash run-deploy.sh --bench-skip
  3. На этапе Enter target IP нажмите ENTER.
  4. При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
  5. Дождитесь окончания установки.
Информация

Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.