Создание разрешений
Разрешения дают право на открытие сессий для пользователей каталога.
Для работы с разрешениями необходимы привилегии Управления разрешениями (Permission.Create, Permission.Read, Permission.Revoke, Permission.Suspend).
- Нажмите Создать в разделе Разрешения.
Если необходимо выдать разрешение на группу пользователей, то нужно перейти в раздел Группы пользователей, выбрать группу и нажать Добавить разрешение.
Подразделение
Выберите, в каком из подразделений находится ресурс.
Данный пункт не будет отображаться при создании разрешения локальным администратором конкретного подразделения.
Пользователь
Для разрешения можно использовать любого пользователя Active Directory, который является членом каталога пользователей.
- Введите Имя, Фамилию, Номер телефона или Email полностью или частично.
- Выберите одного или нескольких пользователей.
Ресурс
Для разрешения можно использовать любой добавленный в Indeed PAM ресурс.
- Введите Имя ресурса или Адрес (DNS адрес/IP адрес) полностью или частично.
- Выберите один или несколько ресурсов.
Если выбрано более одного ресурса, то для доступа к ним нужно будет последовательно указать учетные записи доступа.
Учетная запись
Для доступа на ресурс могут быть использованы локальная, доменная или личная учетная запись пользователя.
Выбор доменной или локальной учетной записи
- Введите Имя учетной записи полностью или частично.
- Выберите учетную запись.
Выбор личной учетной записи пользователя
- Нажмите Продолжить с пользовательской УЗ на странице Выберите учетную запись.
Ограничения времени
Для разрешения можно задать период действия — дату и время начала, дату и время окончания.
- Выберите опции Начало и Окончание.
- Выберите дату и время.
Если опции Начало и Окончание не выбраны, то разрешение будет считаться бессрочным.
Можно также выбрать активное время. Воспользоваться разрешением вне активного времени невозможно.
- Выберите опции С и До.
- Введите время.
Если опции С и До не выбраны, то разрешение будет действовать круглосуточно.
При истечении времени действия разрешения или при истечении времени установленного в расписании доступа сессия будет прервана.
Параметры разрешения
Учетные данные
Indeed PAM позволяет просматривать пользователю пароль привилегированных учетных записей, которые используются в его разрешениях.
- Отметьте опцию Разрешить просмотр учетных данных.
- Завершите создание разрешения.
Indeed PAM позволяет изменять пользователю пароль привилегированных учетных записей, которые используются в его разрешениях.
- Отметьте опцию Разрешить изменение учетных данных.
- Завершите создание разрешения.
Источник подключения
Indeed PAM позволяет установить ограничение для подключений к ресурсам, а именно установку конкретной сети из которой можно использовать данное подключение.
Если не были добавлены никакие Сетевые расположения, то в выпадающем меню будет единственная настройка Без ограничений. Это значит, что использовать данное разрешение можно с любого устройства в сети.
Повышение привилегий в SSH сессиях
Indeed PAM позволяет установить индивидуальные настройки разрешений для pamsu.
Предоставляется выбор в выпадающем меню из трех настроек:
- Управляется политиками — выбор данной настройки означает, что доступ к pamsu будет предоставлен в соответствии с выбранной для ресурса, на который выдается разрешение.
- Разрешено — выбор данной настройки означает, что независимо от настроек политики в данном разрешении будет предоставлен доступ к pamsu.
- Запрещено — выбор данной настройки означает, что независимо от настроек политики в данном разрешении будет отключен доступ к pamsu.