Перейти к основному содержимому
Версия: Privileged Access Manager 2.9

Настройка подписи RDP файла

Включение подписи RDP файла

Для того, чтобы включить подпись RDP файла необходимо отредактировать раздел Rdp файла конфигурации Core, находящийся по пути:

C:\inetpub\wwwroot\pam\core — для Windows

 "Rdp": {
    "UseRemoteApp": false,
    "SignRdpFile": true,
    "Certificate": "16c214ba7dec702a7ce5e4ac727502b0c0d448e2",
    "Password": ""
  },

/etc/indeed/indeed-pam/core — для Linux

 "Rdp": {
    "UseRemoteApp": false,
    "SignRdpFile": true,
    "Certificate": "/etc/",
    "Password": "1234"
  },

Секция Rdp

  • SignRdpFile — включение подписи RDP файла.
  • Certificate — отпечаток сертификата или путь до самого сертификата.
  • Password — пароль сертификата. Пишется если в параметре Certificate был указан путь до сертификата.

После редактирования файла конфигурации необходимо перезапустить компонент Core.

Windows

Перезапустить IIS.

Linux

Перейти в папку /etc/indeed/indeed-pam.

cd /etc/indeed/indeed-pam

Перезапустить компонент Indeed PAM Core:

sudo docker compose -f docker-compose.management-server.yml up -d core --force-recreate

или

sudo docker-compose -f docker-compose.management-server.yml up -d core --force-recreate

Настройка сертификата

Для включения подписи RDP файла необходим сертификат, выданный удостоверяющим центром сертификации

примечание

Все действия, описанные ниже, проходят на сервере управления с установленным компонентом Core.

Windows с отпечатком

  1. Добавить сертификат в личное хранилище компьютера.
  2. Открыть меню сертификата Все задачи (All Tasks) → Управление закрытыми ключами (Manage Private Keys...).
  3. Нажать Добавить... (Add...) в открывшемся окне нажать Размещение... (Locations...), выбрать локальный компьютер → ОК.
  4. В поле ввести имя IIS_IUSRS → ОК.
  5. Отредактировать файл конфигурации, указав отпечаток сертификата без пароля.

Linux с импортированием ключа формате PFX

  1. Импортировать в папку /etc/indeed/indeed-pam/keys/rdp-sign.pfx сертификат в формате PFX с приватным ключом и паролем.
  2. Отредактировать файл конфигурации, указав путь к сертификату и пароль.
  3. Отредактировать файл /etc/indeed/indeed-pam/docker-compose.management-server.yml добавив строчку
    ./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx в разделе corevolumes для проброса сертификата в контейнер:
    volumes:
      - ./core/events:/var/lib/indeed/indeed-pam/events
      - ./core/appsettings.json:/app/appsettings.json:ro
      - ./keys/shared/protector:/etc/indeed/indeed-pam/keys/shared/protector:ro
      - ./keys/core:/etc/indeed/indeed-pam/keys/core:ro
      - ./ca-certificates:/usr/local/share/ca-certificates:ro
      - ./logs/core:/app/logs
      - ./keys/rdp-sign.pfx:/etc/indeed/indeed-pam/keys/rdp-sign.pfx