OC Linux пилотная установка (один сервер)
В состав пилотной установки входит установка компонентов сервера управления и сервера доступа (SSH-Proxy\RDP-Proxy) на один сервер. Подходит для ознакомления с Indeed PAM. Не рекомендуется для эксплуатации в промышленной среде.
Подготовка
Перед началом установки ознакомьтесь с разделом подготовки к установке.
Сертификаты
Сертификат удостоверяющего центра
Перенесите сертификат УЦ в дистрибутив по пути indeed-pam-linux\state\ca-certificates
Сертификат сервера
Перенесите сертификат сервера в дистрибутив по пути indeed-pam-linux\state\certs
vars
- Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
- Найдите строку
# pfx_pass: "ENTER_HERE"и удалите#. - Вместо
ENTER_HEREукажите пароль от сертификатов и сохраните изменения.
Плоский файл конфигурации
- Перейдите в папку дистрибутива indeed-pam-linux.
- Измените расширение файла config.json.template с template на json.
- Убедитесь, что файл теперь называется config.json.
Заполните указанные поля в этом файле конфигурации:
{
"DefaultServer": "TARGET_SERVER_FQDN", //к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"AD_ADMIN_SID" // к заполнению
],
"Database": "pgsql",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", //к заполнению
"ActiveDirectoryDomain": "AD_FQDN", //к заполнению
"ActiveDirectoryContainerPath": "USER_CONTAINER_DN", //к заполнению
"ActiveDirectoryUserName": "AD_SERVICE_USER_NAME", //к заполнению
"ActiveDirectoryPassword": "AD_SERVICE_USER_PASSWORD", //к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true
}
Параметры:
DefaultServer — FQDN имя сервера, например server.domain.local.com
DefaultDbServer — FQDN сервера базы данных, например server.domain.local.com. Для установки на пилоте локального docker образа необходимо указать pgsql.
DefaultDbUser — пользователь базы данных
DefaultDbPassword — пароль пользователя базы данных
IdpAdminSids — SID Администратора из каталога Active Directory
Database — тип базы данных, для пилота указать pgsql
EncryptionKey — ключ шифрования. Можно воспользоваться ключом, указанными выше.
примечаниеРекомендуется сгенерировать новый ключ шифрования базы с помощью утилиты IndeedPAM.KeyGen.exe, находящейся по пути indeed-pam-tools\key-gen
ActiveDirectoryDomain — DNS имя домена, например domain.local.com
ActiveDirectoryContainerPath — путь к пользователям Active Directory, например DC=indeed,DC=test
ActiveDirectoryUserName — имя пользователя для подключения к Active Directory
ActiveDirectoryPassword — пароль пользователя для подключения к Active Directory
ActiveDirectorySsl — параметр отвечает за выбор подключения по LDAPS
IsLinux — параметр, отвечающий за применение настроек по умолчанию для Linux и Windows систем.
Пример заполненного файла config.json:
{
"DefaultServer": "pamserver.indeed.local", //к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"S-1-5-21-2099084505-2851035876-2509165319-1112" // к заполнению
],
"Database": "pgsql",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", //к заполнению
"ActiveDirectoryDomain": "indeed.local", //к заполнению
"ActiveDirectoryContainerPath": "OU=PAMUsers,DC=indeed,DC=local", //к заполнению
"ActiveDirectoryUserName": "IPAMADReadOps", //к заполнению
"ActiveDirectoryPassword": "!Q2w3e$R", //к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true
}
Установка
- Перенесите папку дистрибутива indeed-pam-linux на целевой Linux ресурс.
- Запустите скрипт установки командой:
sudo bash run-deploy.sh - На этапе Enter target IP нажмите Enter.
- При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
- Дождитесь окончания установки.
Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.