Перейти к основному содержимому
Версия: Privileged Access Manager 2.9

OC Linux пилотная установка (один сервер)

предупреждение

В состав пилотной установки входит установка компонентов сервера управления и сервера доступа (SSH-Proxy\RDP-Proxy) на один сервер. Подходит для ознакомления с Indeed PAM. Не рекомендуется для эксплуатации в промышленной среде.

Подготовка

Перед началом установки ознакомьтесь с разделом подготовки к установке.

Сертификаты

Сертификат удостоверяющего центра

Перенесите сертификат УЦ в дистрибутив по пути indeed-pam-linux\state\ca-certificates

Сертификат сервера

Перенесите сертификат сервера в дистрибутив по пути indeed-pam-linux\state\certs

vars

  1. Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
  2. Найдите строку # pfx_pass: "ENTER_HERE" и удалите #.
  3. Вместо ENTER_HERE укажите пароль от сертификатов и сохраните изменения.

Плоский файл конфигурации

  1. Перейдите в папку дистрибутива indeed-pam-linux.
  2. Измените расширение файла config.json.template с template на json.
  3. Убедитесь, что файл теперь называется config.json.

Заполните указанные поля в этом файле конфигурации:

{
"DefaultServer": "TARGET_SERVER_FQDN", //к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"AD_ADMIN_SID" // к заполнению
],
"Database": "pgsql",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", //к заполнению
"ActiveDirectoryDomain": "AD_FQDN", //к заполнению
"ActiveDirectoryContainerPath": "USER_CONTAINER_DN", //к заполнению
"ActiveDirectoryUserName": "AD_SERVICE_USER_NAME", //к заполнению
"ActiveDirectoryPassword": "AD_SERVICE_USER_PASSWORD", //к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true
}

Параметры:

  • DefaultServer — FQDN имя сервера, например server.domain.local.com

  • DefaultDbServer — FQDN сервера базы данных, например server.domain.local.com. Для установки на пилоте локального docker образа необходимо указать pgsql.

  • DefaultDbUser — пользователь базы данных

  • DefaultDbPassword — пароль пользователя базы данных

  • IdpAdminSids — SID Администратора из каталога Active Directory

  • Database — тип базы данных, для пилота указать pgsql

  • EncryptionKey — ключ шифрования. Можно воспользоваться ключом, указанными выше.

    примечание

    Рекомендуется сгенерировать новый ключ шифрования базы с помощью утилиты IndeedPAM.KeyGen.exe, находящейся по пути indeed-pam-tools\key-gen

  • ActiveDirectoryDomain — DNS имя домена, например domain.local.com

  • ActiveDirectoryContainerPath — путь к пользователям Active Directory, например DC=indeed,DC=test

  • ActiveDirectoryUserName — имя пользователя для подключения к Active Directory

  • ActiveDirectoryPassword — пароль пользователя для подключения к Active Directory

  • ActiveDirectorySsl — параметр отвечает за выбор подключения по LDAPS

  • IsLinux — параметр, отвечающий за применение настроек по умолчанию для Linux и Windows систем.

Пример заполненного файла config.json:

{
"DefaultServer": "pamserver.indeed.local", //к заполнению
"DefaultDbServer": "pgsql",
"DefaultDbUser": "admin",
"DefaultDbPassword": "Q1w2e3r4",
"IdpAdminSids": [
"S-1-5-21-2099084505-2851035876-2509165319-1112" // к заполнению
],
"Database": "pgsql",
"EncryptionKey": "3227cff10b834ee60ad285588c6510ea1b4ded5b24704cf644a51d2a9db3b7e5", //к заполнению
"ActiveDirectoryDomain": "indeed.local", //к заполнению
"ActiveDirectoryContainerPath": "OU=PAMUsers,DC=indeed,DC=local", //к заполнению
"ActiveDirectoryUserName": "IPAMADReadOps", //к заполнению
"ActiveDirectoryPassword": "!Q2w3e$R", //к заполнению
"ActiveDirectorySsl": false,
"IsLinux": true
}

Установка

  1. Перенесите папку дистрибутива indeed-pam-linux на целевой Linux ресурс.
  2. Запустите скрипт установки командой:
    sudo bash run-deploy.sh
  3. На этапе Enter target IP нажмите Enter.
  4. При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
  5. Дождитесь окончания установки.
Информация

Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.