Перейти к основному содержимому
Версия: Privileged Access Manager 3.1

Сервисные операции

Сервисные операции для ресурсов Windows

предупреждение

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций на Windows-ресурсе должна быть настроена служба WinRM по HTTPS

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной учетной записи: 

  • Проверка соединения с ресурсом
  • Синхронизация локальных учетных записей
  • Проверка пароля локальных учетных записей
  • Изменение пароля локальных учетных записей
  • Получение данных о ОС
  • Получение списка групп безопасности

Настройка доменной учетной записи в качестве сервисной

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management).
  3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
  4. Откройте контекстное меню группы Администраторы (Administrators).
  5. Выберите пункт Свойства (Properties).
  6. Нажмите Добавить (Add).
  7. Выберите доменную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.

Настройка локальной учетной записи в качестве сервисной

Если в качестве сервисной учетной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учетной записи будет использоваться не встроенная локальная учетная запись администратора, то:

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management).
  3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
  4. Откройте контекстное меню группы Администраторы (Administrators).
  5. Выберите пункт Свойства (Properties).
  6. Нажмите Добавить (Add).
  7. Выберите локальную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.
  8. Запустите Редактор реестра (RegEdit).
  9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\.
  10. Откройте контекстное меню раздела System.
  11. Выберите пункт Создать (Create) → Параметр DWORD 32 (DWORD (32-bit) Value).
  12. Введите название параметра — LocalAccountTokenFilterPolicy.
  13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy.
  14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1.

Настройка реестра необходима из-за ограничений удаленного управления WinRM для всех локальных учетных записей, кроме встроенного (built-in) администратора.

Настройка Indeed PAM Core для выполнения сервисных операций от имени локальных учетных записей ресурса

Сервисные операции выполняются при помощи WinRM, для использования локальных учетных записей ресурса в качестве сервисных требуется добавить ресурс в список доверенных TrustedHosts на сервере Indeed PAM Core.

Настройка TrustedHosts

  1. Выполните вход на сервер Indeed PAM Core.
  2. Откройте Командную строку (CMD) от имени администратора.
  3. Выполните команду:
    C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.domain.local, Resource2.domain.local"}

Указанные ресурсы будут добавлены в список доверенных.

предупреждение

При добавлении новых ресурсов в список доверенных требуется указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.

@{TrustedHosts="Resource1.domain.local, Resource2.domain.local, Resource3.domain.local"}

Сервисные операции в cлужбе каталогов

предупреждение

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций в домене должен быть настроен LDAPS (LDAP over SSL).

Настройка сервисной учетной записи

  1. Запустите оснастку Active Directory → пользователи и компьютеры (Active Directory Users and Computers).

  2. Откройте контекстное меню контейнера или подразделения.

  3. Выберите пункт Создать (Create) → Пользователь (User).

  4. Укажите имя, например, IPAMADServiceOps.

  5. Заполните обязательные поля и завершите создание учетной записи.

  6. Откройте контекстное меню контейнера, подразделения или корня домена.

  7. Выберите пункт Свойства (Properties).

  8. Перейдите на вкладку Безопасность (Security).

    Информация

    Если вкладки Безопасность нет, то в меню Вид (View) включите Advanced features.

  9. Нажмите Добавить (Add).

  10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.

  11. Нажмите Дополнительно (Advanced).

  12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить (Edit).

  13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).

  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).

  15. Сохраните внесенные изменения.

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учетной записи: 

  • Проверка соединения с ресурсом
  • Поиск учетных локальных записей доступа
  • Проверка пароля локальных учетных записей доступа
  • Изменение пароля локальных учетных записей доступа
  • Получение данных о ОС
  • Получение списка групп безопасности

Создание и настройка сервисной учетной записи

  1. Выполните вход на ресурс
  2. Запустите Терминал (Terminal)
  3. Создайте пользователя, например, IPAMService
    adduser IPAMService
  4. Добавьте пользователя в группу SUDO
    usermod -aG sudo IPAMService

Настройка группы привилегированных учетных записей

Автоматический поиск и добавление учетных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO требуется внести изменения в файл /etc/sudoers.