Перейти к основному содержимому
Версия: Privileged Access Manager 3.2

Конфигурация

Раздел предназначен для настройки Indeed PAM.

Системные настройки

В этом разделе указываются глобальные системные настройки. Точечная настройка выполняется в разделе Политики.

Задачи по расписанию

НастройкаОписание
Время старта проверки учетных записейВ это время начнется проверка паролей и SSH-ключей всех учетных записей в состоянии Управляемая.
Время старта синхронизации ресурсов и учетных записейВ это время начнется синхронизация данных о ресурсах и учетных записей на ресурсах и в доменах.
Время старта сброса паролей учетных записейВ это время начнется сброс всех паролей и SSH-ключей учетных записей.
Время старта проверки сервисного подключенияВ это время начнется проверка сервисного подключения ресурсов и доменов.
Время старта ротации логов сессийВ это время начнется ротация логов сессий.
Интервал синхронизации пользовательских групп из каталогаСистема PAM с заданным интервалом обновляет состав групп пользователей из каталога.

Видео

НастройкаОписание
Параметры кодека для записи видеоПо умолчанию используется libx264 кодек: libx264 -preset medium -tune zerolatency
Параметры кодека потокового видеоПо умолчанию используется libvpx кодек: libx264 -g 10 -tune zerolatency
Длительность сегмента записываемого видеоПо умолчанию 3600 секунд (1 час).

Сессии

НастройкаОписание
Таймаут соединения со шлюзом (сек.)Время, после которого соединение будет закрыто, если шлюз не отвечает (сек.). Задайте нулевое значение, если не хотите, чтобы соединение прерывалось.
Время на подключение, мин.Закрывать сессию на Gateway, если пользователь за указанное время не выполнил подключение к ресурсу.
Уведомление перед открытием сессииЭтот текст будет показан пользователю перед началом сессии. Оставьте пустым, если уведомление не требуется.
Максимальное число сессий на пользователяОграничение количества одновременных открытых сессий на одного пользователя, по умолчанию 0, без ограничений.
Уведомлять пользователя перед разрывом сессии, интервалы показа уведомленийПеред разрывом сессии пользователю будут показаны предупреждения. Чтобы настроить время и интервал показа, заполните соответствующие поля.

Подключения к Gateway

НастройкаОписание
Адрес RDCBIP-адрес или DNS Remote Desktop Connection Broker.
Имя коллекции RDCBИмя коллекции Remote Desktop Connection Broker для Indeed PAM Gateway.
Использовать RDGWПодключаться к Indeed PAM Gateway с использованием Remote Desktop Gateway.
Адрес RDGWАдрес Remote Desktop Gateway для Indeed PAM Gateway.
Параметры Gateway RDP-файлаЭти параметры будут добавлены в настройки подключения RDP к PAM Gateway и заменят старые настройки.

RDP Proxy

В параметре Адрес RDP Proxy задается IP-адрес или DNS, опционально порт.

PostgreSQLProxy

В параметре Адрес PostgreSQL Proxy задается IP-адрес или DNS, опционально порт.

Настройки SSH-подключений

НастройкаОписание
Адрес SSH ProxyIP-адрес или DNS и обязательно порт.
Порт по умолчанию: 2222
Аутентификация ресурсов по ключам SSH-сервераРежим заполнения отпечатков ключей SSH-сервера. Подробную информацию можно прочитать в разделе режимы заполнения отпечатков.

Syslog

Настройка
Описание
Syslog-серверIP-адрес или DNS сервера Syslog сервера.
ПортПорт Syslog сервера.
ПротоколСетевой протокол подключения к Syslog серверу: TCP, UDP.
ФорматФормат событий, используемый syslog сервером: CEF, LEEF.
Версия SyslogIETF стандарт протокола Syslog: RFC3164, RFC5424.

Аутентификация пользователей

В этом разделе указываются глобальные настройки аутентификации. Точечная настройка аутентификации выполняется в разделе Политики.

Блокировка пользователей

Если пользователь несколько раз подряд введет неверный пароль или OTP, его учетная запись будет заблокирована на указанное время.

НастройкаОписание
Число попытокПри превышении этого значения пользователь будет временно заблокирован. При значении 0 блокировка не применяется.
Время блокировкиОпределяет период времени, по истечении которого пользователь будет разблокирован и снова сможет вводить пароль или OTP.

Требования к паролям внутренних пользователей

НастройкаОписание
Срок действия пароляМинимальное значение: 0 — без ограничений.
Значение по умолчанию: 45 дней.
Максимальное значение: 999 дней.
Минимальная длина пароляМинимальное значение: 4 символа.
Значение по умолчанию: 8 символов.
Максимальное значение: 255 символов.
Строчные буквыЕсли опция включена, то пароль должен содержать минимум одну латинскую строчную букву.
Прописные буквыЕсли опция включена, то пароль должен содержать минимум одну латинскую прописную букву.
ЦифрыЕсли опция включена, то пароль должен содержать минимум одну цифру 0–9.
Специальные символыЕсли опция включена, то пароль должен содержать минимум один спецсимвол из списка: ~!@#$%^&*()_-+={}|[] \:;"'<>,.?/

Аутентификация по SSH-ключам

Если опция Разрешить пользователям подключаться к SSH Proxy с использованием SSH-ключей включена, то пользователи могут подключаться к SSH Proxy без паролей, с помощью добавленных в Indeed PAM SSH-ключей. Необходимость вводить OTP сохраняется. Если опция отключена, то пользователи могут аутентифицироваться только с помощью пароля.

Пользовательское подключение

Предупреждение

Для работы с пользовательскими подключениями необходимы привилегии Управления пользовательскими подключениями (UserConnectionType.Create, UserConnectionType.Read, UserConnectionType.Update, UserConnectionType.Delete).

В Indeed PAM есть следующие встроенные типы пользовательских подключений:

  • RDP
  • SSH
  • Telnet
  • PostgreSQL

Встроенные типы не могут быть изменены или удалены.

Также доступно добавление собственных типов пользовательских подключений.

Добавление собственных типов пользовательских подключений

Для добавления нового типа подключения требуется исследование клиентского приложения и разработка шаблона для Indeed ESSO Agent. Новый тип подключения уникален для каждого приложения, для разработки требуется обратиться в службу технической поддержки Indeed.

Сервисное подключение

Предупреждение

Для работы с сервисными подключениями необходимы привилегии Управления типами сервисных подключений: ServiceConnectionType.Create, ServiceConnectionType.Read, ServiceConnectionType.Update, ServiceConnectionType.Delete.

В Indeed PAM есть следующие встроенные типы сервисных подключений:

  • Windows
  • SSH
  • Microsoft SQL Server
  • MySQL
  • PostgreSQL
  • Oracle Database
  • Cisco IOS
  • Inspur BMC

Встроенные типы нельзя изменить или удалить.

Вы можете добавить собственные типы сервисных подключений.

Добавление собственных типов сервисных подключений

предупреждение

Если сервер управления вашей инсталляции PAM установлен на хосте с ОС Windows, то можно добавлять только коннекторы с шаблоном powershell.

Если сервер управления вашей инсталляции PAM установлен на хосте с ОС Linux, то можно добавлять только коннекторы с шаблоном bash.

  1. Откройте раздел КонфигурацияСервисное подключение.
  2. Нажмите Добавить тип сервисного подключения.
  3. В открывшемся окне загрузите ZIP-архив с файлом коннектора.
  4. Задайте Название сервисного подключения или используйте значение, загруженное из метаданных.
  5. Если требуется, введите Описание сервисного подключения.
  6. Нажмите Добавить, чтобы завершить добавление.

Подготовка файлов коннекторов

Чтобы подготовить ZIP-архив с файлом коннектора, используйте утилиту Connector Creation Tool.

Редактирование собственных типов сервисных подключений

  1. Откройте раздел КонфигурацияСервисное подключение.
  2. Нажмите Редактировать рядом с требуемым типом сервисного подключения.
  3. Нажмите Скачать архив и выберите папку на компьютере для сохранения текущего ZIP-архива с файлом коннектора. Этот архив понадобится, чтобы восстановить предыдущее состояние сервисного подключения, если при загрузке нового архива возникнет ошибка.
  4. Загрузите новый ZIP-архив с файлом коннектора.
  5. Если требуется, отредактируйте Название и/или Описание.
  6. Нажмите Сохранить, чтобы завершить редактирование.

Просмотр кода скрипта коннектора

  1. Откройте раздел КонфигурацияСервисное подключение.
  2. Нажмите Показать код скрипта рядом с требуемым типом сервисного подключения.

Удаление собственных типов сервисных подключений

  1. Откройте раздел КонфигурацияСервисное подключение.
  2. Нажмите Удалить рядом с требуемым типом сервисного подключения.
Примечание

Нельзя удалить тип сервисного подключения, если существует ресурс с таким типом.

Загрузка шаблона SSH-коннектора

Шаблон сервисных операций уникален для каждого дистрибутива *nix. В составе дистрибутива по пути IndeedPAM_3.2_RU\indeed-pam-tools\ssh-templates\ приложены шаблоны для перечисленных ниже дистрибутивов *nix.

Шаблоны SSH-коннекторов в составе дистрибутива Indeed PAM
  • Alt
  • Astra
  • CentOS
  • Debian
  • FreeBSD
  • Gentoo
  • Oracle
  • RedOS
  • RHEL
  • Rocky
  • SLES
  • Ubuntu

Чтобы добавить шаблон в Indeed PAM:

  1. Откройте раздел КонфигурацияСервисное подключение.
  2. Внутри блока SSH нажмите Добавить.
  3. Выберите файл с нужным вам шаблоном SSH-коннектора из дистрибутива по пути IndeedPAM_3.2_RU\indeed-pam-tools\ssh-templates\.

Для разработки другого шаблона обратитесь в службу технической поддержки.

Сетевые расположения

В разделе можно добавить сетевые расположения, чтобы разрешить подключение к ресурсам только с заданных сетевых адресов.

Чтобы добавить сетевое расположение:

  1. Нажмите Добавить.
  2. Введите Имя.
  3. Добавьте Сетевые адреса ресурсов, которым требуется выдать ограниченное подключение.

Теги

В этом разделе отображаются все созданные теги. По умолчанию теги отсортированы по алфавиту в прямом порядке. Чтобы отсортировать их в обратном порядке, нажмите на заголовок таблицы, столбец Теги.

Чтобы создать тег:

  1. Нажмите Создать.
  2. Введите Имя тега. Оно может содержать от 2 до 50 символов и может состоять только из латиницы, кириллицы, цифр и спецсимволов. Имя тега должно быть уникально вне зависимости от регистра. Например, если у вас уже есть тег «Важно», то создать тег «важно» не удастся.
  3. Выберите цвет.
  4. Оставьте опцию Отображать тег в консоли пользователя (UC) включенной. Если выключить опцию, то тегом смогут пользоваться только администраторы PAM в MC.
  5. Завершите добавление нажатием Сохранить.

Чтобы найти тег:

  1. Введите имя тега в поисковой строке полностью или частично.
    В инсталляциях PAM на PostgreSQL поиск регистрозависимый. Например, если у вас есть тег «Важно», то он не отобразится при вводе в поисковой строке «важно» с маленькой буквы. В инсталляциях PAM на Microsoft SQL поиск регистронезависимый, то есть тег отобразится при вводе его названия и с прописной, и со строчной буквы.
  2. Нажмите ENTER или magnifying-glass-search-icon.

Чтобы отредактировать тег:

  1. Выберите тег в списке.
  2. Нажмите Редактировать.
  3. Внесите изменения. Есть возможность изменить имя тега, цвет и видимость тега в консоли пользователя.
  4. Завершите редактирование нажатием Сохранить.

Чтобы удалить один или несколько тегов:

  1. Выберите один или несколько тегов в списке.
  2. Нажмите Удалить.
  3. Подтвердите удаление нажатием Удалить во всплывающем окне.
Примечание

При удалении тег снимется со всех ресурсов, к которым был применен.

Мониторинг

Indeed PAM автоматически определяет неиспользуемые разрешения. Администратор может отозвать такие разрешения, чтобы минимизировать избыточные привилегии.

Параметр Считать разрешение неиспользуемым, если им не пользовались более задает количество дней отсутствия активности по разрешению, при превышении которого разрешение считается неиспользуемым.

Использованием разрешения считаются следующие действия:

  • успешный запуск сессии;
  • просмотр или изменение учетных данных;
  • проверка разрешения на использование pamsu.

Лицензии

Получение

  1. Скопируйте значение из поля ID инсталляции.
  2. Передайте этот идентификатор инсталляции в техническую поддержку для выпуска файла лицензии.
  3. Дождитесь от технической поддержки ответ с файлом лицензии вида PAM_гггг.мм.дд.lic.

Добавление

Нажмите Добавить и выберите файл лицензии.

Удаление

Отметьте одну или несколько лицензий и нажмите Удалить.