Конфигурация

Раздел предназначен для настройки Indeed PAM.

Системные настройки

В этом разделе указываются глобальные системные настройки. Точечная настройка выполняется в разделе Политики.

Задачи по расписанию

Настройка	Описание
Время старта проверки учетных записей	В это время начнется проверка паролей и SSH-ключей всех учетных записей в состоянии Управляемая.
Время старта синхронизации ресурсов и учетных записей	В это время начнется синхронизация данных о ресурсах и учетных записей на ресурсах и в доменах.
Время старта сброса паролей учетных записей	В это время начнется сброс всех паролей и SSH-ключей учетных записей.
Время старта проверки сервисного подключения	В это время начнется проверка сервисного подключения ресурсов и доменов.
Время старта ротации логов сессий	В это время начнется ротация логов сессий.
Интервал синхронизации пользовательских групп из каталога	Система PAM с заданным интервалом обновляет состав групп пользователей из каталога.

Видео

Настройка	Описание
Параметры кодека для записи видео	По умолчанию используется libx264 кодек: libx264 -preset medium -tune zerolatency
Параметры кодека потокового видео	По умолчанию используется libvpx кодек: libx264 -g 10 -tune zerolatency
Длительность сегмента записываемого видео	По умолчанию 3600 секунд (1 час).

Сессии

Настройка	Описание
Таймаут соединения со шлюзом (сек.)	Время, после которого соединение будет закрыто, если шлюз не отвечает (сек.). Задайте нулевое значение, если не хотите, чтобы соединение прерывалось.
Время на подключение, мин.	Закрывать сессию на Gateway, если пользователь за указанное время не выполнил подключение к ресурсу.
Уведомление перед открытием сессии	Этот текст будет показан пользователю перед началом сессии. Оставьте пустым, если уведомление не требуется.
Максимальное число сессий на пользователя	Ограничение количества одновременных открытых сессий на одного пользователя, по умолчанию 0, без ограничений.
Уведомлять пользователя перед разрывом сессии, интервалы показа уведомлений	Перед разрывом сессии пользователю будут показаны предупреждения. Чтобы настроить время и интервал показа, заполните соответствующие поля.

Подключения к Gateway

Настройка	Описание
Адрес RDCB	IP-адрес или DNS Remote Desktop Connection Broker.
Имя коллекции RDCB	Имя коллекции Remote Desktop Connection Broker для Indeed PAM Gateway.
Использовать RDGW	Подключаться к Indeed PAM Gateway с использованием Remote Desktop Gateway.
Адрес RDGW	Адрес Remote Desktop Gateway для Indeed PAM Gateway.
Параметры Gateway RDP-файла	Эти параметры будут добавлены в настройки подключения RDP к PAM Gateway и заменят старые настройки.

RDP Proxy

В поле Адрес RDP Proxy введите IP-адрес или DNS-имя сервера с RDP Proxy. Укажите порт, иначе PAM использует порт по умолчанию.

Web Proxy

В поле Адрес Web Proxy введите IP-адрес или DNS-имя сервера с Web Proxy. Укажите порт, иначе PAM использует порт по умолчанию.

PostgreSQLProxy

В поле Адрес PostgreSQL Proxy введите IP-адрес или DNS-имя сервера с PostgreSQL Proxy. Укажите порт, иначе PAM использует порт по умолчанию.

MSSQL Proxy

В поле Адрес MSSQL Proxy введите IP-адрес или DNS-имя сервера с MSSQL Proxy. Укажите порт, иначе PAM использует порт по умолчанию.

Настройки SSH-подключений

Настройка	Описание
Адрес SSH Proxy	IP-адрес или DNS-имя сервера с SSH Proxy. Укажите порт, иначе будет использоваться порт по умолчанию. Порт по умолчанию: 2222
Аутентификация ресурсов по ключам SSH-сервера	Режим заполнения отпечатков ключей SSH-сервера. Подробную информацию можно прочитать в разделе режимы заполнения отпечатков.

Web-терминал

Активируйте Web-терминал с помощью опции Включить Web-терминал.
Web-терминал позволяет открывать SSH- и RDP-сессии в браузере без установки сторонних клиентов. Открыть сессию можно через консоль пользователя.

Syslog

Настройка	Описание
Syslog-сервер	IP-адрес или DNS сервера Syslog сервера.
Порт	Порт Syslog сервера.
Протокол	Сетевой протокол подключения к Syslog серверу: TCP, UDP.
Формат	Формат событий, используемый syslog сервером: CEF, LEEF.
Версия Syslog	IETF стандарт протокола Syslog: RFC3164, RFC5424.

Аутентификация пользователей

В этом разделе указываются глобальные настройки аутентификации. Точечная настройка аутентификации выполняется в разделе Политики.

Блокировка пользователей

Если пользователь несколько раз подряд введет неверный пароль или OTP, его учетная запись будет заблокирована на указанное время.

Настройка	Описание
Число попыток	При превышении числа попыток пользователь будет временно заблокирован. Значение 0 — блокировка не применяется.
Время блокировки	Определяет период времени, по истечении которого пользователь будет разблокирован и снова сможет вводить пароль или OTP.

Автоматический выход при бездействии

Параметр Период бездействия в интерфейсе MC/UC задает время, по истечении которого происходит автоматический выход из консолей пользователя и администратора. Настройка не влияет на пользовательские сессии к ресурсам.

Автоматический выход происходит, если пользователь:

• аутентифицирован в консоли пользователя и/или администратора через IDP;
• не совершал действий в любой вкладке браузера в течение заданного периода бездействия.

Задайте период бездействия от 0 до 480 минут, где 0 — отключение автоматического выхода.
Фоновые операции браузера, такие как обновление данных или проверка состояния системы, не считаются действиями пользователя.

Аутентификация по SSH-ключам

Включите опцию Разрешить пользователям подключаться к SSH Proxy с использованием SSH-ключей, чтобы пользователи могли подключаться к SSH Proxy без паролей, с помощью добавленных в Indeed PAM SSH-ключей. Необходимость вводить OTP сохраняется.
Если опция отключена, то пользователи могут аутентифицироваться только с помощью пароля.

Открытие сессий без повторной аутентификации

Настройка позволяет отключить повторную аутентификацию при запуске RDP-, SSH- и SQL-сессий. В строку подключения или RDP-файл добавляется код, использующийся для аутентификации пользователя без запроса пароля и второго фактора. Код действует один раз и ограниченное время.

Для сессий, открытых через Web Proxy, код аутентификации используется всегда.

Как задать количество кодов аутентификации

Количество кодов задается в конфигурационном файле компонента Indeed PAM IdP по пути:

• Windows: C:\inetpub\wwwroot\idp\appsettings.json
• Linux: /etc/indeed/indeed-pam/idp/appsettings.json

Задайте значение от 1 до 100 для параметра MaxAuthCodesPerUser:

"DirectoryMechanism": "Ldap",
"Authentication": "Local",
"UseDeveloperSigningCredential": false,
"MaxAuthCodesPerUser": 100,
"QaToolClientSecret": "secret"

Настройка	Описание
Разрешить открытие сессий без повторной аутентификации	Если опция включена, в строку подключения или RDP-файл добавляется одноразовый код аутентификации.
Срок действия кода аутентификации	Определяет время действия кода аутентификации. Если запустить сессию с истекшим кодом, пользователю потребуется ввести пароль и второй фактор. Значение по умолчанию: 60 секунд. Минимальное значение: 5 секунд. Максимальное значение: 300 секунд.

Требования к паролям внутренних пользователей

Настройка	Описание
Срок действия пароля	Минимальное значение: 0 — без ограничений. Значение по умолчанию: 45 дней. Максимальное значение: 999 дней.
Минимальная длина пароля	Минимальное значение: 4 символа. Значение по умолчанию: 8 символов. Максимальное значение: 255 символов.
Строчные буквы	Если опция включена, то пароль должен содержать минимум одну латинскую строчную букву.
Прописные буквы	Если опция включена, то пароль должен содержать минимум одну латинскую прописную букву.
Цифры	Если опция включена, то пароль должен содержать минимум одну цифру 0–9.
Специальные символы	Если опция включена, то пароль должен содержать минимум один спецсимвол из списка: ~!@#$%^&*()_-+={}|[] \:;"'<>,.?/

Пользовательское подключение

Предупреждение

Для работы с пользовательскими подключениями необходимы привилегии Управления пользовательскими подключениями (UserConnectionType.Create, UserConnectionType.Read, UserConnectionType.Update, UserConnectionType.Delete).

В Indeed PAM есть следующие встроенные типы пользовательских подключений:

• RDP
• SSH
• Telnet
• PostgreSQL
• MSSQL
• Web

Встроенные типы не могут быть изменены или удалены.

Также доступно добавление собственных типов пользовательских подключений.

Добавление собственных типов пользовательских подключений

Добавьте собственный тип пользовательского подключения и открывайте сессии в браузере без использования сторонних приложений.

Web-приложение

1. Перейдите в раздел Конфигурация → Пользовательское подключение.
2. Нажмите Добавить
3. Введите название пользовательского подключения.
4. Задайте формат логина или оставьте значение по умолчанию.
5. Выберите тип приложения Web-приложение и нажмите Вперед.
6. Выберите способ открытия сессии:
   • В браузере — сессия откроется в новой вкладке браузера.
     Доступ реализован через cервер доступа Web.
   • Через RDP — сессия откроется через скачанный RDP-файл.
     Выберите браузер и задайте опцию Запускать браузер в режиме киоска. Доступ реализован через публикацию выбранного браузера на сервере доступа RDS.
7. Нажмите Вперед.
8. Задайте опцию Автоматически заполнять формы входа учетными данными (SSO).
   Опция позволяет автоматически заполнить логин и пароль на целевом ресурсе с использованием данных привилегированной учетной записи. После включения опции загрузите SSO-шаблон в формате JSON для подключения через браузер, в формате XML — для RDP-файла.
9. Нажмите Создать.

Windows-приложение

Информация

Перед добавлением нового подключения требуется исследовать клиентское приложение и разработать шаблон для Indeed ESSO Agent. При возникновении трудностей обратитесь в службу поддержки Indeed.

1. Перейдите в раздел Конфигурация → Пользовательское подключение.
2. Нажмите Добавить
3. Введите название пользовательского подключения.
4. Задайте формат логина или оставьте значение по умолчанию.
5. Выберите тип приложения Windows-приложение и нажмите Вперед.
6. В поле Путь к исполняемому файлу укажите путь к Windows-приложению.
7. Заполните поле Аргументы командной строки и нажмите Вперед.
8. Задайте опцию Автоматически заполнять формы входа учетными данными (SSO).
   Опция позволяет автоматически заполнить логин и пароль на целевом ресурсе с использованием данных привилегированной учетной записи. После включения опции загрузите SSO-шаблон в формате XML.
9. Нажмите Создать.

Автоматическое заполнение учетных данных (SSO)

SSO (Single Sign-On) — метод, позволяющий пользователям аутентифицироваться на нескольких веб-ресурсах с одним набором учетных данных. Чтобы учетные данные заполнились автоматически, создайте SSO-шаблон — файл с данными формы входа.

Для пользовательского подключения со способом открытия сессии В браузере загрузите SSO-шаблон в формате JSON, для подключения Через RDP — в формате XML. Для настройки SSO-шаблона в формате XML обратитесь в техническую поддержку.

Пример SSO-шаблона находится в дистрибутиве PAM папке \indeed-pam-tools\sso-templates

Предупреждение

Учетные данные для аутентификации на веб-ресурсе должны совпадать с данными привилегированной учетной записи.

Структура SSO-шаблона в формате JSON

  {
    "username-field": "input[id='login']",
    "password-field": "input[id='password']",
    "submit": "button[type='submit']",
    "cannot-submit": "div[class='v-messages__message']"
  }

Чтобы автоматически аутентифицироваться на веб-ресурсе, измените значения CSS-селекторов:

• username-field — логин учетной записи, например: "input[data-marker='login-form/login/input']"
• password-field — пароль учетной записи, например: "input[type='password']"
• submit — кнопка входа, например: "button[data-marker='login-form/login-button']"
• cannot-submit — ошибка аутентификации, например: "div[data-marker='login-form/error']"

Как узнать название CSS-селектора

Откройте веб-ресурс в браузере и перейдите к форме аутентификации. Откройте Инструменты разработчика / DevTools и перейдите на вкладку Элементы / Elements. Найдите нужный CSS-селектор и подставьте значение в SSO-шаблон.

Сервисное подключение

Предупреждение

Для работы с сервисными подключениями необходимы привилегии Управления типами сервисных подключений: ServiceConnectionType.Create, ServiceConnectionType.Read, ServiceConnectionType.Update, ServiceConnectionType.Delete.

В Indeed PAM есть следующие встроенные типы сервисных подключений:

• Windows
• SSH
• Microsoft SQL Server
• MySQL
• PostgreSQL
• Oracle Database
• Cisco IOS
• Inspur BMC

Встроенные типы нельзя изменить или удалить.

Вы можете добавить собственные типы сервисных подключений.

Добавление собственных типов сервисных подключений

предупреждение

Если сервер управления вашей инсталляции PAM установлен на хосте с ОС Windows, то можно добавлять только коннекторы с шаблоном powershell.

Если сервер управления вашей инсталляции PAM установлен на хосте с ОС Linux, то можно добавлять только коннекторы с шаблоном bash.

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Нажмите Добавить тип сервисного подключения.
3. В открывшемся окне загрузите ZIP-архив с файлом коннектора.
4. Задайте Название сервисного подключения или используйте значение, загруженное из метаданных.
5. Если требуется, введите Описание сервисного подключения.
6. Нажмите Добавить, чтобы завершить добавление.

Подготовка файлов коннекторов

Чтобы подготовить ZIP-архив с файлом коннектора, используйте утилиту Connector Creation Tool.

Редактирование собственных типов сервисных подключений

Загрузить новый коннектор

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Нажмите Редактировать рядом с требуемым типом сервисного подключения.
3. Нажмите Скачать архив и выберите папку на компьютере для сохранения текущего ZIP-архива с файлом коннектора. Этот архив понадобится, чтобы восстановить предыдущее состояние сервисного подключения, если при загрузке нового архива возникнет ошибка.
4. Загрузите новый ZIP-архив с файлом коннектора.
5. Если требуется, отредактируйте Название и/или Описание.
6. Нажмите Сохранить, чтобы завершить редактирование.

Отредактировать название или описание

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Нажмите Редактировать рядом с требуемым типом сервисного подключения.
3. Отредактируйте Название и/или Описание.
4. Нажмите Сохранить, чтобы завершить редактирование.

Просмотр кода скрипта коннектора

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Нажмите Показать код скрипта рядом с требуемым типом сервисного подключения.

Удаление собственных типов сервисных подключений

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Нажмите Удалить рядом с требуемым типом сервисного подключения.

Примечание

Нельзя удалить тип сервисного подключения, если существует ресурс с таким типом.

Загрузка шаблона SSH-коннектора

Шаблон сервисных операций уникален для каждого дистрибутива *nix. В составе дистрибутива по пути IndeedPAM_3.3_RU\indeed-pam-tools\ssh-templates\ приложены шаблоны для перечисленных ниже дистрибутивов *nix.

Шаблоны SSH-коннекторов в составе дистрибутива Indeed PAM

• Alt
• Astra
• CentOS
• Debian
• FreeBSD
• Gentoo
• Oracle
• RedOS
• RHEL
• Rocky
• SLES
• Ubuntu

Чтобы добавить шаблон в Indeed PAM:

1. Откройте раздел Конфигурация → Сервисное подключение.
2. Внутри блока SSH нажмите Добавить.
3. Выберите файл с нужным вам шаблоном SSH-коннектора из дистрибутива по пути IndeedPAM_3.3_RU\indeed-pam-tools\ssh-templates\.

Для разработки другого шаблона обратитесь в службу технической поддержки.

Сетевые расположения

В разделе можно добавить сетевые расположения, чтобы разрешить подключение к ресурсам только с заданных сетевых адресов.

Чтобы добавить сетевое расположение:

1. Нажмите Добавить.
2. Введите Имя.
3. Добавьте Сетевые адреса ресурсов, которым требуется выдать ограниченное подключение.

Теги

В этом разделе отображаются все созданные теги. По умолчанию теги отсортированы по алфавиту в прямом порядке. Чтобы отсортировать их в обратном порядке, нажмите на заголовок таблицы, столбец Теги.

Чтобы создать тег:

1. Нажмите Создать.
2. Введите Имя тега. Оно может содержать от 2 до 50 символов и может состоять только из латиницы, кириллицы, цифр и спецсимволов. Имя тега должно быть уникально вне зависимости от регистра. Например, если у вас уже есть тег «Важно», то создать тег «важно» не удастся.
3. Выберите цвет.
4. Оставьте опцию Отображать тег в консоли пользователя (UC) включенной. Если выключить опцию, то тегом смогут пользоваться только администраторы PAM в MC.
5. Завершите добавление нажатием Сохранить.

Чтобы найти тег:

1. Введите имя тега в поисковой строке полностью или частично.
   В инсталляциях PAM на PostgreSQL поиск регистрозависимый. Например, если у вас есть тег «Важно», то он не отобразится при вводе в поисковой строке «важно» с маленькой буквы. В инсталляциях PAM на Microsoft SQL поиск регистронезависимый, то есть тег отобразится при вводе его названия и с прописной, и со строчной буквы.
2. Нажмите ENTER или .

Чтобы отредактировать тег:

1. Выберите тег в списке.
2. Нажмите Редактировать.
3. Внесите изменения. Есть возможность изменить имя тега, цвет и видимость тега в консоли пользователя.
4. Завершите редактирование нажатием Сохранить.

Чтобы удалить один или несколько тегов:

1. Выберите один или несколько тегов в списке.
2. Нажмите Удалить.
3. Подтвердите удаление нажатием Удалить во всплывающем окне.

Примечание

При удалении тег снимется со всех ресурсов, к которым был применен.

Мониторинг

Indeed PAM автоматически определяет неиспользуемые разрешения. Администратор может отозвать такие разрешения, чтобы минимизировать избыточные привилегии.

Настройка	Описание
Считать разрешение неиспользуемым, если им не пользовались более	Задает количество дней отсутствия активности по разрешению, при превышении которого разрешение считается неиспользуемым. Разрешение используется, если выполняются: успешный запуск сессии; просмотр или изменение учетных данных; проверка разрешения на использование pamsu.
Считать пользователя неактивным, если он не пользовался своими разрешениями более	Определяет период времени, по истечении которого пользователь считается неактивным.

Лицензии

В этом разделе отображаются данные по зарегистрированным, доступным и занятым лицензиям. Подробнее о лицензиях читайте в разделе Лицензирование.

Получить

1. Перейдите в раздел Конфигурация → Лицензии.
2. Скопируйте значение из поля ID инсталляции.
3. Передайте этот идентификатор инсталляции в техническую поддержку для выпуска файла лицензии.
4. Дождитесь от технической поддержки ответ с файлом лицензии вида PAM_гггг.мм.дд.lic.

Добавить

1. Перейдите в раздел Конфигурация → Лицензии.
2. Нажмите Добавить.
3. Выберите файл лицензии и нажмите Загрузить.

Удалить

1. Перейдите в раздел Конфигурация → Лицензии.
2. Выберите одну или несколько лицензий и нажмите Загрузить.