Установка и настройка клиентских компонентов
PamSu
Компонент PamSu позволяет пользователям Indeed PAM запускать команды с правами root, используя пароль своей собственной учетной записи пользователя Active Directory.
Установка выполняется вручную на Linux-ресурсах, где необходимо запускать команды с правами root.
Установка PamSu
Компоненты расположены в папке: ..PAM_2.10.0\indeed-pam-tools\pamsu\.
Установка утилиты PamSu выполняется на ресурсы ОС *nix.
Загрузите установочный пакет на ресурс и выполните команду:
Установка на Debian-based ОС
$ sudo dpkg -i Indeed.PAM.PamSu*.deb
Установка на RedHat-based ОС
$ sudo rpm -i Indeed.PAM.PamSu*.rpm
Настройка PamSu
На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:
$ curl https://pam.indeed-id.local
Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:
- idp_url — адрес idp
- core_url — адрес core
- log_path — путь к каталогу с файлами логов
- log_level — уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL
Set idp_url https://pam.indeed-id.local/pam/idp
Set core_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO
На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.
Для разрешения выполнения команды pamsu необходимо включить в политике, в разделе SSH опцию Разрешить выполнять pamsu.
Indeed PAM Agent
Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.
При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.
После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.
Indeed PAM Desktop Console
Настройка Indeed Pam Desktop Console для доменных машин
- Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions
- На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console)
- Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
- Включите и настроите PAM connection settings (Настройки подключения с PAM)
- Обновить групповые политики на клиентском ПК
Настройка для машин, к которым не применяются доменные политики
- Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions
- Запустите редактор локальной групповой политики gpedit.msc
- Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие)
- Включите и настроите PAM connection settings (Настройки подключения с PAM)
Настройка записи событий в Syslog
- Windows
- Linux
Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте ее в Pam.Syslog.config, затем отредактируйте
<Settings> … </Settings>в соответствии с настройками ниже:- HostName — имя Syslog-сервера
- Port — порт Syslog-сервера
- Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP
- Format — формат логов: Plain, CEF, LEEF
- SyslogVersion — спецификация протокола: RFC3164, RFC5424
C:\inetpub\wwwroot\ls\targetConfigs<Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию
pamдля работы с файлом Pam.Syslog.config — добавьте новыйTargetIdдляWriteTarget:C:\inetpub\wwwroot\ls\clientApps.config<Application Id="pam" SchemaId="Pam.Schema">
<ReadTargetId>Pam.TargetDb</ReadTargetId>
<WriteTargets>
<TargetId>Pam.TargetDb</TargetId>
<TargetId>Pam.Syslog</TargetId>
</WriteTargets>
<AccessControl>
<!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />-->
</AccessControl>
</Application>Далее в этом же файле в секции
Targetsдобавьте новый элемент:C:\inetpub\wwwroot\ls\clientApps.config<Targets>
...
<Target Id="Pam.TargetDb" Type="mssql"/>
<Target Id="Pam.Syslog" Type="syslog"/>
</Targets>В
Target Id="Pam.TargetDb"пропишитеTypeв зависимости от используемой БД:mssqlилиpgsql.
Перейдите в каталог /etc/indeed/indeed-pam/ls/targets, отредактируйте
<Settings> … </Settings>в файле Pam.Syslog.config в соответствии с настройками ниже:- HostName — имя Syslog-сервера
- Port — порт Syslog-сервера
- Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP
- Format — формат логов: Plain, CEF, LEEF
- SyslogVersion — спецификация протокола: RFC3164, RFC5424
/etc/indeed/indeed-pam/ls/targets<Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164"/>В файле /etc/indeed/indeed-pam/ls/clientApps.config отредактируйте секцию
pamдля работы с файлом Pam.Syslog.config — добавьте новыйTargetIdдляWriteTarget:/etc/indeed/indeed-pam/ls/clientApps.config<Application Id="pam" SchemaId="Pam.Schema">
<ReadTargetId>Pam.DbTarget</ReadTargetId>
<WriteTargets>
<TargetId>Pam.DbTarget</TargetId>
<TargetId>Pam.Syslog</TargetId>
</WriteTargets>
<AccessControl>
<!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read"/>-->
</AccessControl>
</Application>Далее в этом же файле в секции
Targetsдобавьте новый элемент:/etc/indeed/indeed-pam/ls/clientApps.config<Targets>
...
<Target Id="Pam.DbTarget" Type="mssql"/>
<Target Id="Pam.Syslog" Type="syslog"/>
</Targets>В
Target Id="Pam.DbTarget"пропишитеTypeв зависимости от используемой БД:mssqlилиpgsql.