Skip to main content
Version: Privileged Access Manager 2.10

Установка и настройка клиентских компонентов

PamSu

Компонент PamSu позволяет пользователям Indeed PAM запускать команды с правами root, используя пароль своей собственной учетной записи пользователя cлужбы каталогов.

Установка выполняется вручную на Linux-ресурсах, где требуется запускать команды с правами root.

Установка PamSu

Компоненты расположены в папке: ..PAM_2.10.0\indeed-pam-tools\pamsu\.

note

Установка утилиты PamSu выполняется на ресурсы ОС *nix.

Загрузите установочный пакет на ресурс и выполните команду:

Установка на Debian-based ОС

$ sudo dpkg -i Indeed.PAM.PamSu*.deb

Установка на RedHat-based ОС

$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе требуется настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки idp_url, api_url, log_path и log_level:

  • idp_url — адрес idp;
  • core_url — адрес core;
  • log_path — путь к каталогу с файлами логов;
  • log_level — уровень логирования, может принимать значения: INFO, WARN, ERROR, FATAL.
Set idp_url https://pam.indeed-id.local/pam/idp
Set core_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

note

Для разрешения выполнения команды pamsu требуется включить в политике, в разделе SSH опцию Разрешить выполнять pamsu.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

caution

При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин

  1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions.
  2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console).
  3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
  4. Включите и настройте PAM connection settings (Настройки подключения с PAM). Укажите следующие URL: https://<ваш_FQDN>/core и https://<ваш_FQDN>/idp.
  5. Обновите групповые политики на клиентском ПК.

Настройка для машин, к которым не применяются доменные политики

  1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions.
  2. Запустите редактор локальной групповой политики gpedit.msc.
  3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
  4. Включите и настройте PAM connection settings (Настройки подключения с PAM). Укажите следующие URL: https://<ваш_FQDN>/core и https://<ваш_FQDN>/idp.

Настройка записи событий в Syslog

  1. Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте ее в Pam.Syslog.config, затем отредактируйте <Settings> … </Settings> в соответствии с настройками ниже:

    • HostName — имя Syslog-сервера;
    • Port — порт Syslog-сервера;
    • Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP;
    • Format — формат логов: Plain, CEF, LEEF;
    • SyslogVersion — спецификация протокола: RFC3164, RFC5424.

    C:\inetpub\wwwroot\ls\targetConfigs
    <Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />

  2. В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию pam для работы с файлом Pam.Syslog.config — добавьте новый TargetId для WriteTarget:

    C:\inetpub\wwwroot\ls\clientApps.config
    <Application Id="pam" SchemaId="Pam.Schema">
      <ReadTargetId>Pam.TargetDb</ReadTargetId>
      <WriteTargets>
        <TargetId>Pam.TargetDb</TargetId>
        <TargetId>Pam.Syslog</TargetId>
      </WriteTargets>
      <AccessControl>
        <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />-->
      </AccessControl>
    </Application>

  3. Далее в этом же файле в секции Targets добавьте новый элемент:

    C:\inetpub\wwwroot\ls\clientApps.config
    <Targets>
      ...
      <Target Id="Pam.TargetDb" Type="mssql"/>
      <Target Id="Pam.Syslog" Type="syslog"/>
    </Targets>

    В Target Id="Pam.TargetDb" пропишите Type в зависимости от используемой БД: mssql или pgsql.