Skip to main content
Version: Privileged Access Manager 2.9

Настройка политик

Управление политиками

Раздел содержит список политик, расположенных по приоритету применения.

Для политик отображаются данные:

  • Приоритет — число, указывающее порядок применения конкретной политики по отношению к остальным. Нулевой приоритет соответствует политике по умолчанию (Default policy) и применяется в самую последнюю очередь. Чем выше расположена политика, тем выше ее приоритет и наоборот.
  • Имя — название политики.
  • Описание — произвольный текст.
  • — количество пользователей, на которых действует политика.
  •  — количество учетных записей, на которые действует политика.
  •  — количество ресурсов, на которые действует политика.
  • — количество доменов, на которые действует политика.

Политика по умолчанию содержит набор параметров для всех доступных категорий и применяется ко всем новым объектам, поэтому целесообразно начать настройку с нее.

note

Политика по умолчанию применяется и к сессиям, открытым от имени пользовательских учетных записей, если к данным пользователям явно не применены другие политики.

Откройте страницу политики, задайте нужные параметры для категорий Учетные записи, Сессии, RDP, и сохраните настройки.

Добавление новой политики

caution

Для добавления, просмотра, редактирования и удаления политик необходимы соответствующие привилегии из раздела Управление политиками (Policy.Create, Policy.Read, Policy.Update, Policy.Delete).

Нажмите Добавить в разделе Политики,заполните поля Имя политикиОписание и Приоритет. Новая политика отобразится в списке.

Общая информация

Откройте страницу политики, ознакомьтесь с общей информацией, при необходимости внесите правки в Имя, Описание или Приоритет, нажав значок карандаша

  • Имя — название политики, устанавливается при создании новой политики, может быть изменено в любой момент эксплуатации.
  • Описание — необязательное поле.
  • Приоритет — числовое значение приоритета политики. Нулевой приоритет - минимальный, применяется к объектам в последнюю очередь.
  • Создал — имя администратора Indeed PAM.
  • Дата создания — дата и время создания политики.
  • Изменил — имя администратора Indeed PAM, который сохранил настройки политики.
  • Дата изменения — дата и время сохранения настроек политики.

Для редактирования ИмениОписания и Приоритета нажмите .

Разделы политики

Перейдите в Разделы политики и отметьте разделы, параметры которых будут определены политикой, сохраните изменения. Соответствующие разделы станут доступными для настройки параметров.

note

Для неотмеченных разделов будут применяться другие политики по порядку их приоритета.

Область действия

caution

Для назначения политик необходимы соответствующие привилегии (Account.SetPolicy, User.SetPolicy, Resource.SetPolicy, Domain.SetPolicy).

Содержит данные о том, к каким пользователям, учетным записям, ресурсам или доменам применена политика.

Чтобы применить политику к объекту, нажмите Добавить, выберите тип объекта для установки политики и далее сами объекты.

Чтобы отменить действие политики для объектов, выберите нужные объекты и нажмите Удалить.

Создание копии политики

Отметьте одну политику в разделе Политики и нажмите Создать копию, заполните поля Имя политикиОписание и Приоритет.
Скопированная политика отобразится в списке.

Удаление политики

Перед удалением политики убедитесь, что она не применяется ни к каким объектам.

Отметьте нужные политики в разделе Политики и нажмите Удалить.

note

Политика Default policy недоступна для удаления.

Изменение приоритета политики

Отметьте галочкой одну политику в разделе Политики, нажмите Задать приоритет и введите число для значения приоритета политики. 

Также изменить приоритет можно открыв нужную политику и в разделе Общая информация нажать значок карандаша рядом со значением приоритета.

Разделы политик

Учетные записи

Показ учетных данных

ОпцияОписание
Сбрасывать пароль и SSH ключ учетной записи после показаЕсли опция включена, то пароль и SSH ключ привилегированной учетной записи будет сбрасываться каждый раз после просмотра пользователем в своем личном кабинете (консоли пользователя).
Сбрасывать пароль и SSH ключ через Х мин.После просмотра пароль и SSH ключ будет сброшены на случайное значение через указанное количествоминут.
Требовать указать причину просмотра пароля и SSH ключаЕсли опция включена, то пользователь каталога должен указать причину перед просмотром пароля или SSH ключа учетной записи доступа.
Просмотр пароля и SSH ключа требует подтверждения администратором PAMЕсли опция включена, то перед каждым просмотром пользователем учетных данных администратор PAM должен подтвердить операцию.
Время ожидания подтверждения просмотра пароля и SSH ключа, мин.Таймаут ожидания подтверждения просмотра пароля и SSH ключа, от 1 до 180 минут.
Шифровать SSH ключ сгенерированным паролем перед показом пользователюЕсли опция включена, то SSH ключ будет показан в зашифрованном виде, а сгенерированный пароль шифрования - в скрытом. Ключ и пароль шифрования генерируется средствами PAM при просмотре данных каждый раз заново.

Задание учетных данных

ОпцияОписание
Разрешить пользователям PAM задавать учетные данные для учетных записей, если они не заданыЕсли опция включена, то когда пользователь попытается подключиться к ресурсу от имени учетной записи с незаданным паролем, то ему будет предложено задать пароль этой учетной записи в PAM системе.

Проверка и смена учетных данных

ОпцияОписание
Синхронизировать ресурсы и УЗ по расписаниюЕсли опция включена, то будет выполняться автоматический поиск данных о ресурсах и учетных записей доступа.
Синхронизировать ресурсы и УЗ раз в Х днейАвтоматический поиск данных о ресурсах и учетных записях доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 дней
Периодически проверять пароль и SSH ключ учетной записиЕсли опция включена, то будет выполняться автоматическая проверка паролей и SSH-ключей для учетных записей доступа.
Проверять пароль и SSH ключ раз в Х днейАвтоматическая проверка паролей и SSH-ключей учетных записей доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 дней.
Сбрасывать пароль и SSH ключ если обнаружено несовпадениеЕсли опция включена, то будет выполняться автоматический сброс паролей и ключей при расхождении в PAM и на ресурсах.
Удалять SSH ключи, не управляемые PAMЕсли в PAM нет SSH ключа для добавленной учетной записи, а на ресурсе есть, то с ресурса все обнаруженные ключи будут удалены.
Проверять пароль и SSH ключ при ручной установкеЕсли опция включена, то при установке или изменении пароля, или SSH-ключа будет выполняться их проверка.
Периодически изменять пароль и SSH ключ учетной записиЕсли опция включена, то для учетных записей доступа будет автоматически изменяться пароль или SSH-ключ на случайное значение.
Изменять пароль и SSH ключ учетной записи раз в Х днейАвтоматическое изменение пароля или SSH-ключа для учетных записей доступа будет выполняться один раз в указанное количество дней.

Требования к паролю

ОпцияОписание
Длина генерируемого пароляОбщее количество символов для автоматически генерируемых паролей и вводимых вручную.
Минимальная длина пароля (ручной ввод)Минимальное количество символов при ручном изменении пароля.
Латинские строчные буквыЕсли опция включена, то автоматически генерируемые пароли будут состоять из латинских строчных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую строчную букву.
Латинские прописные буквыЕсли опция включена, то автоматически генерируемые пароли будут состоять из латинских прописных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую прописную букву.
ЦифрыЕсли опция включена, то автоматически генерируемые пароли будут состоять из цифр. При комбинации с другими настройками пароль будет содержать минимум одну цифру.
Специальные символыЕсли опция включена, то автоматически генерируемые пароли будут состоять из специальных символов. При комбинации с другими настройками пароль будет содержать минимум один специальный символ.

Сессии

Общее

ОпцияОписание
Требовать указать причину подключенияЕсли опция включена, то при подключении к конечному ресурсу, пользователь обязан указать причину запуска сессии.
Максимальная длительность сессииОпция задействует предел длительности сессии в часах и минутах, после истечения которого сессия будет принудительно завершена.
Включить эксклюзивное использование учетной записиЕсли опция включена, то учетная запись может быть использована только в одной активной сессии одновременно.
Открытие сессии требует подтверждения администратора PAMЕсли опция включена, то для каждой открываемой сессии необходимо ручное подтверждение администратора PAM.
Время ожидания подтверждения сессииТаймаут для подтверждения администратором PAM, в интервале от 1 до 180 минут.
Сбрасывать пароль и SSH ключ по завершении сессииСброс пароля и SSH ключа после каждой сессии.

Артефакты

ОпцияОписание
Сохранять текстовые логи сессииЕсли опция включена, то после завершения сессии будет доступен для просмотра и скачивания текстовый лог. Поддерживается только в сессиях на Windows ресурсах при наличии PAM агента и в SSH сессиях.
Сохранять видео сессииЕсли опция включена, то после завершения сессии будет доступна для просмотра и скачивания запись потокового видео. Поддерживается только при открытии сессий через PAM Gateway.
Количество кадров в секундуНастройка определяет частоту кадров для записи потокового видео, от 1 до 10.
Разрешение видеоНастройка позволяет установить разрешение для записи потокового видео.
Ротация видеоЕсли опция включена, то записи потокового видео будут автоматически удаляться.
Удалять видео сессии старше Х днейАвтоматическое удаление записи потокового видео старше указанного количества дней, от 1 до 10000.
Сохранять снимки экранаЕсли опция включена, то снимки экрана сессии будут сохраняться. Поддерживается только при открытии сессий через PAM Gateway.
Интервал снимков, секСохранение снимка экрана через указанной количество секунд, от 60 до 10000.
Разрешение изображенияНастройка позволяет установить разрешение снимка экрана.
Ротация снимков экранаЕсли опция включена, то снимки экрана будут автоматически удаляться.
Удалять снимки экрана старше Х днейАвтоматическое удаление снимков экрана старше указанного количества дней.
Сохранять переданные файлыЕсли опция включена, то файлы при передаче с локальной машины на ресурс будут дублироваться в указанную сетевую папку. Поддерживается только для Windows ресурсов с включенным пробросом дисков (про раздел RDP - ниже).
Ротация переданных файловЕсли опция включена, то переданные файлы будут автоматически удаляться.
Удалять переданные файлы старше Х днейАвтоматическое удаление файлов старше указанного количества дней, от 1 до 10000.

Отправка текстового лога по syslog

ОпцияОписание
Ключевые словаПо syslog будут отправлены строки текстового лога, в которых будут найдены указанные ключевые слова. Ключевое слово может быть регулярным выражением.

Gateway и SSH Proxy

ОпцияОписание
Переопределить настройки подключения к GatewayЕсли опция включена, то следующие настройки будут использованы вместо указанных в разделе Конфигурация
Адрес RDCBIP адрес/DNS имя Remote Desktop Connection Broker
Имя коллекции RDCBИмя коллекции Remote Desktop Connection Broker для Indeed PAM Gateway
Использовать RDGWПодключаться к Indeed PAM Gateway с использованием Remote Desktop Gateway
Адрес RDGWАдрес Remote Desktop Gateway для Indeed PAM Gateway
Параметры Gateway RDP файлаПараметры будут добавлены в настройки подключения по RDP к PAM Gateway и заменят старые настройки.
Переопределить настройки SSH ProxyЕсли опция включена, то следующая настройка будет использована вместо указанной в разделе Конфигурация
Адрес SSH ProxyIP адрес или DNS имя и порт (необязательно).

RDP

note

Настройки применяются только при подключении к серверам по протоколу RDP.

ОпцияОписание
ПринтерыЕсли опция включена, то пользователь получит возможность пробросить принтер со своего рабочего места на конечный ресурс.
Буфер обменаЕсли опция включена, то пользователь получит возможность использовать буфер обмена между своим рабочим местом и конечным ресурсом.
Смарт-картыЕсли опция включена, то пользователь получит возможность пробросить смарт-карту со своего рабочего места на конечный ресурс.
ПортыЕсли опция включена, то пользователь получит возможность пробросить COM-порты со своего рабочего места на конечный ресурс.
ДискиЕсли опция включена, то пользователь получит возможность пробросить локальные диски со своего рабочего места на конечный ресурс.
Параметры RDP файлаПараметры, которые будут добавлены в настройки подключения RDP и заменят старые настройки.

SSH

Повышение привилегий

ОпцияОписание
Разрешить выполнять pamsuПоддержка выполнения команд с привилегиями root в SSH-сессиях на ресурсах с установленным компонентом PamSu.
Информация

Разрешение, выданное на выполнение pamsu при создании разрешения, приоритетнее, чем настройка в политике.

Разрешенные и запрещенные команды

ОпцияОписание
Приглашение оболочки (prompt)Регулярное выражение приглашения оболочки для корректного распознавания ввода команд.
Реакция на запрещенную командуПоведение терминала в ответ на запрещенную команду: CTRL+C (отмена выполнения) либо завершение сессии.
SSH-командыСписок разрешенных или запрещенных для выполнения команд в SSH-сессии.

Для составления списка контролируемых команд:

  1. Справа от параметра SSH-команды нажмите Добавить.
  2. Введите команду или регулярное выражение.
  3. Выберите состояние Разрешена либо Запрещена.
Информация

Запрет на выполнение команд имеет приоритет над разрешением.

Без явного разрешения команды будут считаться запрещенными, поэтому не рекомендуется удалять последнее правило, разрешающее выполнение команд.

Для разрешения либо запрета сразу нескольких команд отметьте их флажками и нажмите Разрешить или Запретить.

При работе со списком команд, а также при попытках выполнения запрещенной команды в журнале фиксируются соответствующие события.

Передача данных

ОпцияОписание
SCPПараметр передачи файлов по протоколу SCP
SFTPПараметр передачи файлов по протоколу SFTP
Максимальный размер файла, МБФайл большего размера не удастся передать.