Настройка политик
Управление политиками
Раздел содержит список политик, расположенных по приоритету применения.
Для политик отображаются данные:
- Приоритет — число, указывающее порядок применения конкретной политики по отношению к остальным. Нулевой приоритет соответствует политике по умолчанию (Default policy) и применяется в самую последнюю очередь. Чем выше расположена политика, тем выше ее приоритет и наоборот.
- Имя — название политики.
- Описание — произвольный текст.
- — количество пользователей, на которых действует политика.
- — количество учетных записей, на которые действует политика.
- — количество ресурсов, на которые действует политика.
- — количество доменов, на которые действует политика.
Политика по умолчанию содержит набор параметров для всех доступных категорий и применяется ко всем новым объектам, поэтому целесообразно начать настройку с нее.
Политика по умолчанию применяется и к сессиям, открытым от имени пользовательских учетных записей, если к данным пользователям явно не применены другие политики.
Откройте страницу политики, задайте нужные параметры для категорий Учетные записи, Сессии, RDP, и сохраните настройки.
Добавление новой политики
Для добавления, просмотра, редактирования и удаления политик необходимы соответствующие привилегии из раздела Управление политиками (Policy.Create, Policy.Read, Policy.Update, Policy.Delete).
Нажмите Добавить в разделе Политики,заполните поля Имя политики, Описание и Приоритет. Новая политика отобразится в списке.
Общая информация
Откройте страницу политики, ознакомьтесь с общей информацией, при необходимости внесите правки в Имя, Описание или Приоритет, нажав значок карандаша
- Имя — название политики, устанавливается при создании новой политики, может быть изменено в любой момент эксплуатации.
- Описание — необязательное поле.
- Приоритет — числовое значение приоритета политики. Нулевой приоритет - минимальный, применяется к объектам в последнюю очередь.
- Создал — имя администратора Indeed PAM.
- Дата создания — дата и время создания политики.
- Изменил — имя администратора Indeed PAM, который сохранил настройки политики.
- Дата изменения — дата и время сохранения настроек политики.
Для редактирования Имени, Описания и Приоритета нажмите .
Разделы политики
Перейдите в Разделы политики и отметьте разделы, параметры которых будут определены политикой, сохраните изменения. Соответствующие разделы станут доступными для настройки параметров.
Для неотмеченных разделов будут применяться другие политики по порядку их приоритета.
Область действия
Для назначения политик необходимы соответствующие привилегии (Account.SetPolicy, User.SetPolicy, Resource.SetPolicy, Domain.SetPolicy).
Содержит данные о том, к каким пользователям, учетным записям, ресурсам или доменам применена политика.
Чтобы применить политику к объекту, нажмите Добавить, выберите тип объекта для установки политики и далее сами объекты.
Чтобы отменить действие политики для объектов, выберите нужные объекты и нажмите Удалить.
Создание копии политики
Отметьте одну политику в разделе Политики и нажмите Создать копию, заполните поля Имя политики, Описание и Приоритет.
Скопированная политика отобразится в списке.
Удаление политики
Перед удалением политики убедитесь, что она не применяется ни к каким объектам.
Отметьте нужные политики в разделе Политики и нажмите Удалить.
Политика Default policy недоступна для удаления.
Изменение приоритета политики
Отметьте галочкой одну политику в разделе Политики, нажмите Задать приоритет и введите число для значения приоритета политики.
Также изменить приоритет можно открыв нужную политику и в разделе Общая информация нажать значок карандаша рядом со значением приоритета.
Разделы политик
Учетные записи
Показ учетных данных
Опция | Описание | |
---|---|---|
Сбрасывать пароль и SSH ключ учетной записи после показа | Если опция включена, то пароль и SSH ключ привилегированной учетной записи будет сбрасываться каждый раз после просмотра пользователем в своем личном кабинете (консоли пользователя). | |
Сбрасывать пароль и SSH ключ через Х мин. | После просмотра пароль и SSH ключ будет сброшены на случайное значение через указанное количествоминут. | |
Требовать указать причину просмотра пароля и SSH ключа | Если опция включена, то пользователь каталога должен указать причину перед просмотром пароля или SSH ключа учетной записи доступа. | |
Просмотр пароля и SSH ключа требует подтверждения администратором PAM | Если опция включена, то перед каждым просмотром пользователем учетных данных администратор PAM должен подтвердить операцию. | |
Время ожидания подтверждения просмотра пароля и SSH ключа, мин. | Таймаут ожидания подтверждения просмотра пароля и SSH ключа, от 1 до 180 минут. | |
Шифровать SSH ключ сгенерированным паролем перед показом пользователю | Если опция включена, то SSH ключ будет показан в зашифрованном виде, а сгенерированный пароль шифрования - в скрытом. Ключ и пароль шифрования генерируется средствами PAM при просмотре данных каждый раз заново. |
Задание учетных данных
Опция | Описание |
---|---|
Разрешить пользователям PAM задавать учетные данные для учетных записей, если они не заданы | Если опция включена, то когда пользователь попытается подключиться к ресурсу от имени учетной записи с незаданным паролем, то ему будет предложено задать пароль этой учетной записи в PAM системе. |
Проверка и смена учетных данных
Опция | Описание |
---|---|
Синхронизировать ресурсы и УЗ по расписанию | Если опция включена, то будет выполняться автоматический поиск данных о ресурсах и учетных записей доступа. |
Синхронизировать ресурсы и УЗ раз в Х дней | Автоматический поиск данных о ресурсах и учетных записях доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 дней |
Периодически проверять пароль и SSH ключ учетной записи | Если опция включена, то будет выполняться автоматическая проверка паролей и SSH-ключей для учетных записей доступа. |
Проверять пароль и SSH ключ раз в Х дней | Автоматическая проверка паролей и SSH-ключей учетных записей доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 дней. |
Сбрасывать пароль и SSH ключ если обнаружено несовпадение | Если опция включена, то будет выполняться автоматический сброс паролей и ключей при расхождении в PAM и на ресурсах. |
Удалять SSH ключи, не управляемые PAM | Если в PAM нет SSH ключа для добавленной учетной записи, а на ресурсе есть, то с ресурса все обнаруженные ключи будут удалены. |
Проверять пароль и SSH ключ при ручной установке | Если опция включена, то при установке или изменении пароля, или SSH-ключа будет выполняться их проверка. |
Периодически изменять пароль и SSH ключ учетной записи | Если опция включена, то для учетных записей доступа будет автоматически изменяться пароль или SSH-ключ на случайное значение. |
Изменять пароль и SSH ключ учетной записи раз в Х дней | Автоматическое изменение пароля или SSH-ключа для учетных записей доступа будет выполняться один раз в указанное количество дней. |
Требования к паролю
Опция | Описание |
---|---|
Длина генерируемого пароля | Общее количество символов для автоматически генерируемых паролей и вводимых вручную. |
Минимальная длина пароля (ручной ввод) | Минимальное количество символов при ручном изменении пароля. |
Латинские строчные буквы | Если опция включена, то автоматически генерируемые пароли будут состоять из латинских строчных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую строчную букву. |
Латинские прописные буквы | Если опция включена, то автоматически генерируемые пароли будут состоять из латинских прописных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую прописную букву. |
Цифры | Если опция включена, то автоматически генерируемые пароли будут состоять из цифр. При комбинации с другими настройками пароль будет содержать минимум одну цифру. |
Специальные символы | Если опция включена, то автоматически генерируемые пароли будут состоять из специальных символов. При комбинации с другими настройками пароль будет содержать минимум один специальный символ. |
Сессии
Общее
Опция | Описание |
---|---|
Требовать указать причину подключения | Если опция включена, то при подключении к конечному ресурсу, пользователь обязан указать причину запуска сессии. |
Максимальная длительность сессии | Опция задействует предел длительности сессии в часах и минутах, после истечения которого сессия будет принудительно завершена. |
Включить эксклюзивное использование учетной записи | Если опция включена, то учетная запись может быть использована только в одной активной сессии одновременно. |
Открытие сессии требует подтверждения администратора PAM | Если опция включена, то для каждой открываемой сессии необходимо ручное подтверждение администратора PAM. |
Время ожидания подтверждения сессии | Таймаут для подтверждения администратором PAM, в интервале от 1 до 180 минут. |
Сбрасывать пароль и SSH ключ по завершении сессии | Сброс пароля и SSH ключа после каждой сессии. |
Артефакты
Опция | Описание |
---|---|
Сохранять текстовые логи сессии | Если опция включена, то после завершения сессии будет доступен для просмотра и скачивания текстовый лог. Поддерживается только в сессиях на Windows ресурсах при наличии PAM агента и в SSH сессиях. |
Сохранять видео сессии | Если опция включена, то после завершения сессии будет доступна для просмотра и скачивания запись потокового видео. Поддерживается только при открытии сессий через PAM Gateway. |
Количество кадров в секунду | Настройка определяет частоту кадров для записи потокового видео, от 1 до 10. |
Разрешение видео | Настройка позволяет установить разрешение для записи потокового видео. |
Ротация видео | Если опция включена, то записи потокового видео будут автоматически удаляться. |
Удалять видео сессии старше Х дней | Автоматическое удаление записи потокового видео старше указанного количества дней, от 1 до 10000. |
Сохранять снимки экрана | Если опция включена, то снимки экрана сессии будут сохраняться. Поддерживается только при открытии сессий через PAM Gateway. |
Интервал снимков, сек | Сохранение снимка экрана через указанной количество секунд, от 60 до 10000. |
Разрешение изображения | Настройка позволяет установить разрешение снимка экрана. |
Ротация снимков экрана | Если опция включена, то снимки экрана будут автоматически удаляться. |
Удалять снимки экрана старше Х дней | Автоматическое удаление снимков экрана старше указанного количества дней. |
Сохранять переданные файлы | Если опция включена, то файлы при передаче с локальной машины на ресурс будут дублироваться в указанную сетевую папку. Поддерживается только для Windows ресурсов с включенным пробросом дисков (про раздел RDP - ниже). |
Ротация переданных файлов | Если опция включена, то переданные файлы будут автоматически удаляться. |
Удалять переданные файлы старше Х дней | Автоматическое удаление файлов старше указанного количества дней, от 1 до 10000. |
Отправка текстового лога по syslog
Опция | Описание |
---|---|
Ключевые слова | По syslog будут отправлены строки текстового лога, в которых будут найдены указанные ключевые слова. Ключевое слово может быть регулярным выражением. |
Gateway и SSH Proxy
Опция | Описание |
---|---|
Переопределить настройки подключения к Gateway | Если опция включена, то следующие настройки будут использованы вместо указанных в разделе Конфигурация |
Адрес RDCB | IP адрес/DNS имя Remote Desktop Connection Broker |
Имя коллекции RDCB | Имя коллекции Remote Desktop Connection Broker для Indeed PAM Gateway |
Использовать RDGW | Подключаться к Indeed PAM Gateway с использованием Remote Desktop Gateway |
Адрес RDGW | Адрес Remote Desktop Gateway для Indeed PAM Gateway |
Параметры Gateway RDP файла | Параметры будут добавлены в настройки подключения по RDP к PAM Gateway и заменят старые настройки. |
Переопределить настройки SSH Proxy | Если опция включена, то следующая настройка будет использована вместо указанной в разделе Конфигурация |
Адрес SSH Proxy | IP адрес или DNS имя и порт (необязательно). |
RDP
Настройки применяются только при подключении к серверам по протоколу RDP.
Опция | Описание |
---|---|
Принтеры | Если опция включена, то пользователь получит возможность пробросить принтер со своего рабочего места на конечный ресурс. |
Буфер обмена | Если опция включена, то пользователь получит возможность использовать буфер обмена между своим рабочим местом и конечным ресурсом. |
Смарт-карты | Если опция включена, то пользователь получит возможность пробросить смарт-карту со своего рабочего места на конечный ресурс. |
Порты | Если опция включена, то пользователь получит возможность пробросить COM-порты со своего рабочего места на конечный ресурс. |
Диски | Если опция включена, то пользователь получит возможность пробросить локальные диски со своего рабочего места на конечный ресурс. |
Параметры RDP файла | Параметры, которые будут добавлены в настройки подключения RDP и заменят старые настройки. |
SSH
Повышение привилегий
Опция | Описание |
---|---|
Разрешить выполнять pamsu | Поддержка выполнения команд с привилегиями root в SSH-сессиях на ресурсах с установленным компонентом PamSu. |
Разрешение, выданное на выполнение pamsu при создании разрешения, приоритетнее, чем настройка в политике.
Разрешенные и запрещенные команды
Опция | Описание |
---|---|
Приглашение оболочки (prompt) | Регулярное выражение приглашения оболочки для корректного распознавания ввода команд. |
Реакция на запрещенную команду | Поведение терминала в ответ на запрещенную команду: CTRL+C (отмена выполнения) либо завершение сессии. |
SSH-команды | Список разрешенных или запрещенных для выполнения команд в SSH-сессии. |
Для составления списка контролируемых команд:
- Справа от параметра SSH-команды нажмите Добавить.
- Введите команду или регулярное выражение.
- Выберите состояние Разрешена либо Запрещена.
Запрет на выполнение команд имеет приоритет над разрешением.
Без явного разрешения команды будут считаться запрещенными, поэтому не рекомендуется удалять последнее правило, разрешающее выполнение команд.
Для разрешения либо запрета сразу нескольких команд отметьте их флажками и нажмите Разрешить или Запретить.
При работе со списком команд, а также при попытках выполнения запрещенной команды в журнале фиксируются соответствующие события.
Передача данных
Опция | Описание |
---|---|
SCP | Параметр передачи файлов по протоколу SCP |
SFTP | Параметр передачи файлов по протоколу SFTP |
Максимальный размер файла, МБ | Файл большего размера не удастся передать. |