Создание разрешений
Разрешения дают право на открытие сессий для пользователей каталога.
Для работы с разрешениями необходимы привилегии Управления разрешениями (Permission.Create, Permission.Read, Permission.Revoke, Permission.Suspend).
- Нажмите Создать в разделе Разрешения.
Если необходимо выдать разрешение на группу пользователей, то нужно перейти в раздел Группы пользователей, выбрать группу и нажать Добавить разрешение.
Подразделение
Выберите, в каком из подразделений находится ресурс.
Данный пункт не будет отображаться при создании разрешения локальным администратором конкретного подразделения.
Пользователь
Для разрешения можно использовать любого пользователя Active Directory, который является членом каталога пользователей.
- Введите Имя, Фамилию, Номер телефона или Email полностью или частично.
- Выберите одного или нескольких пользователей.
Ресурс
Для разрешения можно использовать любой добавленный в Indeed PAM ресурс.
- Введите Имя ресурса или Адрес (DNS адрес/IP адрес) полностью или частично.
- Выберите один или несколько ресурсов.
Если выбрано более одного ресурса, то для доступа к ним нужно будет последовательно указать учетные записи доступа.
Учётная запись
Для доступа на ресурс могут быть использованы локальная, доменная или личная учётная запись пользователя.
Выбор доменной или локальной учётной записи
- Введите Имя учётной записи полностью или частично.
- Выберите учётную запись.
Выбор личной учётной записи пользователя
- Нажмите Продолжить с пользовательской УЗ на странице Выберите учётную запись.
Ограничения времени
Для разрешения можно задать период действия — дату и время начала, дату и время окончания.
- Выберите опции Начало и Окончание.
- Выберите дату и время.
Если опции Начало и Окончание не выбраны, то разрешение будет считаться бессрочным.
Можно также выбрать активное время. Воспользоваться разрешением вне активного времени невозможно.
- Выберите опции С и До.
- Введите время.
Если опции С и До не выбраны, то разрешение будет действовать круглосуточно.
При истечении времени действия разрешения или при истечении времени установленного в расписании доступа сессия будет прервана.
Параметры разрешения
Учетные данные
Indeed PAM позволяет просматривать пользователю пароль привилегированных учётных записей, которые используются в его разрешениях.
- Отметьте опцию Разрешить просмотр учётных данных.
- Завершите создание разрешения.
Indeed PAM позволяет изменять пользователю пароль привилегированных учётных записей, которые используются в его разрешениях.
- Отметьте опцию Разрешить изменение учётных данных.
- Завершите создание разрешения.
Источник подключения
Indeed PAM позволяет установить ограничение для подключений к ресурсам, а именно установку конкретной сети из которой можно использовать данное подключение.
Если не были добавлены никакие Сетевые расположения, то в выпадающем меню будет единственная настройка Без ограничений. Это значит, что использовать данное разрешение можно с любого устройства в сети.
Повышение привилегий в SSH сессиях
Indeed PAM позволяет установить индивидуальные настройки разрешений для pamsu.
Предоставляется выбор в выпадающем меню из трёх настроек:
- Управляется политиками — выбор данной настройки означает, что доступ к pamsu будет предоставлен в соответствии с выбранной для ресурса, на который выдаётся разрешение.
- Разрешено — выбор данной настройки означает, что независимо от настроек политики в данном разрешении будет предоставлен доступ к pamsu.
- Запрещено — выбор данной настройки означает, что независимо от настроек политики в данном разрешении будет отключен доступ к pamsu.