Skip to main content
Version: Privileged Access Manager 2.9

Установка и настройка клиентских компонентов

PamSu

Компонент PamSu позволяет пользователям Indeed PAM запускать команды с правами root, используя пароль своей собственной учетной записи пользователя Active Directory.

Установка выполняется вручную на Linux-ресурсах, где необходимо запускать команды с правами root.

Установка PamSu

Компоненты расположены в папке: ..PAM_2.9.0\indeed-pam-tools\pamsu\.

note

Установка утилиты PamSu выполняется на ресурсы ОС *nix.

Загрузите установочный пакет на ресурс и выполните команду:

Установка на Debian-based ОС

$ sudo dpkg -i Indeed.PAM.PamSu*.deb

Установка на RedHat-based ОС

$ sudo rpm -i Indeed.PAM.PamSu*.rpm

Настройка PamSu

На ресурсе необходимо настроить доверие сертификату веб-сервера core и idp. Проверить корректность работы с сертификатами можно выполнив команду:

$ curl https://pam.indeed-id.local

 Откройте файл /etc/pamsu.conf в любом редакторе с правами локального администратора, укажите настройки:

  • idp_url — адрес idp
  • core_url — адрес core
  • log_path — путь к каталогу с файлами логов
  • log_level — уровень логирования, может принимать значения: INFO, WARN, ERROR, FATAL
Set idp_url https://pam.indeed-id.local/pam/idp
Set core_url https://pam.indeed-id.local/pam/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_ *. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской AcceptEnv LC_*.

note

Для разрешения выполнения команды pamsu необходимо включить в политике, в разделе SSH опцию Разрешить выполнять pamsu.

Indeed PAM Agent

Indeed PAM Agent следует устанавливать непосредственно на ресурсы для включения возможности текстового логирования RDP сессий.

caution

При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.

После установки Indeed PAM Agent потребуется выполнить перезагрузку или повторный вход в ОС. Дополнительная настройка не требуется.

Indeed PAM Desktop Console

Настройка Indeed Pam Desktop Console для доменных машин

  1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions.
  2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console).
  3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ 
    (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
  4. Включите и настроите PAM connection settings (Настройки подключения с PAM).
  5. Обновите групповые политики на клиентском ПК.

Настройка для машин, к которым не применяются доменные политики

  1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions.
  2. Запустите редактор локальной групповой политики gpedit.msc.
  3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ 
    (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
  4. Включите и настроите PAM connection settings (Настройки подключения с PAM).

Настройка записи событий в Syslog

  1. Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте ее в Pam.Syslog.config, затем отредактируйте <Settings> … </Settings> в соответствии с настройками ниже:

    • HostName — имя Syslog-сервера 
    • Port — порт Syslog-сервера 
    • Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP
    • Format — формат логов: Plain, CEF, LEEF
    • SyslogVersion — спецификация протокола: RFC3164, RFC5424

    C:\inetpub\wwwroot\ls\targetConfigs
    <Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />
  2. В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию pam для работы с файлом Pam.Syslog.config — добавьте новый TargetId для WriteTarget:

    C:\inetpub\wwwroot\ls\clientApps.config
    <Application Id="pam" SchemaId="Pam.Schema">
    <ReadTargetId>Pam.TargetDb</ReadTargetId>
    <WriteTargets>
    <TargetId>Pam.TargetDb</TargetId>
    <TargetId>Pam.Syslog</TargetId>
    </WriteTargets>
    <AccessControl>
    <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />-->
    </AccessControl>
    </Application>
  3. Далее в этом же файле в секции Targets добавьте новый элемент:

    C:\inetpub\wwwroot\ls\clientApps.config
    <Targets>
    ...
    <Target Id="Pam.TargetDb" Type="mssql"/>
    <Target Id="Pam.Syslog" Type="syslog"/>
    </Targets>

    В Target Id="Pam.TargetDb" пропишите Type в зависимости от используемой БД: mssql или pgsql.