Skip to main content
Version: Privileged Access Manager 2.9

Общая установка с балансировкой

caution

В состав общей установки с балансировкой входит установка нескольких серверов управления и серверов доступа (SSH-Proxy\RDP-Proxy) на разные серверы.

caution

Перед началом установки необходимо выполнить подготовку файлов конфигурации.

Inventory

  1. Перейдите в папку дистрибутива indeed-pam-linux.
  2. Измените название файла inventory.template на inventory.

Отредактируйте файл inventory:

  1. В разделе managment укажите FQDN адреса серверов управления.
  2. В разделе access укажите FQDN адреса серверов доступа SSH Proxy.
  3. Для всех серверов, кроме локального, добавьте строку:
    remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123.
    1. remote_ssh_user=root — имя пользователя с правами sudo для удаленного подключения к ресурсу.
    2. ansible_ssh_password=123 — пароль пользователя для удаленного подключения к ресурсу.
    3. ansible_become_password=123 — пароль пользователя для удаленного подключения к ресурсу.
  4. Удалите комментарий с двух последних строк.
  5. В разделе all:vars укажите server_fqdn= общему имени PAM.
  6. Закомментируйте все поля, в которые не вносились изменения.
  7. Сохраните изменения.
Содержимое файла /client-dist/inventory
# NOTE: To access docker host use local.docker name instead of localhost

[management]
pammng1.test.local
pammng2.test.local remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123

[access]
pamgtw1.test.local remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123
pamgtw2.test.local remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123

#[haproxy]
#HAPROXY_SERVER_FQDN_OR_IP

#[rds]
#RDS_SERVER_FQDN_OR_IP

# Use this section to override vars
[all:vars]
server_fqdn=pammng.test.local

Файлы конфигурации

Распакуйте скачанные файлы конфигурации и перенесите полученные папки по пути indeed-pam-linux\state.

Сертификаты

Сертификат удостоверяющего центра

Перенесите сертификат УЦ по пути indeed-pam-linux\state\ca-certificates.

Сертификаты серверов

Перейдите по пути indeed-pam-linux\state\certs и создайте отдельную папку для каждого сервера управления, назвав ее FQDN именем сервера управления.

Перенесите сертификаты серверов управления в папки, которые соответствуют серверам.

Перейдите по пути indeed-pam-linux\state\keys\rdp-proxy и создайте отдельную папку для каждого сервера доступа, назвав ее FQDN именем сервера доступа.

Перенесите сертификаты серверов доступа в папки, которые соответствуют серверам.

vars

  1. Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
  2. Найдите строку # pfx_pass: "ENTER_HERE" и удалите #.
  3. Вместо ENTER_HERE укажите пароль от сертификатов и сохраните изменения.

Установка

  1. Перенесите дистрибутив на целевой Linux ресурс.
  2. Запустите скрипт установки командой:
    sudo bash run-deploy.sh
  3. При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
  4. Дождитесь окончания установки.
Информация

Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.

Перезапуск компонентов

Сервер управления

Для перезапуска компонентов сервера управления Indeed PAM используйте следующие команды (команды должны выполнятся в папке /etc/indeed/indeed-pam):

Перезапуск все компонентов:

sudo docker compose -f docker-compose.management-server.yml down
sudo docker compose -f docker-compose.management-server.yml up -d

или

sudo docker-compose -f docker-compose.management-server.yml down
sudo docker-compose -f docker-compose.management-server.yml up -d

Перезапуск конкретного компонента:

sudo docker compose -f docker-compose.management-server.yml up -d <Имя компонента> --force-recreate

или

sudo docker-compose -f docker-compose.management-server.yml up -d <Имя компонента> --force-recreate

Пример перезапуска компонента Indeed PAM Core:

sudo docker compose -f docker-compose.management-server.yml up -d core --force-recreate

или

sudo docker-compose -f docker-compose.management-server.yml up -d core --force-recreate

Сервер доступа

Перезапустить компоненты сервера доступа Indeed PAM используя следующие команды (команды должны выполнятся в папке /etc/indeed/indeed-pam):

sudo docker compose -f docker-compose.access-server.yml down
sudo docker compose -f docker-compose.access-server.yml up -d

или

sudo docker-compose -f docker-compose.access-server.yml down
sudo docker-compose -f docker-compose.access-server.yml up -d