Skip to main content
Version: Privileged Access Manager 2.9

Сервисные операции

Сервисные операции для ресурсов Windows

caution

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций на Windows ресурсе должна быть настроена служба WinRM по HTTPS

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной учетной записи: 

  • Проверка соединения с ресурсом
  • Синхронизация локальных учетных записей
  • Проверка пароля локальных учетных записей
  • Изменение пароля локальных учетных записей
  • Получение данных о ОС
  • Получение списка групп безопасности

Настройка доменной учетной записи в качестве сервисной

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management).
  3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
  4. Откройте контекстное меню группы Администраторы (Administrators).
  5. Выберите пункт Свойства (Properties).
  6. Нажмите Добавить (Add).
  7. Выберите доменную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.

Настройка локальной учетной записи в качестве сервисной

Если в качестве сервисной учетной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учетной записи будет использоваться не встроенная локальная учетная запись администратора, то необходимо:

  1. Выполните вход на ресурс.
  2. Запустите оснастку Управление компьютером (Computer management).
  3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
  4. Откройте контекстное меню группы Администраторы (Administrators).
  5. Выберите пункт Свойства (Properties).
  6. Нажмите Добавить (Add).
  7. Выберите локальную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.
  8. Запустите Редактор реестра (RegEdit).
  9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\.
  10. Откройте контекстное меню раздела System.
  11. Выберите пункт Создать (Create) → Параметр DWORD 32 (DWORD (32-bit) Value).
  12. Введите название параметра — LocalAccountTokenFilterPolicy.
  13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy.
  14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1.

Настройка реестра необходима из-за ограничений удаленного управления WinRM для всех локальных учетных записей, кроме встроенного (built-in) администратора.

Настройка Indeed PAM Core для выполнения сервисных операций от имени локальных учетных записей ресурса

Сервисные операции выполняются при помощи WinRM, для использования локальных учетных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts на сервере Indeed PAM Core.

Настройка TrustedHosts

  1. Выполните вход на сервер Indeed PAM Core.
  2. Откройте Командную строку (CMD) от имени администратора.
  3. Выполните команду:
    C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.domain.local, Resource2.domain.local"}

Указанные ресурсы будут добавлены в список доверенных.

caution

При добавлении новых ресурсов в список доверенных необходимо указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.

@{TrustedHosts="Resource1.domain.local, Resource2.domain.local, Resource3.domain.local"}

Сервисные операции в Active Directory

caution

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций в домене должен быть настроен LDAPS (LDAP over SSL).

Настройка сервисной учетной записи

  1. Запустите оснастку Active Directory → пользователи и компьютеры (Active Directory Users and Computers).
  2. Откройте контекстное меню контейнера или подразделения.
  3. Выберите пункт Создать (Create) → Пользователь (User).
  4. Укажите имя, например, IPAMADServiceOps.
  5. Заполните обязательные поля и завершите создание учетной записи.
  6. Откройте контекстное меню контейнера, подразделения или корня домена.
  7. Выберите пункт Свойства (Properties).
  8. Перейдите на вкладку Безопасность (Security).
  9. Нажмите Добавить (Add).
  10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.
  11. Нажмите Дополнительно (Advanced).
  12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить (Edit).
  13. Установите для поля Применяется к: (Applies to:)значение Дочерние объекты: Пользователь (Descendant User objects).
  14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).
  15. Сохраните внесенные изменения.

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учетной записи: 

  • Проверка соединения с ресурсом
  • Поиск учетных локальных записей доступа
  • Проверка пароля локальных учетных записей доступа
  • Изменение пароля локальных учетных записей доступа
  • Получение данных о ОС
  • Получение списка групп безопасности

Создание и настройка сервисной учетной записи

  1. Выполните вход на ресурс.
  2. Запустите Терминал (Terminal).
  3. Создайте пользователя, например, IPAMService:
    adduser IPAMService
  4. Добавьте пользователя в группу SUDO:
    usermod -aG sudo IPAMService

Настройка группы привилегированных учетных записей

Автоматический поиск и добавление учетных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers.