Skip to main content
Version: Privileged Access Manager 3.0

Основная на Linux

Компоненты Indeed PAM устанавливаются на три сервера. Этот тип установки позволяет отделить логику системы от компонентов, предоставляющих доступ. Подходит для внедрения и эксплуатации в промышленной среде. Схема развертывания без балансировки.

Перед началом установки выполните подготовку окружения.

Запуск мастера

Мастер — это веб-приложение, которое позволяет установить, обновить версию или изменить конфигурацию Indeed PAM. Мастер поставляется в составе дистрибутива PAM. Чтобы использовать мастер, потребуется запустить его в Docker-контейнере с помощью специального скрипта.

Предупреждение

Мастер должен быть запущен на том хосте, на котором будет установлена одна из ролей PAM (сервер управления или сервер доступа), иначе попытка установки PAM приведет к ошибке.

  1. Загрузите и распакуйте дистрибутив PAM на Linux-машину и перейдите в директорию дистрибутива.

  2. Выполните команду:

    sudo bash run-wizard.sh

  3. Дождитесь выполнения скрипта.

  4. После выполнения скрипта перейдите по URL, указанному в консоли.

  5. В поле Код доступа введите AutenticationCode, указанный в консоли после выполнения скрипта.
    Пример кода: vVHyTVRyKX5pxUKM6e1ZgCWEnOdXFdOy.

    Информация

    По умолчанию код будет запрошен снова через 2 часа, то есть за это время нужно успеть выполнить всю работу.

  6. Нажмите Войти и переходите к работе с мастером.

Сценарий

  1. Выберите Новая инсталляция PAM.
  2. Нажмите Далее для перехода к следующему шагу мастера.
Подробнее о сценариях

Мастер используется для выполнения одного из трех сценариев:

  • Новая инсталляция PAM — установка Indeed PAM.
  • Обновление PAM — обновление всех компонентов Indeed PAM до новой версии. Например, с 2.10 до 3.0. Во время обновления PAM будет недоступен. Все текущие сессии будут прерваны.
  • Изменение конфигурации PAM — внесение изменений в текущую инсталляцию PAM. Например, изменение состава хостов. Версия PAM останется той же. Во время обновления PAM будет недоступен. Все текущие сессии будут прерваны.

Схема хостов

Под хостом понимается физический или виртуальный сервер, на котором располагаются компоненты PAM.

  1. На шаге Схема хостов введите полное доменное имя сервера управления в поле FQDN PAM.
    Пример: pam.my-company.local.

  2. Добавьте сервер управления, сервер доступа RDP, сервер доступа SSH, сервер доступа PostgreSQL. Учитывайте, что нельзя добавить несколько хостов с одинаковым адресом.

    Сервер управления
    1. Нажмите Добавить хост.
    2. Для переключателя Операционная система хоста выберите Linux.
    3. Включите опцию Сервер управления.
    4. Введите IP-адрес или DNS в поле Адрес хоста. Учитывайте, что нельзя добавить несколько хостов с одинаковым адресом.
    5. Укажите порт в поле Порт.
    6. Выберите способ аутентификации учетной записи на хосте: по паролю или по SSH-ключу.
    7. Если на предыдущем шаге выбрали по паролю, то введите Логин и Пароль. Если на предыдущем шаге выбрали по SSH-ключу, то введите Логин, Пароль sudo, SSH-ключ и Парольную фразу.
    8. Нажмите Добавить.
    Сервер доступа RDP
    1. Нажмите Добавить хост.
    2. Для переключателя Операционная система хоста выберите Linux.
    3. Включите опцию Сервер доступа RDP.
    4. Введите IP-адрес или DNS в поле Адрес хоста. Учитывайте, что нельзя добавить несколько хостов с одинаковым адресом.
    5. Укажите порт в поле Порт.
    6. Выберите способ аутентификации учетной записи на хосте: по паролю или по SSH-ключу.
    7. Если на предыдущем шаге выбрали по паролю, то введите Логин и Пароль. Если на предыдущем шаге выбрали по SSH-ключу, то введите Логин, Пароль sudo, SSH-ключ и Парольную фразу.
    8. Нажмите Добавить.
    Сервер доступа SSH
    1. Нажмите Добавить хост.
    2. Для переключателя Операционная система хоста выберите Linux.
    3. Включите опцию Сервер доступа SSH.
    4. Введите IP-адрес или DNS в поле Адрес хоста. Учитывайте, что нельзя добавить несколько хостов с одинаковым адресом.
    5. Укажите порт в поле Порт.
    6. Выберите способ аутентификации учетной записи на хосте: по паролю или по SSH-ключу.
    7. Если на предыдущем шаге выбрали по паролю, то введите Логин и Пароль. Если на предыдущем шаге выбрали по SSH-ключу, то введите Логин, Пароль sudo, SSH-ключ и Парольную фразу.
    8. Нажмите Добавить.
    Сервер доступа PostgreSQL
    1. Нажмите Добавить хост.
    2. Для переключателя Операционная система хоста выберите Linux.
    3. Включите опцию Сервер доступа PostgreSQL.
    4. Введите IP-адрес или DNS в поле Адрес хоста. Учитывайте, что нельзя добавить несколько хостов с одинаковым адресом.
    5. Укажите порт в поле Порт.
    6. Выберите способ аутентификации учетной записи на хосте: по паролю или по SSH-ключу.
    7. Если на предыдущем шаге выбрали по паролю, то введите Логин и Пароль. Если на предыдущем шаге выбрали по SSH-ключу, то введите Логин, Пароль sudo, SSH-ключ и Парольную фразу.
    8. Нажмите Добавить.
    Информация

    Сервер управления, сервер доступа RDP, сервер доступа SSH, сервер доступа PostgreSQL могут располагаться на одном хосте.

  3. Просмотрите таблицу хостов и проверьте правильность заполненных данных. Если требуется отредактировать данные хоста, нажмите на строку с этим хостом, внесите изменения и нажмите кнопку Сохранить. Если требуется удалить хост, нажмите рядом с этим хостом.

  4. Для переключателя Балансировщик выберите значение Не использовать.

  5. Нажмите Далее для перехода к следующему шагу мастера.

Порты

Информация

Порты компонентов PAM должны быть уникальными.

  1. Укажите порты для компонентов PAM в соответствии с вашей сетевой архитектурой или оставьте значения по умолчанию.

    КомпонентПорт по умолчанию
    SSH Proxy2222
    RDP Proxy3390
    PostgreSQL Proxy5432
    MC/UC HTTP80
    MC/UC HTTPS443
    Gateway Service8443

  2. Нажмите Далее для перехода к следующему шагу мастера.

Сертификаты

На этом шаге требуется загрузить заранее подготовленные сертификаты.

  1. Загрузите сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением .crt.
  2. Загрузите сертификаты для хостов с расширением .pfx или wildcard-сертификат и укажите пароль.
  3. Нажмите Далее для перехода к следующему шагу мастера.

Базы данных

  1. Выберите Тип сервера PostgreSQL.
  2. Введите Адрес сервера.
  3. Включите опцию Безопасное подключение к СУБД.
  4. Введите имя пользователя и пароль учетной записи для работы с базами данных.
  5. Для переключателя Ключи шифрования выберите значение Сгенерировать новый.
  6. Введите названия баз данных, которые вы создали на шаге подготовки к установке:
    • БД для привилегированных УЗ
    • БД для аутентификаторов пользователей PAM
    • БД для событий PAM
    • БД для задач по расписанию Core
    • БД для задач по расписанию Idp
  7. Нажмите Далее для перехода к следующему шагу мастера.

Хранилище данных

  1. Выберите Тип хранилища Файловая система.
  2. Нажмите Далее для перехода к следующему шагу мастера.
Другие типы хранилищ

При выборе SMB заполните поля:

  • Сетевой путь
  • Домен
  • Имя пользователя
  • Пароль

При выборе S3 заполните поля:

  • Сетевой адрес S3 сервера
  • Путь до корневой директории хранилища на S3-сервере
  • Идентификатор ключа доступа (access key id)
  • Секретный ключ доступа (secret access key)
  • Регион (необязательное поле)
  • Ограничение локации (необязательное поле)

Каталоги пользователей

  1. Нажмите Добавить каталог.
  2. В поле Служба каталогов выберите одно из значений: ALD PRO, FreeIPA, OpenLDAP.
  3. Введите значение в поле ID каталога.
  4. Введите значение в поле DNS домена.
  5. Введите значение в поле DN контейнера пользователей.
  6. Введите имя пользователя в формате DN (пример: 'uid=pamadmin,cn=users,cn=accounts,dc=my,dc=company') и пароль учетной записи.
  7. Включите опцию Использовать LDAPS.
  8. Если выбрали ALD PRO или FreeIPA, то выберите Формат идентификатора пользователей и групп — SID или GUID.
  9. Если требуется, измените соответствие атрибутов пользователей и/или атрибутов групп пользователей.
  10. Нажмите Добавить.
  11. Нажмите Далее для перехода к следующему шагу мастера.
Информация

Можно добавить несколько каталогов пользователей.

Администраторы ролей

Информация

В мастере можно указать только одного администратора ролей.

  1. Выберите из каталога учетную запись пользователя, которому будут выданы права на управление ролями PAM. Этот пользователь сможет выдать права на доступ к консоли управления PAM другим пользователям.
  2. Нажмите Далее для перехода к следующему шагу мастера.

Аутентификация пользователей

  1. Для поля Механизм аутентификации выберите значение LDAP.
  2. Включите опцию Включить двухфакторную аутентификацию для всех пользователей по умолчанию.
  3. Для переключателя Тип второго фактора выберите значение TOTP.
  4. Отметьте компоненты, для которых требуется включить кеширование второго фактора:
    • Management Console
    • User Console
    • Desktop Console
    • SSH Proxy
    • RDP Proxy
    • RDS Proxy
  5. Если требуется, отредактируйте значение в поле Время кеширования.
  6. Нажмите Далее для перехода к следующему шагу мастера.
Второй фактор аутентификации по Email

При выборе Email в качестве второго фактора заполните следующие поля:

  • SMTP-сервер
  • Адрес почты отправителя (адрес, с которого будет отправлено письмо)
  • Порт
  • Имя пользователя (логин для авторизации на сервере)
  • Пароль
Аутентификация по RADIUS

При выборе RADIUS в качестве механизма аутентификации потребуется указать данные RADIUS-сервера.

  1. Нажмите Добавить сервер RADIUS.
  2. Выберите схему аутентификации. Возможные значения: PAP, CHAP, MSCHAPV2. Не рекомендуется выбирать схему PAP, т.к. она является небезопасной, потому что пароль передается в открытом виде.
  3. Укажите Адрес сервера, Порт и Секрет.
  4. Оставьте включенной опцию Проверять атрибут Message-Authenticator. Этот атрибут используется для обеспечения целостности пакетов и защиты их от подделки. Оставлять опцию выключенной допустимо только в том случае, если используемое программное обеспечение не поддерживает работу с этим атрибутом.
  5. Выберите Формат имени для аутентификации. Выбирайте значение Имя без домена для аутентификации во FreeRadius. Выбирайте Имя в формате SAM или Имя в формате UPN для аутентификации в NPS RADIUS.

Можно указать несколько серверов RADIUS, чтобы обеспечить отказоустойчивость системы. В этом случае PAM посылает запрос серверам RADIUS последовательно, в порядке указания серверов. То есть если не удалось подключиться к первому серверу RADIUS, то PAM попытается подключиться к следующему.

Сервер доступа

  1. Если требуется, измените значения полей Максимальное время ответа агента и Интервал healthcheck агента.
  2. Нажмите Далее для перехода к следующему шагу мастера.

Логирование

  1. Если требуется, измените Уровень логирования, максимальное количество лог-файлов сервера управления и максимальное количество лог-файлов сервера доступа.
  2. Нажмите Далее для перехода к следующему шагу мастера.

События

  1. Если требуется, добавьте Syslog-сервер.

    Syslog-сервер
    Syslog-сервер используется для интеграции с SIEM-системой. События и текстовые логи записываются на Syslog-сервер в режиме реального времени, то есть в процессе активного удаленного подключения, а не после его завершения. Это позволяет максимально быстро выявлять инциденты и аномалии, связанные с действиями привилегированных пользователей.

    При добавлении Syslog-сервера потребуется заполнить следующие поля:
    - Адрес сервера
    - Сетевой протокол (TCP или RDP)
    - Порт
    - Формат событий (CEF или LEEF)
    - Версия Syslog (RFC3164 или RFC5424)

  2. Нажмите Далее для перехода к следующему шагу мастера.

Резервная копия

Резервная копия мастера — это зашифрованный файл, который используется для восстановления состояния мастера. Этот файл потребуется вам в будущем для обновления PAM на новую версию или для изменения конфигурации текущей версии PAM.

Предупреждение

Сохраните файл резервной копии мастера и запомните пароль.

Без этого файла и пароля к нему вы не сможете в будущем изменить конфигурацию вашей инсталляции PAM или обновить PAM до новой версии через мастер.

  1. Задайте пароль для резервной копии мастера.
  2. Нажмите Скачать резервную копию.
  3. Нажмите Далее для перехода к следующему шагу мастера.

Установка PAM

  1. Для переключателя Способ установки выберите значение Из мастера.
  2. Нажмите Установить PAM.
  3. Отслеживайте процесс установки с помощью прогресс-бара. Дождитесь завершения установки.
  4. Откройте в новой вкладке консоль управления, чтобы настроить Indeed PAM. Проходите аутентификацию в консоли с теми учетными данными, которые указали на шаге Администраторы ролей. Подробную информацию о первоначальной настройке смотрите на странице Первый запуск.
  5. Нажмите Завершить работу мастера или выполните следующую команду в терминале:
    sudo bash stop-wizard.sh
Ручная установка

При выборе ручной установки появляется возможность скачать конфигурационные файлы PAM. Эти файлы потребуется разложить по серверам самостоятельно, а также запустить скрипт развертывания PAM на каждом сервере отдельно.