Учетные записи каталога пользователей

Взаимодействие Indeed PAM с конечными пользователями выполняется за счет учетной записи, которая будет получать список пользователей и их атрибуты.

Учетная запись для работы с каталогом пользователей

Active Directory

1. Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2. Вызовите контекстное меню контейнера или подразделения.
3. Выберите пункт Создать (Create) — Пользователь (User).
4. Укажите имя, например, IPAMADReadOps.
5. Заполните обязательные поля и завершите создание учетной записи.

FreeIPA

1. Запустите оснастку FreeIPA под пользователем с правами администратора.
2. Создайте пользователя, например, IPAMADReadOps.
3. Откройте вкладку IPA Server.
4. В выпадающем меню Role-Based Access Control выберите пункт Permissions.
5. Создайте разрешение со следующими значениями:
   • Permission name: pam_attr_read.
   • Granted Rights: read, search.
   • Effective attributes: entryDn, entryUUID, ipaUniqueID, ipaNTSecurityIdentifier, memberOf, uid, givenName, krbPrincipalName, cn, sn, photo (или jpegPhoto), member, nsOsVersion, fqdn, initials, krbPasswordExpiration.
6. В выпадающем меню Role-Based Access Control выберите пункт Privileges.
7. Создайте новую привилегию (например, pam_privilege_read) и добавьте в нее только что созданное разрешение pam_attr_read.
8. В выпадающем меню Role-Based Access Control выберите пункт Roles.
9. Создайте новую роль (например, IPAMADReadOps_role) и добавьте в нее созданную привелегию pam_privilege.
10. Назначьте созданную роль на пользователя IPAMADServiceOps одним из способов:
    • назначьте роль на пользователя;
    • назначьте роль на группу пользователей и добавьте пользователя в эту группу.

ALD Pro

1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите пункт Пользователи.
2. Нажмите Новый пользователь.
3. В поле Имя учетной записи укажите IPAMADReadOps или другое удобное для вас имя учетной записи для работы с каталогом пользователей.
4. Заполните обязательные поля и завершите создание учетной записи.
5. Добавьте созданного пользователя в группу admins.

OpenLDAP

1. Создайте пользователя, например, IPAMADReadOps.
2. Выдайте пользователю права на чтение следующих атрибутов:
   • entryUUID
   • entryDn
   • uid
   • cn
   • osVersion
   • groupOfUniqueNames
   • uniqueMember

Учетная запись для сервисных операций

Active Directory

1. Запустите оснастку Active Directory — пользователи и компьютеры(Active Directory Users and Computers).
2. Откройте контекстное меню контейнера или подразделения.
3. Выберите пункт Создать(Create) — Пользователь (User).
4. Укажите имя, например, IPAMADServiceOps.
5. Заполните обязательные поля и завершите создание учетной записи.
6. Откройте контекстное меню контейнера, подразделения или корня домена.
7. Выберите пункт Свойства (Properties).
8. Перейдите на вкладку Безопасность (Security).
9. Нажмите Добавить (Add).
10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.
11. Нажмите Дополнительно (Advanced).
12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить(Edit).
13. Установите для поля Применяется к:(Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).
14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).
15. Сохраните внесенные изменения.

FreeIPA

1. Запустите оснастку FreeIPA под пользователем с правами администратора.
2. Создайте пользователя, например, IPAMADServiceOps.
3. Откройте вкладку IPA Server.
4. В выпадающем меню Role-Based Access Control выберите пункт Permissions.
5. Создайте разрешение со следующими значениями:
   • Permission name: pam_attr_read.
   • Granted Rights: read, search.
   • Effective attributes: entryDn, entryUUID, ipaUniqueID, ipaNTSecurityIdentifier, memberOf, uid, givenName, krbPrincipalName, cn, sn, photo (или jpegPhoto), member, nsOsVersion, fqdn, initials, krbPasswordExpiration.
6. Создайте еще одно разрешение со следующими значениями:
   • Permission name: pam_attr_write.
   • Granted Rights: write.
   • Effective attributes: userPassword, krbPasswordExpiration.
7. В выпадающем меню Role-Based Access Control выберите пункт Privileges.
8. Создайте новую привилегию (например, pam_privilege_change_pswd) и добавьте в нее только что созданные два разрешения pam_attr_read и pam_attr_write.
9. В выпадающем меню Role-Based Access Control выберите пункт Roles.
10. Создайте новую роль (например, IPAMADServiceOps_role) и добавьте в нее созданную привелегию pam_privilege_change_pswd.
11. Назначьте созданную роль на пользователя IPAMADServiceOps одним из способов:
    • назначьте роль на пользователя;
    • назначьте роль на группу пользователей и добавьте пользователя в эту группу.

ALD Pro

1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите пункт Пользователи.
2. Нажмите Новый пользователь.
3. В поле Имя учетной записи укажите IPAMADServiceOps или другое удобное для вас имя учетной записи для работы с каталогом пользователей.
4. Заполните обязательные поля и завершите создание учетной записи.
5. Добавьте созданного пользователя в группу admins.

OpenLDAP

1. Создайте пользователя, например, IPAMADServiceOps.
2. Выдайте пользователю права на чтение следующих атрибутов:
   • entryUUID
   • entryDn
   • uid
   • cn
   • osVersion
   • groupOfUniqueNames
   • uniqueMember
3. Выдайте пользователю права на запись для атрибута userPassword.