Сервисные операции

Сервисные операции для ресурсов Windows

caution

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций на Windows-ресурсе должна быть настроена служба WinRM по HTTPS

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной учетной записи: 

• Проверка соединения с ресурсом
• Синхронизация локальных учетных записей
• Проверка пароля локальных учетных записей
• Изменение пароля локальных учетных записей
• Получение данных о ОС
• Получение списка групп безопасности

Настройка доменной учетной записи в качестве сервисной

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management).
3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
4. Откройте контекстное меню группы Администраторы (Administrators).
5. Выберите пункт Свойства (Properties).
6. Нажмите Добавить (Add).
7. Выберите доменную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.

Настройка локальной учетной записи в качестве сервисной

Если в качестве сервисной учетной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учетной записи будет использоваться не встроенная локальная учетная запись администратора, то:

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management).
3. Перейдите в раздел Служебные программы (System tools) → Локальные пользователи (Local Users and Groups) → Группы (Groups).
4. Откройте контекстное меню группы Администраторы (Administrators).
5. Выберите пункт Свойства (Properties).
6. Нажмите Добавить (Add).
7. Выберите локальную учетную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок.
8. Запустите Редактор реестра (RegEdit).
9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\.
10. Откройте контекстное меню раздела System.
11. Выберите пункт Создать (Create) → Параметр DWORD 32 (DWORD (32-bit) Value).
12. Введите название параметра — LocalAccountTokenFilterPolicy.
13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy.
14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1.

Настройка реестра необходима из-за ограничений удаленного управления WinRM для всех локальных учетных записей, кроме встроенного (built-in) администратора.

Настройка Indeed PAM Core для выполнения сервисных операций от имени локальных учетных записей ресурса

Сервисные операции выполняются при помощи WinRM, для использования локальных учетных записей ресурса в качестве сервисных требуется добавить ресурс в список доверенных TrustedHosts на сервере Indeed PAM Core.

Настройка TrustedHosts

1. Выполните вход на сервер Indeed PAM Core.
2. Откройте Командную строку (CMD) от имени администратора.
3. Выполните команду:

   C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.domain.local, Resource2.domain.local"}

Указанные ресурсы будут добавлены в список доверенных.

caution

При добавлении новых ресурсов в список доверенных требуется указывать добавленные ранее ресурсы и новые, так как новое значение перезаписывает старое.

@{TrustedHosts="Resource1.domain.local, Resource2.domain.local, Resource3.domain.local"}

Сервисные операции в cлужбе каталогов

caution

Если компоненты сервера управления установлены на операционную систему Linux, то для выполнения сервисных операций в домене должен быть настроен LDAPS (LDAP over SSL).

Настройка сервисной учетной записи

1. Запустите оснастку Active Directory → пользователи и компьютеры (Active Directory Users and Computers).

2. Откройте контекстное меню контейнера или подразделения.

3. Выберите пункт Создать (Create) → Пользователь (User).

4. Укажите имя, например, IPAMADServiceOps.

5. Заполните обязательные поля и завершите создание учетной записи.

6. Откройте контекстное меню контейнера, подразделения или корня домена.

7. Выберите пункт Свойства (Properties).

8. Перейдите на вкладку Безопасность (Security).

   Информация

   Если вкладки Безопасность нет, то в меню Вид (View) включите Advanced features.

9. Нажмите Добавить (Add).

10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.

11. Нажмите Дополнительно (Advanced).

12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить (Edit).

13. Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).

14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).

15. Сохраните внесенные изменения.

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учетной записи: 

• Проверка соединения с ресурсом
• Поиск учетных локальных записей доступа
• Проверка пароля локальных учетных записей доступа
• Изменение пароля локальных учетных записей доступа
• Получение данных о ОС
• Получение списка групп безопасности

Создание и настройка сервисной учетной записи

1. Выполните вход на ресурс
2. Запустите Терминал (Terminal)
3. Создайте пользователя, например, IPAMService

   adduser IPAMService
4. Добавьте пользователя в группу SUDO

   usermod -aG sudo IPAMService

Настройка группы привилегированных учетных записей

Автоматический поиск и добавление учетных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO требуется внести изменения в файл /etc/sudoers.