Учетные записи

Учетные записи — локальные и доменные учетные записи различных систем или cлужб каталогов, от которых Indeed PAM получил пароль. Пользователи от имени выбранной учетной записи могут подключаться к ресурсам и открывать SSH-, SQL- и Web/Desktop-сессии. Для запуска сессии нужно получить разрешение на подключение учетной записи к ресурсу.

Найти учетную запись

Введите в поисковую строку имя учетной записи и нажмите .

Нажмите Расширенный поиск, задайте один или несколько параметров и нажмите Найти.

Добавить учетную запись

Чтобы добавить учетную запись в PAM:

1. Перейдите в раздел Учетные записи и нажмите Добавить.

2. Выберите ресурс или домен, в котором будет размещена учетная запись, и нажмите Вперед.

3. Введите Имя учетной записи и Описание.

4. Нажмите Вперед

   Информация

   При добавлении учетной записи для ресурса с типом подключения SSH можно настроить не только пароль, но и SSH-ключ.

   При добавлении учетных записей ОС Windows и СУБД необходимо задать пароль. Настройка SSH-ключа для данных типов недоступна.

5. Настройте пароль и выберите одну из опций:

   • Сгенерировать случайный пароль — пароль создается автоматически и синхронизируется с ресурсом или доменом.
   • Задать пароль вручную — пароль задается в ручном режиме.
     Введите пароль и подтвердите его.
     Если требуется, чтобы пароль учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить пароль на ресурсе или Изменить пароль в домене.
   • Не задавать — учетная запись создается без пароля, его можно задать позже при редактировании.

6. Нажмите Вперед.

7. Настройте SSH-ключ и выберите одну из опций:

   • Сгенерировать новый SSH-ключ — ключ создается автоматически и синхронизируется с ресурсом или доменом. Выберите криптографический алгоритм для генерации ключа: Ed25519 или RSA.

   • Задать SSH-ключ вручную — ключ задается в ручном режиме. Выберите файл SSH-ключа и введите его пароль. Поддерживаются ключи RSA в форматах OpenSSH и PEM, а также Ed25519 в формате OpenSSH.
     Чтобы создать SSH-ключ и записать его в файл, воспользуйтесь программой PuTTYgen или одной из команд:

     Ключ RSA в формате OpenSSH

     ssh-keygen -t rsa -b 4096 -f id_rsa_openssh -C "RSA OpenSSH key"
     Ключ RSA в формате PEM

     ssh-keygen -t rsa -b 4096 -f id_rsa_pem -C "RSA PEM key" -m PEM
     Ключ Ed25519 в формате OpenSSH

     ssh-keygen -t ed25519 -f id_ed25519_openssh -C "Ed25519 OpenSSH key"

     Чтобы SSH-ключ учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить SSH-ключ на ресурсе или Изменить SSH-ключ в домене.

   • Не задавать — учетная запись создается без SSH-ключа, его можно установить позже при редактировании.

8. Нажмите Вперед.

9. Убедитесь в правильности данных и нажмите Сохранить

Профиль учетной записи

Для каждой учетной записи отображаются:

• Разрешения — список выданных разрешений для учетной записи на подключение к ресурсу.
• Сессии — список активных, завершенных и прерванных сессий.
• События — записи об операциях, связанных с учетной записью.
• Группы безопасности — список групп безопасности, в которых состоит учетная запись.
  Для доменных учетных записей не отображаются встроенные (Built-in) группы безопасности.
• Службы — список приложений, которые могут запускаться автоматически при запуске операционной системы.
  Для локальных учетных записей вкладка отображается, если у связанного ресурса есть настроенное сервисное подключение для Windows.

Сделать управляемой

Учетные записи, добавленные в PAM после синхронизации с ресурсом, находятся в состоянии Ожидает решения.
PAM знает о существовании такой записи, но не управляет ей. Такие записи могут использоваться вне системы и обходить контроль доступа

Чтобы подтвердить учетную запись, нажмите Сделать управляемой в профиле учетной записи. Задайте пароль и/или SSH-ключ.

Чтобы подтвердить несколько учетных записей:

1. Перейдите в раздел Учетные записи 
2. Выберите одну или несколько учетных записей.
3. Нажмите Сделать управляемой.
4. Выберите политику сессий и завершите подтверждение.

предупреждение

При массовом подтверждении всегда генерируются случайные пароли для учетных записей, генерация SSH-ключей не выполняется.

Добавить разрешение

1. Откройте профиль учетной записи.
2. Нажмите Добавить разрешение.
3. Выберите пользователей или задайте группу пользователей.
4. Выберите параметр разрешения:
   • Ресурсы — разрешение выдается на один или несколько выбранных ресурсов.
   • Группы ресурсов — разрешение выдается на выбранную группу ресурсов.
   • Произвольные подключения — разрешение выдается на любые ресурсы с выбранным типом подключения, в том числе на ресурсы, незарегистрированные в PAM.
5. Настройте Ограничения времени и нажмите Вперед.
6. Настройте Параметры разрешения и нажмите Вперед.
7. Введите Описание и нажмите Вперед.
8. Убедитесь в правильности данных и нажмите Создать.

Восстановить пароль или SSH-ключ

Функция позволяет вернуть сохраненное состояние пароля или SSH-ключа для учетной записи.

Чтобы выбрать точку восстановления:

1. Откройте профиль учетной записи.
2. Нажмите Откатить в профиле учетной записи.
3. Выберите точку восстановления, укажите причину и завершите восстановление пароля.

Проверить пароль или SSH-ключ

Чтобы проверить соответствие пароля, SSH-ключа и наличие неуправляемых SSH-ключей, в профиле учетной записи нажмите Проверить.

Примечание

Проверка паролей доменных или локальных учетных записей ресурсов под управлением ОС Linux может выполняться без настройки сервисного подключения к ресурсу или домену.

Чтобы проверить соответствие пароля или SSH-ключа для нескольких учетных записей, в разделе Учетные записи выберите нужные записи и нажмите Проверить.

Сменить или установить пароль

предупреждение

При смене пароля учетной записи обратите внимание, связаны ли с этой учетной записью службы. При смене пароля учетной записи пароли связанных служб тоже поменяются.

Вручную

Чтобы изменить или сбросить пароль вручную:

1. Нажмите Сменить пароль в профиле учетной записи.
2. Выберите одну из опций:
   • Сгенерировать случайный пароль — пароль создается автоматически и синхронизируется с ресурсом или доменом.
   • Задать пароль вручную — пароль задается в ручном режиме.
     Введите пароль и подтвердите его.
     Если требуется, чтобы пароль учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить пароль на ресурсе или Изменить пароль в домене.
   • Не задавать — учетная запись создается без пароля, его можно задать позже при редактировании.
3. Введите причину смены пароля.
4. Нажмите Сохранить.

По расписанию

Смена паролей учетных записей по расписанию настраивается через политики.

1. Перейдите в раздел Политики.
2. Выберите политику, которая управляет нужной вам учетной записью.
3. Откройте раздел Учетные записи.
4. Включите опцию Периодически ротировать пароль и SSH-ключ учетной записи.
5. Задайте количество дней в поле Период ротации пароля и SSH-ключа.
   Автоматическое изменение пароля или SSH-ключа будет выполняться один раз в указанное количество дней.

Сменить или установить SSH-ключ

Чтобы сбросить, загрузить или сгенерировать SSH-ключ:

1. Нажмите Сменить SSH-ключ или Установить SSH-ключ в профиле учетной записи.

2. Выберите одну из опций:

   • Сгенерировать новый SSH-ключ — ключ создается автоматически и синхронизируется с ресурсом или доменом. Выберите криптографический алгоритм для генерации ключа: Ed25519 или RSA.

   • Задать SSH-ключ вручную — ключ задается в ручном режиме. Выберите файл SSH-ключа и введите его пароль. Поддерживаются ключи RSA в форматах OpenSSH и PEM, а также Ed25519 в формате OpenSSH.
     Чтобы создать SSH-ключ и записать его в файл, воспользуйтесь программой PuTTYgen или одной из команд:

     Ключ RSA в формате OpenSSH

     ssh-keygen -t rsa -b 4096 -f id_rsa_openssh -C "RSA OpenSSH key"
     Ключ RSA в формате PEM

     ssh-keygen -t rsa -b 4096 -f id_rsa_pem -C "RSA PEM key" -m PEM
     Ключ Ed25519 в формате OpenSSH

     ssh-keygen -t ed25519 -f id_ed25519_openssh -C "Ed25519 OpenSSH key"

     Чтобы SSH-ключ учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить SSH-ключ на ресурсе или Изменить SSH-ключ в домене.

   • Не задавать — учетная запись создается без SSH-ключа, его можно установить позже при редактировании.

3. Введите причину смены SSH-ключа.

4. Нажмите Сохранить.

Удалить неуправляемые SSH-ключи

Функция позволяет удалить неуправляемые SSH-ключи, при этом созданные или добавленные в PAM управляемые ключи останутся без изменений. Если в профиле учетной записи отображается ошибка Обнаружены неуправляемые SSH-ключи, нажмите Удалить неуправляемые ключи.

Синхронизировать

Синхронизация обновляет список групп безопасности, в которых состоит учетная запись. Функция доступна только при настроенном сервисном подключении к ресурсу или домену. При синхронизации не меняется пароль, SSH-ключ, описание или логин учетной записи.

Чтобы обновить данные о группах безопасности, в профиле учетной записи нажмите Синхронизировать. Если пользователя на ресурсе добавили или удалили из группы, PAM обновит данные во вкладке Группы безопасности.

Заблокировать

Блокировка учетной записи приостанавливает действие всех разрешений, в которых она используется.
Заблокированная учетная запись отмечена символом  . Разрешения для этой учетной записи отмечены символом  .

Чтобы заблокировать учетную запись:

1. Зайдите в раздел Учетные записи.
2. Откройте профиль учетной записи.
3. Нажмите Заблокировать.
4. В окне подтверждения операции нажмите Заблокировать.

Чтобы заблокировать несколько учетных записей, в разделе Учетные записи выберите нужные записи и нажмите Заблокировать.

Игнорировать

Игнорируемая учетная запись не участвует в операциях и синхронизации. PAM знает о существовании учетной записи, но не хранит и не управляет ее данными. Игнорируемые учетные записи отмечены символом  .

Для таких учетных записей нельзя настроить новое разрешение, а существующие разрешения находятся в состоянии Неактивно.

Чтобы перевести учетную запись в состояние Игнорируется:

1. Зайдите в раздел Учетные записи.
2. Откройте профиль учетной записи.
3. Нажмите Игнорировать.
4. В окне подтверждения операции нажмите Игнорировать.

Чтобы игнорировать несколько учетных записей, в разделе Учетные записи выберите нужные записи и нажмите Игнорировать.

Удалить учетную запись

Информация

Удаленная учетная запись пропадет из всех связанных с ней служб: в карточке службы в поле Учетная запись будет стоять прочерк. Сами службы не удалятся.

Чтобы удалить учетную запись:

1. Зайдите в раздел Учетные записи.
2. Откройте профиль учетной записи.
3. Нажмите Удалить.
4. В окне подтверждения операции нажмите Удалить.

Чтобы удалить несколько учетных записей, в разделе Учетные записи выберите нужные записи и нажмите Удалить.

Восстановить учетную запись

Информация

При восстановлении учетной записи ранее существовавшие связи между учетной записью и службами не восстанавливаются.

Чтобы восстановить учетную запись:

1. Нажмите Расширенный поиск в разделе Учетные записи.
2. Введите Имя учетной записи.
3. Выберите для поля Состояние значение Удалена и нажмите Найти.
4. Откройте профиль учетной записи и нажмите Восстановить.
5. Выберите точку восстановления пароля учетной записи.
6. Введите причину восстановления и нажмите Восстановить.

Выбрать политику

1. Откройте профиль ресурса.
2. Нажмите напротив параметра Политика.
3. Выберите политику и нажмите Выбрать.

Добавить службу

1. Откройте профиль учетной записи и перейдите на вкладку Службы.
2. Выберите ресурс и нажмите Вперед.
3. Заполните поля Имя и Описание.
4. Задайте опцию Перезапускать службу при смене пароля службы и нажмите Вперед.
5. Убедитесь в правильности данных и нажмите Добавить.