Схемы развертывания компонентов

Раздел содержит возможные варианты размещения компонентов Indeed PAM. Выбор схемы развертывания зависит от сценариев тестирования и эксплуатации: состав компонентов и серверов, а также их роли могут меняться.

Основная схема

Компоненты Indeed PAM устанавливаются на три отдельных сервера. При такой схеме развертывания логика работы Indeed PAM изолирована от компонентов, предоставляющих доступ. Рекомендуется для внедрения в реальных условиях эксплуатации.

Пользовательский сценарий

О схеме

Сервер управления может работать на ОС Windows или Linux.

1. Пользователь через приложение Desktop Console или консоль в браузере подключается к серверу управления. Сервер управления аутентифицирует пользователя — обращается к базе данных IdP или внешним сервисам аутентификации, чтобы проверить данные пользователя и предоставить список доступных ресурсов из базы Core.
2. После аутентификации пользователь может подключиться к ресурсу через прокси-сервер:
   • Сервер доступа RDS — для сессий по протоколу RDP или в режиме RemoteApp.
   • Сервер доступа на Linux — для сессий по протоколам RDP, SSH, SCP, SFTP или HTTP (веб-сессия в браузере), а также для подключений к СУБД PostgreSQL и MSSQL в консоли или клиентском приложении.
3. Сервер доступа обращается к серверу управления, чтобы повторно аутентифицировать пользователя, проверить разрешения и получить данные привилегированной учетной записи из СУБД.
4. После проверки сервер доступа открывает пользователю сессию к целевому ресурсу от имени привилегированной учетной записи.
5. В ходе сессии сервер доступа фиксирует действия пользователя и сохраняет видеозапись, передаваемые файлы и скриншоты сессии в медиахранилище, а текстовый лог в базу данных Core. Логирование сессии зависит от типа подключения.
6. SSH- или RDP-сессию можно запустить в браузере через Web Terminal, который располагается на сервере доступа на Linux. Сервер доступа идентифицирует пользователя через сервер управления и контролирует сессию на ресурсе.

Административный сценарий

1. Подключение к консоли администратора
   Администратор через браузер подключается к консоли на сервере управления. Сервер управления проверяет учетную запись через сервер аутентификации и обращается к базе данных IdP, чтобы идентифицировать пользователя и определить его привилегии.
2. Администрирование Indeed PAM
   После аутентификации администратор управляет объектами PAM — ресурсами, пользователями, доступами, а также проводит аудит и выполняет сервисные операции.

Отказоустойчивая схема

При таком сценарии развертывания серверы, на которых установлены компоненты Indeed PAM, дублируются для обеспечения отказоустойчивости. Рекомендуется для внедрения в реальных условиях эксплуатации.

Пользовательский сценарий

О схеме

Взаимодействие между пользователем и компонентами PAM происходит через балансировщик нагрузки.

Сервер управления может работать на ОС Windows или Linux.

1. Пользователь через приложение Desktop Console или консоль в браузере подключается к серверу управления. Сервер управления аутентифицирует пользователя — обращается к базе данных IdP или внешним сервисам аутентификации, чтобы проверить данные пользователя и предоставить список доступных ресурсов из базы Core.
2. После аутентификации пользователь может подключиться к ресурсу через прокси-сервер:
   • Сервер доступа RDS — для сессий по протоколу RDP или в режиме RemoteApp.
   • Сервер доступа на Linux — для сессий по протоколам RDP, SSH, SCP, SFTP или HTTP (веб-сессия в браузере), а также для подключений к СУБД PostgreSQL и MSSQL в консоли или клиентском приложении.
3. Сервер доступа обращается к серверу управления, чтобы повторно аутентифицировать пользователя, проверить разрешения и получить данные привилегированной учетной записи из СУБД.
4. После проверки сервер доступа открывает пользователю сессию к целевому ресурсу от имени привилегированной учетной записи.
5. В ходе сессии сервер доступа фиксирует действия пользователя и сохраняет видеозапись, передаваемые файлы и скриншоты сессии в медиахранилище, а текстовый лог в базу данных Core. Логирование сессии зависит от типа подключения.
6. SSH- или RDP-сессию можно запустить в браузере через Web Terminal, который располагается на сервере доступа на Linux. Сервер доступа идентифицирует пользователя через сервер управления и контролирует сессию на ресурсе.

Административный сценарий

1. Подключение к консоли администратора
   Администратор через браузер подключается к консоли на сервере управления. Все действия происходят через балансировщик нагрузки. Сервер управления проверяет учетную запись через сервер аутентификации и обращается к базе данных IdP, чтобы идентифицировать пользователя и определить его привилегии.
2. Администрирование Indeed PAM
   После аутентификации администратор управляет объектами PAM — ресурсами, пользователями, доступами, а также проводит аудит и выполняет сервисные операции.

Размещение на Windows

Компоненты Indeed PAM устанавливаются на два отдельных сервера. Рекомендуется для ознакомления и тестирования.

Пользовательский сценарий

О схеме

Сервер управления и сервер доступа RDS работают на ОС Windows и располагаются на одном хосте.

1. Пользователь через приложение Desktop Console или консоль в браузере подключается к серверу управления. Сервер управления аутентифицирует пользователя — обращается к базе данных IdP или внешним сервисам аутентификации, чтобы проверить данные пользователя и предоставить список доступных ресурсов из базы Core.
2. После аутентификации пользователь может подключиться к ресурсу через прокси-сервер:
   • Сервер доступа RDS — для сессий по протоколу RDP или в режиме RemoteApp.
   • Сервер доступа на Linux — для сессий по протоколам RDP, SSH, SCP, SFTP или HTTP (веб-сессия в браузере), а также для подключений к СУБД PostgreSQL и MSSQL в консоли или клиентском приложении.
3. Сервер доступа обращается к серверу управления, чтобы повторно аутентифицировать пользователя, проверить разрешения и получить данные привилегированной учетной записи из СУБД.
4. После проверки сервер доступа открывает пользователю сессию к целевому ресурсу от имени привилегированной учетной записи.
5. В ходе сессии сервер доступа фиксирует действия пользователя и сохраняет видеозапись, передаваемые файлы и скриншоты сессии в медиахранилище, а текстовый лог в базу данных Core. Логирование сессии зависит от типа подключения.
6. SSH- или RDP-сессию можно запустить в браузере через Web Terminal, который располагается на сервере доступа на Linux. Сервер доступа идентифицирует пользователя через сервер управления и контролирует сессию на ресурсе.

Административный сценарий

1. Подключение к консоли администратора
   Администратор через браузер подключается к консоли на сервере управления. Сервер управления проверяет учетную запись через сервер аутентификации и обращается к базе данных IdP, чтобы идентифицировать пользователя и определить его привилегии.
2. Администрирование Indeed PAM
   После аутентификации администратор управляет объектами PAM — ресурсами, пользователями, доступами, а также проводит аудит и выполняет сервисные операции.

Размещение на Linux

Компоненты Indeed PAM устанавливаются на два отдельных сервера. Рекомендуется для ознакомления и тестирования.

Пользовательский сценарий

О схеме

Сервер управления и серверы доступа SSH, RDP, Web, PostgreSQL и MSSQL работают на ОС Linux и располагаются на одном хосте.

1. Пользователь через приложение Desktop Console или консоль в браузере подключается к серверу управления. Сервер управления аутентифицирует пользователя — обращается к базе данных IdP или внешним сервисам аутентификации, чтобы проверить данные пользователя и предоставить список доступных ресурсов из базы Core.
2. После аутентификации пользователь может подключиться к ресурсу через прокси-сервер:
   • Сервер доступа RDS — для сессий по протоколу RDP или в режиме RemoteApp.
   • Сервер доступа на Linux — для сессий по протоколам RDP, SSH, SCP, SFTP или HTTP (веб-сессия в браузере), а также для подключений к СУБД PostgreSQL и MSSQL в консоли или клиентском приложении.
3. Сервер доступа обращается к серверу управления, чтобы повторно аутентифицировать пользователя, проверить разрешения и получить данные привилегированной учетной записи из СУБД.
4. После проверки сервер доступа открывает пользователю сессию к целевому ресурсу от имени привилегированной учетной записи.
5. В ходе сессии сервер доступа фиксирует действия пользователя и сохраняет видеозапись, передаваемые файлы и скриншоты сессии в медиахранилище, а текстовый лог в базу данных Core. Логирование сессии зависит от типа подключения.
6. SSH- или RDP-сессию можно запустить в браузере через Web Terminal, который располагается на сервере доступа на Linux. Сервер доступа идентифицирует пользователя через сервер управления и контролирует сессию на ресурсе.

Административный сценарий

1. Подключение к консоли администратора
   Администратор через браузер подключается к консоли на сервере управления. Сервер управления проверяет учетную запись через сервер аутентификации и обращается к базе данных IdP, чтобы идентифицировать пользователя и определить его привилегии.
2. Администрирование Indeed PAM
   После аутентификации администратор управляет объектами PAM — ресурсами, пользователями, доступами, а также проводит аудит и выполняет сервисные операции.