Установка и настройка клиентских компонентов

PamSu

Компонент PamSu позволяет пользователям Indeed PAM запускать команды с правами root, используя пароль своей собственной учетной записи пользователя cлужбы каталогов. Установка выполняется вручную на Linux-ресурсах, где требуется запускать команды с правами root.

Установка PamSu

В зависимости от дистрибутива Linux, выберите нужный формат установочного пакета:

• Формат .deb предназначен для дистрибутивов на базе Debian: к ним относятся Debian, Ubuntu и Astra Linux.
• Формат .rpm предназначен для дистрибутивов на базе RHEL: к ним относятся CentOS, Oracle Linux, Rocky Linux, RedOS и RHEL.

DEB

Чтобы установить PamSu:

1. Перейдите в папку с дистрибутивом /IndeedPAM_3.3_RU/indeed-pam-tools/pamsu/

2. Установите утилиту PamSu последней OSSL версии:

   sudo dpkg -i "indeed-pam.pamsu-ossl(3.1.8)-v3.3.0-master.196299.x64.deb"

Если во время установки возникли ошибки или PamSu не работает:

1. Удалите утилиту:

   sudo dpkg -P pamsu

2. Установите:

   • более раннюю OSSL версию, например:

     sudo dpkg -i "indeed-pam.pamsu-ossl(1.1.1s)-v3.3.0-master.196299.x64.deb"

   • NO-SSL версию, если уже установлены дополнительные криптографические модули для OpenSSL:

     sudo dpkg -i "indeed-pam.pamsu-no-ossl(3.1.8)-v3.3.0-master.196299.x64.deb"

RPM

Чтобы установить PamSu:

1. Перейдите в папку с дистрибутивом /IndeedPAM_3.3_RU/indeed-pam-tools/pamsu/

2. Установите утилиту PamSu последней OSSL версии:

   sudo rpm -i "indeed-pam.pamsu-ossl(3.1.8)-v3.3.0-master.196299.x64.rpm"

Если во время установки возникли ошибки или PamSu не работает:

1. Удалите утилиту:

   sudo rpm -e pamsu

2. Установите:

   • более раннюю OSSL версию, например:

     sudo rpm -i "indeed-pam.pamsu-ossl(1.1.1s)-v3.3.0-master.196299.x64.rpm"

   • NO-SSL версию, если уже установлены дополнительные криптографические модули для OpenSSL:

     sudo rpm -i "indeed-pam.pamsu-no-ossl(3.1.8)-v3.3.0-master.196299.x64.rpm"

Если установить PamSu не получилось, обратитесь в техническую поддержку.

Настройка PamSu

На ресурсе нужно настроить доверие к сертификатам компонентов Core и IdP.

Чтобы проверить корректность работы с сертификатами, выполните команду:

$ curl https://pam.indeed-id.local/idp/

Откройте с правами администратора конфигурационный файл /etc/pamsu.conf  и укажите настройки для idp_url, api_url, log_path и log_level:

• idp_url — адрес компонента IdP;
• core_url — адрес компонента Core;
• log_path — путь к каталогу с файлами логов;
• log_level — уровень логирования, может принимать значения INFO, WARN, ERROR, FATAL.

Пример

Set idp_url https://pam.indeed-id.local/idp
Set core_url https://pam.indeed-id.local/core
Set log_path /var/log
Set log_level INFO

На некоторых системах ssh server не разрешает по умолчанию переменные окружения LC_*. Для корректной работы приложения следует в файле /etc/ssh/sshd_config добавить строку AcceptEnv LC_PAM_USER LC_PAM_SESSION_ID, либо маской LC_*.

Примечание

Чтобы разрешить выполнять команду pamsu, в настройке политики включите опцию Разрешить выполнять pamsu.

Indeed PAM Agent

Установите Indeed PAM Agent на ресурс, чтобы включить текстовое логирование RDP-сессий.

Если на ресурсе одновременно открыто несколько RDP-сессий, дополнительно установите службу Pam.Proxy.WindowsAgentService. Служба включается автоматически при подключении к ресурсу и предотвращает повышенную нагрузку на процессор.

Чтобы установить агент и службу:

1. Перейдите в папку [Дистрибутив PAM]\indeed-pam-tools\agent
2. Скопируйте установочные пакеты агента Pam.Proxy.WindowsAgent и службы Pam.Proxy.WindowsAgentService на ресурс.
3. Установите агент и службу на ресурс.
4. Перезагрузите ресурс.

предупреждение

При отсутствии агента на ресурсе и включении опции сохранения текстовых логов в Политике подключений пользовательская сессия завершится автоматически через минуту.

Indeed PAM Desktop Console

предупреждение

Для работы Indeed PAM Desktop Console на клиентском компьютере должен быть установлен Microsoft .NET Framework версии 4.6.2 и выше.
С информацией по установке можно ознакомиться в документации Microsoft.

Настройка Indeed Pam Desktop Console для доменных машин

1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions на контроллер домена в каталог C:\Windows\sysvol\domain\policies\PolicyDefinitions.
2. На контроллере домена запустите оснастку Управление групповой политикой (Group Policy Management Console).
3. Выберите необходимый объект групповой политики, перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
4. Включите и настройте PAM connection settings (Настройки подключения с PAM). Укажите следующие URL: https://<ваш_FQDN>/core и https://<ваш_FQDN>/idp.
5. Обновите групповые политики на клиентском компьютере.

Настройка для машин, к которым не применяются доменные политики

1. Скопируйте содержимое папки indeed-pam-tools\desktop-console\PolicyDefinitions в каталог C:\Windows\PolicyDefinitions.
2. Запустите редактор локальной групповой политики gpedit.msc.
3. Перейдите в раздел Computer Configuration\Policies\Administrative Templates\Indeed PAM\General\ (Конфигурация компьютера\Политики\Административные шаблоны\Indeed PAM\Общие).
4. Включите и настройте PAM connection settings (Настройки подключения с PAM). Укажите следующие URL: https://<ваш_FQDN>/core и https://<ваш_FQDN>/idp.

Настройка записи событий в Syslog

Syslog-сервер используется для интеграции с SIEM-системой и выполняет роль единого хранилища для записей событий PAM и/или текстовых логов сессий. Данные обновляются в режиме реального времени: в процессе активного удаленного подключения, а не после его завершения.

Чтобы отправлять записи журнала События на Syslog-сервер, настройте конфигурационные файлы по инструкции ниже.
Отправка на Syslog-сервер текстовых логов сессий настраивается в разделе Конфигурация.

Windows

1. Перейдите в каталог C:\inetpub\wwwroot\ls\targetConfigs, создайте копию файла sampleSyslog.config и переименуйте ее в Pam.Syslog.config, затем отредактируйте <Settings> … </Settings> в соответствии с настройками ниже:

   • HostName — имя Syslog-сервера 
   • Port — порт Syslog-сервера 
   • Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP
   • Format — формат логов: Plain, CEF, LEEF
   • SyslogVersion — спецификация протокола: RFC3164, RFC5424
     
     
   C:\inetpub\wwwroot\ls\targetConfigs

   <Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164" />

2. В файле C:\inetpub\wwwroot\ls\clientApps.config отредактируйте секцию pam для работы с файлом Pam.Syslog.config — добавьте новый TargetId для WriteTarget:

   C:\inetpub\wwwroot\ls\clientApps.config

   <Application Id="pam" SchemaId="Pam.Schema">
     <ReadTargetId>Pam.TargetDb</ReadTargetId>
     <WriteTargets>
       <TargetId>Pam.TargetDb</TargetId>
       <TargetId>Pam.Syslog</TargetId>
     </WriteTargets>
     <AccessControl>
       <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read" />-->
     </AccessControl>
   </Application>

3. Далее в этом же файле в секции Targets добавьте новый элемент:

   C:\inetpub\wwwroot\ls\clientApps.config

   <Targets>
     ...
     <Target Id="Pam.TargetDb" Type="mssql"/>
     <Target Id="Pam.Syslog" Type="syslog"/>
   </Targets>

   В Target Id="Pam.TargetDb" пропишите Type в зависимости от используемой БД: mssql или pgsql.

Linux

1. Перейдите в каталог /etc/indeed/indeed-pam/ls/targets, отредактируйте <Settings> … </Settings> в файле Pam.Syslog.config в соответствии с настройками ниже:

   • HostName — имя Syslog-сервера 
   • Port — порт Syslog-сервера 
   • Protocol — тип подключения к Syslog-серверу: TCPoverTLS, TCP, UDP
   • Format — формат логов: Plain, CEF, LEEF
   • SyslogVersion — спецификация протокола: RFC3164, RFC5424
     
     
   /etc/indeed/indeed-pam/ls/targets

   <Settings HostName="localhost" Port="5081" Protocol="TCP" Format="CEF" SyslogVersion="RFC3164"/>

2. В файле /etc/indeed/indeed-pam/ls/clientApps.config отредактируйте секцию pam для работы с файлом Pam.Syslog.config — добавьте новый TargetId для WriteTarget:

   /etc/indeed/indeed-pam/ls/clientApps.config

   <Application Id="pam" SchemaId="Pam.Schema">
     <ReadTargetId>Pam.DbTarget</ReadTargetId>
     <WriteTargets>
       <TargetId>Pam.DbTarget</TargetId>
       <TargetId>Pam.Syslog</TargetId>
     </WriteTargets>
     <AccessControl>
       <!--<CertificateAccessControl CertificateThumbprint="001122...AA11" Rights="Read"/>-->
     </AccessControl>
   </Application> 

3. Далее в этом же файле в секции Targets добавьте новый элемент:

   /etc/indeed/indeed-pam/ls/clientApps.config

   <Targets>
     ...
     <Target Id="Pam.DbTarget" Type="mssql"/>
     <Target Id="Pam.Syslog" Type="syslog"/>
   </Targets> 

   В Target Id="Pam.DbTarget" пропишите Type в зависимости от используемой БД: mssql или pgsql.