Автоматизация через ConsoleApp

Утилита ConsoleApp позволяет автоматически управлять объектами Indeed PAM и настраивать права доступа. Например, с помощью утилиты можно одновременно создать несколько ресурсов или учетных записей, а также отозвать все неиспользуемые разрешения.

Примечание

Все операции, выполненные утилитой, записываются в журнал События.

Аутентификация

Перед началом работы с утилитой настройте аутентификацию, чтобы получить доступ к Indeed PAM. ConsoleApp поддерживает следующие режимы аутентификации по протоколу OAuth 2.0:

• Resource Owner Password Flow (ROPC) — утилита получает токен доступа от имени пользователя PAM и передает его учетные данные компоненту Indeed PAM IDP. Все действия, совершаемые через утилиту, выполняются от имени пользователя PAM, а доступные операции ограничены привилегиями указанного пользователя.
• Client Credentials Flow — утилита аутентифицируется в PAM от своего имени в режиме Machine-to-Machine (M2M). Все действия, совершаемые через утилиту, выполняются от имени сервисного клиента Console Application, а доступные операции ограничены привилегиями этого клиента.

Resource Owner Password Flow

Примечание

Для ROPC-аутентификации не заполняйте параметр clientSecret — оставьте значение пустым.

Чтобы настроить аутентификацию:

1. Перейдите в папку с утилитой и откройте конфигурационный файл appsettings.json.
2. Для параметра coreUrl укажите адрес компонента Core.
3. Для параметра idpUrl укажите адрес компонента IdP.
4. Для параметра authUsername укажите логин пользователя PAM.
   Если не заполнить параметр, логин потребуется ввести при запуске утилиты.
5. Для параметра authPassword укажите пароль пользователя PAM.
   Если не заполнить параметр, пароль потребуется ввести при запуске утилиты.

При запуске утилиты аутентификация выполняется от имени указанного пользователя PAM. Если для пользователя настроена двухфакторная аутентификация, утилита запросит OTP-код.

Client Credentials Flow

предупреждение

Не рекомендуется использовать данную аутентификацию — все пользователи, которые работают с утилитой, выполняют операции от имени сервисного клиента и имеют одинаковый набор привилегий. Чтобы разграничить права и повысить безопасность, используйте ROPC-аутентификацию.

Чтобы настроить аутентификацию:

1. Перейдите в папку с утилитой и откройте конфигурационный файл appsettings.json.
2. Для параметра clientSecret укажите секрет клиента Console Application.

При запуске утилиты аутентификация выполняется от имени сервисного клиента, при этом OTP-код не запрашивается.

Где найти секрет клиента?

Перейдите в конфигурационный файл компонента IdP по пути:

• Windows: C:\inetpub\wwwroot\idp\appsettings.json
• Linux: /etc/indeed/indeed-pam/idp/appsettings.json

В секции IdentitySettings в параметре ConsoleAppClientSecret указан секрет клиента.

Пример конфигурационного файла

Resource Owner Password Flow

{
  "coreUrl": "https://pam.example.local/core",
  "idpUrl": "https://pam.example.local/idp",
  "clientSecret": "",
  "authUsername": "ConsoleAppUser",
  "authPassword": "#123QwerTy!",
  "skipErrorsInBulkProcessing": true,
  "NLog": {
    "variables": {
      "minLevel": "Trace",
      "dbMinLevel": "Info",
      "maxArchiveFilesPerCategory": 23
    },
    "rules": {
      "1": {
        "logger": "*",
        "minLevel": "Trace",
        "writeTo": "processFile"
      }
    }
  }
}

Client Credentials Flow

{
  "coreUrl": "https://pam.example.local/core",
  "idpUrl": "https://pam.example.local/idp",
  "clientSecret": "NPW8dALzsjzpSGDlTGIEMt5o6sjM8x3sz",
  "authUsername": "",
  "authPassword": "",
  "skipErrorsInBulkProcessing": true,
  "NLog": {
    "variables": {
      "minLevel": "Trace",
      "dbMinLevel": "Info",
      "maxArchiveFilesPerCategory": 23
    },
    "rules": {
      "1": {
        "logger": "*",
        "minLevel": "Trace",
        "writeTo": "processFile"
      }
    }
  }
}

Операции с учетными записями

Создать учетную запись

Одна учетная запись

Чтобы создать учетную запись в Indeed PAM:

1. Перейдите в папку с утилитой.

2. Запустите утилиту с параметрами из таблицы:

   Windows

   .\Pam.ConsoleApp.exe create-account <параметр> <значение>

   Linux

   dotnet ./Pam.ConsoleApp.dll create-account <параметр> <значение>
   Параметры

   Параметр	Требование	Описание
   --username	Обязательный	Имя учетной записи
   --resource или --domain	Обязательный	Размещение учетной записи: --resource — имя ресурса; --domain — имя домена. Укажите один из параметров.
   --password	Необязательный	Пароль учетной записи
   --description	Необязательный	Описание
   --policy	Необязательный	Политика, которую требуется применить к учетной записи
   --key-file	Необязательный	Путь к файлу SSH-ключа, например: .\id_rsa
   --key-passphrase	Необязательный	Пароль к файлу SSH-ключа

   Примеры команд

   Windows

   Создать учетную запись

   .\Pam.ConsoleApp.exe create-account `
   --username Administrator `
   --resource app01.local `
   --password "Pass123$" `
   --description "Local admin" `
   --policy Default

   Создать доменную учетную запись

    .\Pam.ConsoleApp.exe create-account --username Administrator --domain dev.local  

   Создать учетную запись с SSH-ключом

    .\Pam.ConsoleApp.exe create-account `
    --username root `
    --resource linux01.local `
    --password "Pass123$" `
    --key-file .\id_rsa `
    --key-passphrase "Passphrase"

   Linux

   Создать учетную запись

    dotnet ./Pam.ConsoleApp.dll create-account `
   --username Administrator `
   --resource app01.local `
   --password "Pass123$" `
   --description "Local admin" `
   --policy Default   

   Создать доменную учетную запись

    dotnet ./Pam.ConsoleApp.dll create-account --username Administrator --domain dev.local  

   Создать учетную запись с SSH-ключом

    dotnet ./Pam.ConsoleApp.dll create-account `
    --username root `
    --resource linux01.local `
    --password "Pass123$" `
    --key-file .\id_rsa `
    --key-passphrase "Passphrase"

Несколько учетных записей

Чтобы создать несколько учетных записей в Indeed PAM:

1. Создайте файл в формате CSV по следующему шаблону:

   Location type;Location Name;Username;Set password;Password;Description;SSH key file path;SSH key passphrase
   Параметры

   Параметр	Требование	Описание
   Location type	Обязательный	Тип учетной записи: Local — ресурсная; Domain — доменная.
   Location Name	Обязательный	Имя ресурса или домена
   Username	Обязательный	Имя учетной записи
   Set password	Обязательный	Задать для учетной записи пароль: true — задать пароль; false — создать учетную запись без пароля.
   Password	Необязательный	Пароль учетной записи. Укажите, если для Set password указано true.
   Description	Необязательный	Описание
   SSH key file path	Необязательный	Путь к файлу SSH-ключа, например: .\id_rsa
   SSH key passphrase	Необязательный	Пароль к файлу SSH-ключа

   Пример CSV-файла

   Local;dc.dev.local;root;true;root;Local account;;
   Local;raspberrypi;root;true;root;SSH key example;id_rsa;passphrase
   Domain;dev.local;Administrator;false;;Domain admin;;

2. Перейдите в папку с утилитой и выполните команду:

   Windows

   .\Pam.ConsoleApp.exe create-accounts-from-file --file <путь к файлу>

   Linux

   dotnet ./Pam.ConsoleApp.dll create-accounts-from-file --file <путь к файлу>

Удалить учетную запись

Чтобы удалить учетную запись из Indeed PAM:

1. Перейдите в папку с утилитой.

2. Выполните команду, указав имя учетной записи или ее идентификатор:

   Windows

   .\Pam.ConsoleApp.exe delete-account --name <имя учетной записи>

   .\Pam.ConsoleApp.exe delete-account --id <идентификатор учетной записи>

   Linux

   dotnet ./Pam.ConsoleApp.dll delete-account --name <размещение\имя учетной записи>

   dotnet ./Pam.ConsoleApp.dll delete-account --id <идентификатор учетной записи>

   Идентификатор отображается в URL-адресе в профиле учетной записи.

   Примеры команд

   Windows

   Удалить учетную запись по имени

   .\Pam.ConsoleApp.exe delete-account --name app01.local\User

   Удалить учетную запись по идентификатору

   .\Pam.ConsoleApp.exe delete-account --id a988f1b0-b871-43fa-a40c-6f4ac75f904c

   Linux

   Удалить учетную запись по имени

   dotnet ./Pam.ConsoleApp.dll delete-account --name app01.local\Administrator

   Удалить учетную запись по идентификатору

   dotnet ./Pam.ConsoleApp.dll delete-account --id a988f1b0-b871-43fa-a40c-6f4ac75f904c

Операции с ресурсами

Создать ресурс

Один ресурс

Чтобы создать ресурс в Indeed PAM:

1. Перейдите в папку с утилитой.

2. Запустите утилиту с параметрами из таблицы:

   Windows

   .\Pam.ConsoleApp.exe create-resource <параметр> <значение>

   Linux

   dotnet ./Pam.ConsoleApp.dll create-resource <параметр> <значение>
   Параметры

   Параметр	Требование	Описание
   --name	Обязательный	Имя ресурса
   --description	Необязательный	Описание
   --dns-name или --ip-address	Обязательный	Адрес ресурса: --dns-name — DNS-имя; --ip-address — IP-адрес. Можно указать один из параметров.
   --user-connection-type	Обязательный	Тип пользовательского подключения. Подробнее о типах читайте в разделе Пользовательское подключение.
   --user-connection-address	Необязательный	IP-адрес или DNS-имя пользовательского подключения
   --user-connection-port	Необязательный	Порт пользовательского подключения
   --user-connection-matching-url	Необязательный	URL-адрес страницы входа для веб-ресурса
   --user-connection-matching-url-is-regex	Необязательный	URL-адрес страницы входа является регулярным выражением: true — является; false — не является. Укажите, если задан параметр UC matching url.
   --service-account	Необязательный	Имя сервисной учетной записи
   --service-connection-type	Необязательный	Тип сервисного подключения. Подробнее о типах читайте в разделе Сервисное подключение.
   --service-connection-port	Необязательный	Порт для сервисного подключения
   --service-ssh-template	Необязательный	Имя шаблона SSH-коннектора. Укажите, если выбран тип сервисного подключения SSH.
   --cisco-privilege-mode-password	Необязательный	Пароль для привилегированного входа Cisco. Укажите, если задан тип сервисного подключения Cisco IOS.
   --policy	Необязательный	Политика, которую требуется применить к ресурсу

   Примеры команд

   Windows

   Создать один ресурс

    .\Pam.ConsoleApp.exe create-resource `
    --name APP01 `
    --description "Application server" `
    --dns-name app01.local `
    --user-connection-type RDP `
    --user-connection-port 3389 `
    --service-account DOMAIN\svc_app `
    --service-connection-type Windows 

   Linux

   Создать один ресурс

    dotnet ./Pam.ConsoleApp.dll create-resource `
    --name APP01 `
    --description "Application server" `
    --dns-name app01.local `
    --user-connection-type RDP `
    --user-connection-port 3389 `
    --service-account DOMAIN\svc_app `
    --service-connection-type Windows 

Несколько ресурсов

Чтобы создать несколько ресурсов в Indeed PAM:

1. Создайте файл в формате CSV по следующему шаблону:

   Name;Description;DNS name;IP address;UC type;UC address;UC port;UC matching url;UC matching url is regex;SC account name;SC type;SC SSH template;SC address;SC port;Cisco privilege mode password
   Параметры

   Параметр	Требование	Описание
   Name	Обязательный	Имя ресурса
   Description	Необязательный	Описание
   DNS name или IP address	Обязательный	DNS-имя или IP-адрес ресурса. Можно указать один из параметров.
   UC type	Обязательный	Тип пользовательского подключения. Подробнее о типах читайте в разделе Пользовательское подключение.
   UC address	Необязательный	IP-адрес или DNS-имя пользовательского подключения
   UC port	Необязательный	Порт пользовательского подключения
   UC matching url	Необязательный	URL-адрес страницы входа для веб-ресурса
   UC matching url is regex	Необязательный	URL-адрес страницы входа является регулярным выражением: true — является; false — не является. Укажите, если задан параметр UC matching url.
   SC account name	Необязательный	Имя сервисной учетной записи
   SC type	Необязательный	Тип сервисного подключения. Подробнее о типах читайте в разделе Сервисное подключение.
   SC SSH template	Необязательный	Имя шаблона SSH-коннектора. Укажите, если выбран тип сервисного подключения SSH.
   SC address	Необязательный	IP-адрес или DNS-имя сервисного подключения
   SC port	Необязательный	Порт для сервисного подключения
   Cisco privilege mode password	Необязательный	Пароль для привилегированного входа Cisco. Укажите, если задан тип сервисного подключения Cisco IOS.

   Пример CSV-файла

   APP01;Application server;app01.local;;RDP;;;;;DOMAIN\svc_app;Windows;;;;
   WEB01;Corporate website;portal.local;;WebTemplate;https://portal.local/;;https://portal.local/login;FALSE;DOMAIN\svc_web;Windows;;;;
   SSH01;Linux server;;192.168.0.50;SSH;;;;;;;;;;

2. Перейдите в папку с утилитой и выполните команду:

   .\Pam.ConsoleApp.exe create-resources-from-file --file <путь к файлу>

Удалить ресурс

Чтобы удалить ресурс из Indeed PAM:

1. Перейдите в папку с утилитой.

2. Выполните команду, указав имя ресурса или его идентификатор:

   Windows

   .\Pam.ConsoleApp.exe delete-resource --name <имя ресурса>

   .\Pam.ConsoleApp.exe delete-resource --id <идентификатор ресурса>

   Linux

   dotnet ./Pam.ConsoleApp.dll delete-resource --name <имя ресурса>

   dotnet ./Pam.ConsoleApp.dll delete-resource --id <идентификатор ресурса>

   Идентификатор отображается в URL-адресе в профиле ресурса.

   Примеры команд

   Windows

   Удалить ресурс по имени

   .\Pam.ConsoleApp.exe delete-resource --name app01.local

   Удалить ресурс по идентификатору

   .\Pam.ConsoleApp.exe delete-resource --id a988f1b0-b871-43fa-a40c-6f4ac75f904c

   Linux

   Удалить ресурс по имени

   dotnet ./Pam.ConsoleApp.dll delete-resource --name app01.local

   Удалить ресурс по идентификатору

   dotnet ./Pam.ConsoleApp.dll delete-resource --id a988f1b0-b871-43fa-a40c-6f4ac75f904c

Операции с разрешениями

Создать разрешение

Одно разрешение

Чтобы создать разрешение в Indeed PAM:

1. Перейдите в папку с утилитой.

2. Запустите утилиту с параметрами из таблицы:

   Windows

   .\Pam.ConsoleApp.exe create-permission <параметр> <значение>

   Linux

   dotnet ./Pam.ConsoleApp.dll create-permission <параметр> <значение>
   Параметры

   Параметр	Требование	Описание
   --user	Обязательный	Имя пользователя PAM в формате UPN
   --account	Необязательный	Имя учетной записи PAM для подключения к ресурсу. Если не указать значение, при запуске сессии потребуется указать логин и пароль учетной записи.
   --resources или --resources-group	Обязательный	Имя ресурса или группы ресурсов. Укажите в формате: <имя ресурса>:<тип подключения> — для одного или нескольких ресурсов; <имя группы> — для группы ресурсов.
   --active-from	Необязательный	Период времени, когда разрешение станет активным. Укажите в формате ДД.ММ.ГГГГ ЧЧ:ММ или ДД.ММ.ГГГГ.
   --active-to	Необязательный	Период времени, когда разрешение приостановит свое действие. Укажите в формате ДД.ММ.ГГГГ ЧЧ:ММ или ДД.ММ.ГГГГ.
   --schedule-time-from	Необязательный	Время, когда разрешение можно использовать. Укажите в формате ЧЧ:ММ.
   --schedule-time-end	Необязательный	Время, когда разрешение нельзя использовать. Укажите в формате ЧЧ:ММ.
   --schedule-time-utc	Необязательный	Преобразовывать заданное время доступа из текущего часового пояса в UTC: true — использовать текущий часовой пояс; false — преобразовать в UTC.
   --allow-to-view-creds	Необязательный	Разрешить пользователю просматривать данные учетных записей, добавленных в разрешение: true — разрешить; false — не разрешать.
   --allow-to-change-creds	Необязательный	Разрешить пользователю менять данные учетных записей, добавленных в разрешение: true — разрешить; false — не разрешать.

   Примеры команд

   Windows

   Создать разрешение для нескольких ресурсов

   .\Pam.ConsoleApp.exe create-permission `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources srv01.local:RDP,srv02.local:SSH

   Создать разрешение для группы ресурсов

   .\Pam.ConsoleApp.exe create-permission `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources-group PROD-SERVERS

   Создать разрешение с временным ограничением

   .\Pam.ConsoleApp.exe create-permission `
     --user ivanov@domain.local `
     --resources srv01.local:SSH `
     --active-from "01.08.2026 09:00" `
     --active-to "31.08.2026 18:00" `
     --schedule-time-from 08:00 `
     --schedule-time-end 21:59 `
     --schedule-time-utc true `
     --allow-to-view-creds true `
     --allow-to-change-creds true

   Linux

   Создать разрешение для нескольких ресурсов

   dotnet ./Pam.ConsoleApp.dll create-permission `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources srv01.local:RDP,srv02.local:SSH

   Создать разрешение для группы ресурсов

   dotnet ./Pam.ConsoleApp.dll create-permission `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources-group PROD-SERVERS

   Создать разрешение с временным ограничением

   dotnet ./Pam.ConsoleApp.dll create-permission `
     --user ivanov@domain.local `
     --account resource\Administrator `
     --resources srv01.local:SSH `
     --active-from "01.08.2026 09:00" `
     --active-to "31.08.2026 18:00" `
     --schedule-time-from 08:00 `
     --schedule-time-end 21:59 `
     --schedule-time-utc true `
     --allow-to-view-creds true `
     --allow-to-change-creds true

Несколько разрешений

Чтобы создать несколько разрешений в Indeed PAM:

1. Создайте файл в формате CSV по следующему шаблону:

   UserPrincipalName;AccountName;Resource1[:ConnectionType];Resource2[:ConnectionType];...;ResourceN[:ConnectionType]
   Параметры

   Параметр	Требование	Описание
   UserPrincipalName	Обязательный	Имя пользователя PAM в формате UPN
   AccountName	Обязательный	Имя учетной записи в формате DOMAIN\user. Если не указать значение, при запуске сессии потребуется указать логин и пароль учетной записи.
   Resource[:ConnectionType]	Обязательный	Имя ресурса и пользовательского подключения. Можно указать несколько ресурсов. Пример: srv01.local:RDP;srv02.local:SSH. Если у ресурса одно пользовательское подключение, тип подключения можно не указывать.

   Пример CSV-файла

   ivanov@domain.local;DOMAIN\Administrator;srv01.local:RDP;srv02.local:SSH
   petrov@domain.local;;linux01.local:SSH

2. Перейдите в папку с утилитой и выполните команду:

   Windows

   .\Pam.ConsoleApp.exe create-permissions-from-file --file <путь к файлу>

   Linux

   dotnet ./Pam.ConsoleApp.dll create-permissions-from-file --file <путь к файлу>

Отозвать разрешение

Предупреждение

Отозванные разрешения нельзя восстановить. Если требуется временно запретить использовать разрешение, то приостановите его действие.

Одно разрешение

Чтобы отозвать разрешение:

1. Перейдите в папку с утилитой.

2. Выполните следующую команду:

   Windows

   Отозвать разрешение по номеру

   .\Pam.ConsoleApp.exe revoke-permissions --permissions <номера разрешений>

   Отозвать разрешение пользователя

   .\Pam.ConsoleApp.exe revoke-permissions-by-user <параметр> <значение>

   Linux

   Отозвать разрешение по номеру

   dotnet ./Pam.ConsoleApp.dll revoke-permissions --permissions <номера разрешений>

   Отозвать разрешение пользователя

   dotnet ./Pam.ConsoleApp.dll revoke-permissions-by-user <параметр> <значение>
   Параметры

   Параметр	Требование	Описание
   --user	Обязательный	Имя пользователя PAM в формате UPN
   --account	Необязательный	Имя учетной записи
   --resources или --resources-group	Обязательный	Имя ресурса или группы ресурсов. Укажите один из параметров.

   Примеры команд

   Windows

   Отозвать разрешения пользователя по ресурсам

   .\Pam.ConsoleApp.exe revoke-permissions-by-user `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources srv01.local:RDP,srv02.local:SSH

   Отозвать разрешения пользователя по группе ресурсов

   .\Pam.ConsoleApp.exe revoke-permissions-by-user `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources-group PROD-SERVERS

   Linux

   Отозвать разрешения на ресурс

   dotnet ./Pam.ConsoleApp.dll revoke-permissions-by-user `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources srv01.local:RDP,srv02.local:SSH

   Отозвать разрешения пользователя на группу ресурсов

   dotnet ./Pam.ConsoleApp.dll revoke-permissions-by-user `
     --user ivanov@domain.local `
     --account DOMAIN\Administrator `
     --resources-group PROD-SERVERS

Несколько разрешений

Чтобы отозвать несколько разрешений в Indeed PAM:

1. Создайте файл в формате CSV по следующему шаблону:

   UserPrincipalName;AccountName;Resource1[:ConnectionType];Resource2[:ConnectionType];...;ResourceN[:ConnectionType]
   Параметры

   Параметр	Требование	Описание
   UserPrincipalName	Обязательный	Имя пользователя PAM в формате UPN
   AccountName	Обязательный	Имя учетной записи в формате DOMAIN\user. Если не указать значение, при запуске сессии потребуется указать логин и пароль учетной записи.
   Resource[:ConnectionType]	Обязательный	Имя ресурса и пользовательского подключения. Можно указать несколько ресурсов. Пример: srv01.local:RDP;srv02.local:SSH

   Пример CSV-файла

   ivanov@domain.local;DOMAIN\Administrator;srv01.local:RDP;srv02.local:SSH
   petrov@domain.local;;linux01.local:SSH

2. Перейдите в папку с утилитой и выполните команду:

   .\Pam.ConsoleApp.exe revoke-permissions-from-file --file <путь к файлу> 

После выполнения команды указанные разрешения переходят в состояние Отозвано.

Приостановить разрешение

Неиспользуемое разрешение — разрешение, которым не воспользовались в течение периода, заданного в настройках Контроль использования PAM. Рекомендуется отозвать или приостановить такое разрешение.

Чтобы приостановить неиспользуемые разрешения:

1. Перейдите в папку с утилитой.

2. Выполните следующую команду:

   Windows

   .\Pam.ConsoleApp.exe suspend-unused-permissions

   Linux

   dotnet ./Pam.ConsoleApp.dll suspend-unused-permissions

После выполнения команды все неиспользуемые разрешения переходят в состояние Приостановлено.
В любой момент разрешение можно возобновить.