Учетные записи каталога пользователей

Взаимодействие Indeed PAM с конечными пользователями выполняется за счет учетной записи, которая будет получать список пользователей и их атрибуты.

Поддерживаются следующие службы каталогов:

• Active Directory;
• FreeIPA 4.12.1 и ниже;
• OpenLDAP 2.6 и ниже;
• ALD Pro 3.0 и ниже;
• RED ADM 2.0.1 и ниже;
• Samba DC 4.23 и ниже.

Примечание

В Indeed PAM версии 3.2 и выше доступна работа с внутренними пользователями без подключения службы каталогов.

Учетная запись для работы с каталогом пользователей

Active Directory

1. Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2. Вызовите контекстное меню контейнера или подразделения.
3. Выберите пункт Создать (Create) — Пользователь (User).
4. Укажите имя, например, IPAMADReadOps.
5. Заполните обязательные поля и завершите создание учетной записи.

FreeIPA

1. Запустите оснастку FreeIPA под пользователем с правами администратора.
2. Создайте пользователя, например, IPAMADReadOps.
3. Откройте вкладку IPA Server.
4. В выпадающем меню Role-Based Access Control выберите пункт Permissions.
5. Создайте разрешение со следующими значениями:
   • Permission name: pam_attr_read.
   • Granted Rights: read, search.
   • Effective attributes: entryDn, entryUUID, ipaUniqueID, ipaNTSecurityIdentifier, memberOf, uid, givenName, krbPrincipalName, cn, sn, photo (или jpegPhoto), member, nsOsVersion, fqdn, initials, krbPasswordExpiration.
6. В выпадающем меню Role-Based Access Control выберите пункт Privileges.
7. Создайте новую привилегию (например, pam_privilege_read) и добавьте в нее только что созданное разрешение pam_attr_read.
8. В выпадающем меню Role-Based Access Control выберите пункт Roles.
9. Создайте новую роль (например, IPAMADReadOps_role) и добавьте в нее созданную привелегию pam_privilege.
10. Назначьте созданную роль на пользователя IPAMADServiceOps одним из способов:
    • назначьте роль на пользователя;
    • назначьте роль на группу пользователей и добавьте пользователя в эту группу.

ALD Pro

1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите пункт Пользователи.
2. Нажмите Новый пользователь.
3. В поле Имя учетной записи укажите IPAMADReadOps или другое удобное для вас имя учетной записи для работы с каталогом пользователей.
4. Заполните обязательные поля и завершите создание учетной записи.
5. Добавьте созданного пользователя в группу admins.

OpenLDAP

1. Создайте пользователя, например, IPAMADReadOps.
2. Выдайте пользователю права на чтение следующих атрибутов:
   • entryUUID
   • entryDn
   • uid
   • cn
   • osVersion
   • groupOfUniqueNames
   • uniqueMember

RED ADM

Создайте учетную запись одним из описанных ниже способов.

Чтобы создать учетную запись с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers), выполните следующие шаги:

1. Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2. Вызовите контекстное меню контейнера или подразделения.
3. Выберите пункт Создать (Create) — Пользователь (User).
4. Укажите имя, например, IPAMADReadOps.
5. Заполните обязательные поля и завершите создание учетной записи.

Чтобы создать учетную запись с помощью веб-интерфейса RED ADM, выполните следующие шаги:

1. Откройте веб-интерфейс RED ADM.
2. В левой части экрана выберите пункт Пользователи.
3. Нажмите Создать.
4. Укажите имя, например, IPAMADReadOps.
5. Заполните обязательные поля и завершите создание учетной записи.

Samba DC

Создайте учетную запись одним из описанных ниже способов.

Чтобы создать учетную запись с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers), выполните следующие шаги:

1. Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2. Вызовите контекстное меню контейнера или подразделения.
3. Выберите пункт Создать (Create) — Пользователь (User).
4. Укажите имя, например, IPAMADReadOps.
5. Заполните обязательные поля и завершите создание учетной записи.

Чтобы создать учетную запись с помощью командной строки, введите следующую команду:

samba-tool user create IPAMADReadOps

Учетная запись для сервисных операций

Active Directory

1. Запустите оснастку Active Directory — пользователи и компьютеры(Active Directory Users and Computers).
2. Откройте контекстное меню контейнера или подразделения.
3. Выберите пункт Создать(Create) — Пользователь (User).
4. Укажите имя, например, IPAMADServiceOps.
5. Заполните обязательные поля и завершите создание учетной записи.
6. Откройте контекстное меню контейнера, подразделения или корня домена.
7. Выберите пункт Свойства (Properties).
8. Перейдите на вкладку Безопасность (Security).
9. Нажмите Добавить (Add).
10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.
11. Нажмите Дополнительно (Advanced).
12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить(Edit).
13. Установите для поля Применяется к:(Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).
14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).
15. Сохраните внесенные изменения.

FreeIPA

1. Запустите оснастку FreeIPA под пользователем с правами администратора.
2. Создайте пользователя, например, IPAMADServiceOps.
3. Откройте вкладку IPA Server.
4. В выпадающем меню Role-Based Access Control выберите пункт Permissions.
5. Создайте разрешение со следующими значениями:
   • Permission name: pam_attr_read.
   • Granted Rights: read, search.
   • Effective attributes: entryDn, entryUUID, ipaUniqueID, ipaNTSecurityIdentifier, memberOf, uid, givenName, krbPrincipalName, cn, sn, photo (или jpegPhoto), member, nsOsVersion, fqdn, initials, krbPasswordExpiration.
6. Создайте еще одно разрешение со следующими значениями:
   • Permission name: pam_attr_write.
   • Granted Rights: write.
   • Effective attributes: userPassword, krbPasswordExpiration.
7. В выпадающем меню Role-Based Access Control выберите пункт Privileges.
8. Создайте новую привилегию (например, pam_privilege_change_pswd) и добавьте в нее только что созданные два разрешения pam_attr_read и pam_attr_write.
9. В выпадающем меню Role-Based Access Control выберите пункт Roles.
10. Создайте новую роль (например, IPAMADServiceOps_role) и добавьте в нее созданную привелегию pam_privilege_change_pswd.
11. Назначьте созданную роль на пользователя IPAMADServiceOps одним из способов:
    • назначьте роль на пользователя;
    • назначьте роль на группу пользователей и добавьте пользователя в эту группу.

ALD Pro

1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите пункт Пользователи.
2. Нажмите Новый пользователь.
3. В поле Имя учетной записи укажите IPAMADServiceOps или другое удобное для вас имя учетной записи для работы с каталогом пользователей.
4. Заполните обязательные поля и завершите создание учетной записи.
5. Добавьте созданного пользователя в группу admins.

OpenLDAP

1. Создайте пользователя, например, IPAMADServiceOps.
2. Выдайте пользователю права на чтение следующих атрибутов:
   • entryUUID
   • entryDn
   • uid
   • cn
   • osVersion
   • groupOfUniqueNames
   • uniqueMember
3. Выдайте пользователю права на запись для атрибута userPassword.

RED ADM

Создайте учетную запись одним из описанных ниже способов.

Чтобы создать учетную запись с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers), выполните следующие шаги:

1. Запустите оснастку Active Directory — пользователи и компьютеры(Active Directory Users and Computers).
2. Откройте контекстное меню контейнера или подразделения.
3. Выберите пункт Создать(Create) — Пользователь (User).
4. Укажите имя, например, IPAMADServiceOps.
5. Заполните обязательные поля и завершите создание учетной записи.
6. Откройте контекстное меню контейнера, подразделения или корня домена.
7. Выберите пункт Свойства (Properties).
8. Перейдите на вкладку Безопасность (Security).
9. Нажмите Добавить (Add).
10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.
11. Нажмите Дополнительно (Advanced).
12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить(Edit).
13. Установите для поля Применяется к:(Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).
14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).
15. Сохраните внесенные изменения.

Чтобы создать учетную запись с помощью веб-интерфейса RED ADM, выполните следующие шаги:

1. Откройте веб-интерфейс RED ADM.
2. В левой части экрана выберите пункт Пользователи.
3. Нажмите Создать.
4. Укажите имя, например, IPAMADServiceOps.
5. Заполните обязательные поля и завершите создание учетной записи.
6. Добавьте созданного пользователя в группу Account Operators.

Samba DC

Создайте учетную запись одним из описанных ниже способов.

Чтобы создать учетную запись с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers), выполните следующие шаги:

1. Запустите оснастку Active Directory — пользователи и компьютеры(Active Directory Users and Computers).
2. Откройте контекстное меню контейнера или подразделения.
3. Выберите пункт Создать(Create) — Пользователь (User).
4. Укажите имя, например, IPAMADServiceOps.
5. Заполните обязательные поля и завершите создание учетной записи.
6. Откройте контекстное меню контейнера, подразделения или корня домена.
7. Выберите пункт Свойства (Properties).
8. Перейдите на вкладку Безопасность (Security).
9. Нажмите Добавить (Add).
10. Выберите учетную запись IPAMADServiceOps и нажмите Ок.
11. Нажмите Дополнительно (Advanced).
12. Выберите учетную запись IPAMADServiceOps и нажмите Изменить(Edit).
13. Установите для поля Применяется к:(Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects).
14. В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password).
15. Сохраните внесенные изменения.

Чтобы создать учетную запись с помощью командной строки, выполните следующие шаги:

1. Создайте пользователя IPAMADServiceOps командой:

   samba-tool user create IPAMADServiceOps
2. Добавьте созданного пользователя в группу Account Operators командой:

   samba-tool group addmembers "Account Operators" IPAMADServiceOps