¶ Требования к развертыванию
Существуют 3 основных сценария к развертыванию системы:
- Easy Linux (Упрощенная Linux)
- Easy Windows (Упрощенная Windows)
- Main (Основная)
Для каждого из сценариев потребуется:
- MS Windows Server 2016 - 2022, в качестве MS AD (MS PKI)
- MS Windows Server 2016 - 2022, в качестве Gateway
- Linux (RedOS 7.3 - 8.0), в качестве ManagementServer (RDP/SSH-Proxy)
- Linux (RedOS 7.3 - 8.0), в качестве RDP/SSH-Proxy
Далее по содержанию будут внесены корректировки в роли и минимальное количество для лабораторных условий
¶ Подготовка лаборатории (инфраструктуры)
¶ Развертывание MS AD DS / MS PKI
¶ MS AD DS
¶ MS PKI
¶ Выпуск сертификатов
ВНИМАНИЕ: Все машины в лаборатории должны быть терминированы в 1 DNS-сервер (MS AD), для исключения ошибок
На машинах с Linux необходимо указать также в /etc/hosts и /etc/hostname (через hostnamectl)
¶ Развертывание упрощенной Linux схемы
¶ Требования
Компоненты Indeed PAM устанавливаются на два сервера. Рекомендуется для ознакомления и тестирования.
¶ Сервер управления/Сервер доступа (RDP/SSH/SCP/SFTP). RedOS 8.0
- Indeed PAM Core
- Indeed PAM IdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Indeed PAM SSH Proxy
- Indeed PAM RDP Proxy
¶ Сервер доступа (RDP/RemoteApp) Windows Server 2022
- Indeed PAM Gateway
- Indeed ESSO Admin Pack
- Indeed ESSO Agent
¶ Сценарии работы
¶ Пользовательский
- Подключение к личному кабинету пользователя через браузер или запуск Indeed PAM Desktop Console. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP. Получение списка ресурсов из БД Core. Получение RDP-файла для подключения к ресурсу.
- Подключение к серверу доступа (RDP/RemoteApp) при помощи RDP-файла, Indeed PAM Desktop Console или подключение к серверу доступа (RDP/SSH/SCP/SFTP) при помощи RDP-файла или отдельного SSH-клиента.
- Доменная аутентификация и предоставление второго фактора. Проверка пользователя БД IdP. Проверка разрешения на доступ в БД Core. Извлечение из СУБД логина и пароля сервисной учётной записи для работы с медиахранилищем. Извлечение из СУБД логина и пароля привилегированной учётной записи для подключения к ресурсу.
- Подключение к ресурсу.
- Сохранение видео и скриншотов в медиахранилище. Сохранение текстового лога в БД Core.
¶ Административный
- Подключение к кабинету администратора. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP.
- Получение, добавление и редактирование объектов системы. Выполнение сервисных операций.
¶ Подготовка к развертыванию
¶ Подготовка дистрибутива
¶ Установка
¶ Проверка
¶ Развертывание упрощенной Windows схемы
¶ Требования
Компоненты Indeed PAM устанавливаются на два сервера. Рекомендуется для ознакомления и тестирования.
¶ Сервер управления/Сервер доступа (RDP/RemoteApp). Windows Server 2022
- Indeed PAM Core
- Indeed PAM IdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Indeed PAM EventLog
- Indeed PAM Gateway
- Indeed ESSO Admin Pack
- Indeed ESSO Agent
¶ Сервер доступа (SSH/SCP/SFTP). RedOS 8.0
- Indeed PAM SSH Proxy
- Indeed PAM RDP Proxy
¶ Сценарии работы
¶ Пользовательский
- Подключение к личному кабинету пользователя через браузер или запуск Indeed PAM Desktop Console. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP. Получение списка ресурсов из БД Core. Получение RDP-файла для подключения к ресурсу.
- Подключение к серверу доступа (RDP\RemoteApp) при помощи RDP-файла, Indeed PAM Desktop Console или подключение к серверу доступа (RDP\SSH\SCP\SFTP) при помощи RDP-файла или отдельного SSH-клиента.
- Доменная аутентификация и предоставление второго фактора. Проверка пользователя БД IdP. Проверка разрешения на доступ в БД Core. Извлечение из СУБД логина и пароля сервисной учётной записи для работы с медиахранилищем. Извлечение из СУБД логина и пароля привилегированной учётной записи для подключения к ресурсу.
- Подключение к ресурсу.
- Сохранение видео и скриншотов в медиахранилище. Сохранение текстового лога в БД Core.
¶ Административный
- Подключение к кабинету администратора. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP.
- Получение, добавление и редактирование объектов системы. Выполнение сервисных операций.
¶ Установка ролей для Windows Server Gateway
¶ Установка ролей для RedOS
¶ Подготовка к развертыванию
¶ Подготовка дистрибутива
¶ Мастер конфигурации
¶ Установка сервера управления
¶ Установка сервера доступа
¶ Проверка
¶ Развертывание основной схемы
¶ Требования
Компоненты Indeed PAM устанавливаются на три сервера. Этот тип установки позволяет отделить логику системы от компонентов предоставляющих доступ. Рекомендуется для внедрения и эксплуатации в промышленной среде.
¶ Сервер управления
- Indeed PAM Core
- Indeed PAM IdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Indeed PAM EventLog
¶ Сервер доступа (RDP/RemoteApp)
- Indeed PAM Gateway
- Indeed ESSO Admin Pack
- Indeed ESSO Agent
¶ Сервер доступа (RDP/SSH/SCP/SFTP)
- Indeed PAM SSH Proxy
- Indeed PAM RDP Proxy
¶ Сценарии работы
¶ Пользовательский
- Подключение к личному кабинету пользователя через браузер или запуск Indeed PAM Desktop Console. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP. Получение списка ресурсов из БД Core. Получение RDP-файла для подключения к ресурсу.
- Подключение к серверу доступа (RDP\RemoteApp) при помощи RDP-файла, Indeed PAM Desktop Console или подключение к серверу доступа (RDP\SSH\SCP\SFTP) при помощи RDP-файла или отдельного SSH-клиента.
- Доменная аутентификация и предоставление второго фактора. Проверка пользователя в БД IdP. Проверка разрешения на доступ в БД Core. Извлечение из СУБД логина и пароля сервисной учётной записи для работы с медиахранилищем. Извлечение из СУБД логина и пароля привилегированной учётной записи для подключения к ресурсу.
- Подключение к ресурсу.
- Сохранение видео и скриншотов в медиахранилище. Сохранение текстового лога в БД Core.
¶ Административный
- Подключение к кабинету администратора. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP.
- Получение, добавление и редактирование объектов системы. Выполнение сервисных операций.
¶ Развертывание отказоустойчивой схемы
Компоненты Indeed PAM устанавливаются на разные серверы, каждый сервер дублируется для организации отказоустойчивости. Рекомендуется использовать для внедрения и эксплуатации в промышленной среде. (см. Основную схему)
¶ Сценарии работы
¶ Пользовательский
- Подключение к личному кабинету пользователя через браузер или запуск Indeed PAM Desktop Console. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP. Получение списка ресурсов из БД Core. Получение RDP-файла для подключения к ресурсу.
- Подключение к серверу доступа (RDP/RemoteApp) при помощи RDP-файла, Indeed PAM Desktop Console или подключение к серверу доступа (RDP/SSH/SCP/SFTP) при помощи RDP-файла или отдельного SSH-клиента.
- Доменная аутентификация и предоставление второго фактора. Проверка пользователя в БД IdP. Проверка разрешения на доступ в БД Core. Извлечение из СУБД логина и пароля сервисной учётной записи для работы с медиахранилищем. Извлечение из СУБД логина и пароля привилегированной учётной записи для подключения к ресурсу.
- Подключение к ресурсу.
- Сохранение видео и скриншотов в медиахранилище. Сохранение текстового лога в БД Core.
¶ Административный
- Подключение к кабинету администратора. Доменная аутентификация и регистрация/предоставление второго фактора.
- Получение, добавление и редактирование объектов системы. Выполнение сервисных операций.
