Krok 4 – Instalace komponent MIM na pracovní stanici a serveru PAM

  • Článek
  • 5 min ke čtení

« Krok 3Krok 5 »

Na PAMSRV se přihlaste jako PRIV\Administrator, abyste mohli nainstalovat službu MIM Service.

Poznámka

Musíte být správcem domény; Pokud nepoužíváte následující příkazy jako uživatel, který nemá přístup k zápisu k doméně PRIV ve službě AD, instalace nebude úspěšná. Důvodem je to, že instalace MIM vytvoří nové organizační jednotky AD "PAM objects".

Pokud jste stáhli MIM, rozbalte archiv instalace MIM do nové složky.

Spuštění instalačního programu služby a portálu

Postupujte podle pokynů instalačního programu a dokončete instalaci.

  1. Při výběru funkcí komponent zahrňte službu MIM Service (s Privileged Access Management, ale ne MIM Reporting). Pokud jste nainstalovali SharePoint v předchozím kroku, můžete nainstalovat portál MIM. Pokud jste SharePoint nenainstalovali v předchozím kroku, nenainstalujte portál MIM.

    Custom setup - screenshot

  2. Při konfiguraci společných služeb a připojení databáze MIM zadejte Vytvořit novou databázi.

    Poznámka

    Pokud pro zajištění vysoké dostupnosti instalujete službu MIM několikrát, pro všechny následné instalace zadejte Použít existující databázi.

  3. Při konfiguraci připojení poštovního serveru nastavte poštovní server na název hostitele Exchange nebo SMTP pro prostředí CORP (v testovacím prostředí můžete použít corpdc.contoso.local, pokud nemáte poštovní server v prostředí PRIV) a zrušte zaškrtnutí políčka Použít PROTOKOL SSL a Poštovní server je Exchange Server 2007 nebo Exchange Server 2010.

  4. Vyberte vytvoření nového certifikátu podepsaného svým držitelem.

  5. Nastavte následující přihlašovací údaje k účtu:

    • Název účtu služby: MIMService
    • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu služby: PRIV
    • E-mailový účet služby: MIMService@priv.contoso.local

  6. Přijměte výchozí hodnoty pro hostitelský název serveru pro synchronizaci a jako účet agenta pro správu MIM zadejte PRIV\MIMMA. Zobrazí se zpráva upozornění, že synchronizační služba MIM neexistuje. Toto upozornění je v pořádku, protože synchronizační služba MIM se v tomto scénáři nepoužívá.

  7. Jako adresu serveru služby MIM nastavte PAMSRV.

  8. Nastavte http://pamsrv.priv.contoso.local:82 jako adresu URL kolekce webů SharePoint.

  9. Adresu URL registračního portálu ponechte prázdnou.

  10. Zaškrtnutím tohoto políčka otevřete porty 5725 a 5726 v bráně firewall a pokud je portál MIM nainstalovaný, zaškrtávací políčko udělte všem ověřeným uživatelům přístup k webu portálu MIM.

  11. Název hostitele PAM REST API ponechte prázdný a jako číslo portu zadejte 8086.

    Binding Information for the PAM REST API - screenshot

  12. Nakonfigurujte účet rozhraní MIM PAM REST API tak, aby používal stejný účet jako SharePoint (pokud je na tomto serveru nainstalovaný MIM Portal):

    • Název účtu fondu aplikací: SharePoint
    • Heslo účtu fondu aplikací: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu fondu aplikací: PRIV

    Application pool account credentials - screenshot

    Pokud příslušný účet služby není ve své aktuální konfiguraci zabezpečený, může se zobrazit upozornění. To je v pořádku.

  13. Nakonfigurujte službu komponent MIM PAM:

    • Název účtu služby: MIMComponent
    • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu služby: PRIV

    PAM Component service account credentials - screenshot

  14. Nakonfigurujte službu monitorování PAM:

    • Název účtu služby: MIMMonitor
    • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu služby: PRIV

    PAM Monitoring Service account credentials - screenshot

  15. Na stránce pro zadání informací pro portály hesel MIM ponechte zaškrtávací políčka prázdná a pokračujte. Kliknutím na tlačítko Další pokračujte v instalaci.

  16. Po dokončení instalace se server restartuje.

Nastavení pravidla zásad správy z PowerShellu

Pokud jste nainstalovali portál MIM, přejděte k další části.

  1. Po restartování PAMSRV se přihlaste jako PRIV\Administrator.

  2. Spusťte PowerShell a zadejteadd-pssnapin fimautomation, aby se načetly rutiny PowerShellu konfigurace služby MIM.

  3. Stáhněte si skript How to Use PowerShell to Enable an MPR and save it místně.

  4. Pomocí skriptu povolte správu uživatelů s názvem MPR: Uživatelé můžou číst vlastní atributy. Po dokončení se zobrazí zpráva , že funkce MPR byla úspěšně povolena.

  5. Přejděte do části níže a ověřte připojení brány firewall.

Nastavení pravidel zásad správy a portálu MIM

Pokud jste se rozhodli nainstalovat SharePoint, ověřte, že je portál MIM aktivní, a povolte uživatelům zobrazit vlastní prostředek objektu v MIM.

  1. Po restartování PAMSRV se přihlaste jako PRIV\Administrator.

  2. Spusťte Internet Explorer a připojte se k portálu MIM na http://pamsrv.priv.contoso.local:82/identitymanagement. Při prvním vyhledání této stránky může dojít ke krátké prodlevě.

  3. V případě potřeby se pro Internet Explorer přihlaste jako PRIV\Administrator.

  4. V Internet Exploreru otevřete možnosti internetu, přejděte na kartu Zabezpečení a přidejte web do zóny Místní intranet , pokud tam ještě není. Zavřete dialogové okno Možnosti internetu.

  5. Pomocí Internet Exploreru zobrazte MIM Portál, vyberte pravidla zásad správy.

  6. Vyhledejte pravidlo zásad správy Správa uživatelů: Uživatelé můžou číst vlastní atributy.

  7. Vyberte toto pravidlo zásad správy, zrušte zaškrtnutí políčka Zásady, vyberte OK a pak vyberte Odeslat.

Ověření připojení brány firewall

Brána firewall by měla umožňovat příchozí připojení k portům TCP 5725, 5726, 8086 a 8090.

  1. Spusťte nástroj Brána Windows Firewall s pokročilým zabezpečením (umístěný v Nástrojích pro správu).

  2. Klikněte na Příchozí pravidla.

  3. Ověřte, že jsou v seznamu uvedená následující dvě pravidla:

    • Forefront Identity Manager Service (STS)
    • Forefront Identity Manager Service (Webservice)

  4. Klikněte na NewrulePortTCP>> a zadejte konkrétní místní porty8086 a 8090. V průvodci přijměte výchozí hodnoty, pojmenujte toto pravidlo a potom klikněte na Dokončit.

  5. Po dokončení průvodce zavřete aplikaci Brána Windows Firewall.

  6. Otevřete okno Ovládací panely.

  7. V části Síť a internet vyberte Zobrazit stav sítě a úkoly.

  8. Ověřte, že je aktivní síť, která je uvedená jako priv.contoso.local a doménová síť.

  9. Zavřete Ovládací panely.

Volitelné: Nastavení ukázkové webové aplikace

V této části nainstalujete a nakonfigurujete ukázkovou webovou aplikaci pro MIM PAM REST API. Tato komponenta je nutná pouze v případě, že chcete zjistit, jak používat rozhraní REST API MIM PAM. Pokud chcete k vyžádání a schválení přístupu použít PowerShell, pokračujte v další části a nainstalujte MIM rutiny žadatele PAM.

  1. Z archivu ukázkové webové aplikace stáhněte ukázky pro Identity Management jako soubor .zip.

  2. Rozbalte obsah složky identity-management-samples-master\Privileged-Access-Management-Portal\src do nové složky C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Vytvořte nový web ve službě IIS pomocí:

    • název webu MIM ukázkového portálu Privileged Access Management
    • fyzická cesta C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal a
    • port 8090.

    K vytvoření webu použijte následující příkaz PowerShellu:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Nastavte ukázkovou webovou aplikaci, aby mohla přesměrovat uživatele do MIM PAM REST API. Pomocí textového editoru, jako je Poznámkový blok, upravte soubor C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. <system.webServer> V části přidejte následující řádky:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Nakonfigurujte ukázkovou webovou aplikaci. Pomocí textového editoru, jako je třeba Poznámkový blok, upravte soubor C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Nastavte hodnotu pamRespApiUrl na http://pamsrv.priv.contoso.local:8086/api/pamresources/.

  6. Pomocí následujícího příkazu restartujte službu IIS, aby se tyto změny uplatnily.

    iisreset

  7. (Volitelné) Ověřte, že se uživatel může ověřit v rozhraní REST API. Jako správce PAMSRVR otevřete webový prohlížeč. Přejděte na adresu URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/webu, ověřte v případě potřeby a ujistěte se, že dojde ke stažení.

Instalace rutin žadatele MIM PAM

Nainstalujte rutiny žadatele PAM MIM na pracovní stanici nakonfigurované v kroku 2.

  1. Přihlaste se k PRIVWKSTN jako správce.

  2. Stáhněte si doplňky a rozšíření do počítače PRIVWKSTN, pokud ještě není k dispozici.

  3. Složku Doplňky a rozšíření rozbalte z archivu do nové složky.

  4. Spusťte instalační program setup.exe.

  5. Ve vlastní instalaci zadejte, že se má nainstalovat klient PAM, ale ne doplněk MIM pro Outlook ani doplňky MIM pro ověřování a hesla.

  6. Na adrese PAM Serveru zadejte název hostitele serveru PRIV MIM serveru pamsrv.priv.contoso.local.

Po dokončení instalace restartujte PRIVWKSTN a dokončete registraci nového modulu PowerShellu.

V dalším kroku vytvoříte vztah důvěryhodnosti mezi doménovými strukturami PRIV a CORP.

« Krok 3Krok 5 »