Étape 4 - Installer les composants MIM sur le serveur PAM et la station de travail

  • Article

« Étape 3Étape 5 »

Sur PAMSRV, connectez-vous en tant que PRIV\Administrator pour pouvoir installer le service MIM.

Notes

Vous devez être administrateur de domaine ; si vous n’exécutez pas les commandes suivantes en tant qu’utilisateur qui n’a pas accès en écriture au domaine PRIV dans AD, l’installation échoue. Cela est dû au fait que l’installation de MIM crée un nouvel « objets PAM » de l’unité d’organisation AD.

Si vous avez téléchargé MIM, décompressez l’archive d’installation de MIM dans un nouveau dossier.

Exécuter le programme d’installation du service et du portail

Suivez les instructions du programme d'installation, puis terminez l'installation.

  1. Lorsque vous sélectionnez des fonctionnalités de composant, incluez le service MIM (avec Privileged Access Management, mais pas la création de rapports MIM). Si vous avez installé SharePoint à l’étape précédente, vous pouvez installer le portail MIM. Si vous n’avez pas installé SharePoint à l’étape précédente, n’installez pas le portail MIM.

    Installation personnalisée - capture d’écran

  2. Quand vous configurez des services usuels et la connexion de base de données MIM, spécifiez Créer une base de données.

    Notes

    Si vous installez le Service MIM plusieurs fois pour la haute disponibilité, spécifiez Utiliser une base de données existante pour toutes les installations suivantes.

  3. Lors de la configuration d’une connexion au serveur de messagerie, définissez le serveur de messagerie sur le nom d’hôte d’un serveur Exchange ou SMTP pour l’environnement CORP (dans un environnement de test, vous pouvez utiliser corpdc.contoso.local si vous n’avez pas de serveur de messagerie dans l’environnement PRIV) et décochez les cases Utiliser SSL et le serveur de messagerie est Exchange Server 2007 ou Exchange Server 2010.

  4. Choisissez de générer un nouveau certificat auto-signé.

  5. Définissez les informations d’identification de compte suivantes :

    • Nom du compte de service : MIMService
    • Mot de passe du compte de service : Pass@word1 (ou le mot de passe que vous avez créé à l’étape 2)
    • Domaine du compte de service : PRIV
    • Compte e-mail du service : MIMService@priv.contoso.local

  6. Acceptez les valeurs par défaut pour le nom d’hôte du serveur de synchronisation et spécifiez PRIV\MIMMA comme compte d’agent de gestion MIM. Un message d’avertissement apparaît pour signaler que le service de synchronisation MIM n’existe pas. Cet avertissement est correct, car le service de synchronisation MIM n’est pas utilisé dans ce scénario.

  7. Définissez PAMSRV comme adresse de serveur de Service MIM.

  8. Définissez http://pamsrv.priv.contoso.local:82 comme URL de collection de sites SharePoint.

  9. Laissez l'URL du portail d'enregistrement vide.

  10. Cochez la case pour ouvrir les ports 5725 et 5726 dans le pare-feu. Si le portail MIM est en cours d’installation, activez la case à cocher pour accorder à tous les utilisateurs authentifiés l’accès au site du portail MIM.

  11. Ne renseignez pas le nom d’hôte de l’API REST PAM et définissez 8086 comme numéro de port.

    Informations de liaison pour l’API REST PAM - capture d’écran

  12. Configurez le compte d’API REST PAM MIM pour utiliser le même compte que SharePoint (si le portail MIM doit être installé sur ce serveur) :

    • Nom du compte du pool d’applications : SharePoint
    • Mot de passe du compte du pool d’applications : Pass@word1 (ou le mot de passe que vous avez créé à l’étape 2)
    • Domaine du compte du pool d’applications : PRIV

    Informations d’identification du compte du pool d’applications - capture d’écran

    Un message d’avertissement peut s’afficher pour signaler que le compte de service n’est pas sécurisé dans sa configuration actuelle. C’est normal.

  13. Configurez le service de composant MIM PAM :

    • Nom du compte de service : MIMComponent
    • Mot de passe du compte de service : Pass@word1 (ou le mot de passe que vous avez créé à l’étape 2)
    • Domaine du compte de service : PRIV

    Informations d’identification du compte de service de composant PAM - capture d’écran

  14. Configurez le service de surveillance PAM :

    • Nom du compte de service : MIMMonitor
    • Mot de passe du compte de service : Pass@word1 (ou le mot de passe que vous avez créé à l’étape 2)
    • Domaine du compte de service : PRIV

    Informations d’identification du compte de service de surveillance PAM - capture d’écran

  15. Dans la page Entrez les informations pour les portails de mot de passe MIM, laissez les cases à cocher vides et continuez. Cliquez sur Suivant pour poursuivre l’installation.

  16. Une fois l’installation terminée, le serveur redémarre.

Configurer une règle de stratégie de gestion à partir de PowerShell

Si vous avez installé le portail MIM, passez à la section suivante.

  1. Une fois que PAMSRV a redémarré, connectez-vous en tant que PRIV\Administrateur.

  2. Lancez PowerShell et tapez add-pssnapin fimautomation pour charger les applets de commande PowerShell de configuration du service MIM.

  3. Téléchargez le script Comment utiliser PowerShell pour activer un MPR et enregistrez-le localement.

  4. Utilisez le script pour activer le MPR nommé Gestion des utilisateurs : les utilisateurs peuvent lire leurs propres attributs. Lorsque vous avez terminé, le message MPR activé s’affiche.

  5. Passez à la section ci-dessous, Vérifier les connexions du pare-feu.

Configurer le portail MIM et les règles de stratégie de gestion

Si vous avez choisi d’installer SharePoint, vérifiez que le portail MIM est actif et permet aux utilisateurs d’afficher leur propre ressource d’objet dans MIM.

  1. Une fois que PAMSRV a redémarré, connectez-vous en tant que PRIV\Administrateur.

  2. Lancez Internet Explorer et connectez-vous au portail MIM à l’adresse http://pamsrv.priv.contoso.local:82/identitymanagement. Le premier accès à cette page peut prendre un certain temps.

  3. Si nécessaire, connectez-vous en tant que PRIV\Administrateur pour Internet Explorer.

  4. Dans Internet Explorer, ouvrez options Internet, accédez à l’onglet Sécurité, puis ajoutez le site à la zone Intranet local s’il n’est pas déjà présent. Fermez la boîte de dialogue Options Internet.

  5. À l’aide d’Internet Explorer pour afficher le portail MIM, sélectionnez Règles de stratégie de gestion.

  6. Recherchez la règle de stratégie d'administration Gestion des utilisateurs : Les utilisateurs peuvent lire leurs propres attributs.

  7. Sélectionnez cette règle de stratégie de gestion, décochez La stratégie est désactivée, sélectionnez OK, puis sélectionnez Envoyer.

Vérifier les connexions de pare-feu

Le pare-feu doit autoriser les connexions entrantes vers les ports TCP 5725, 5726, 8086 et 8090.

  1. Lancez Pare-feu Windows avec fonctions avancées de sécurité (dans Outils d’administration).

  2. Cliquez sur Règles de trafic entrant.

  3. Vérifiez que ces deux règles figurent dans la liste :

    • Forefront Identity Manager Service (STS)
    • Forefront Identity Manager Service (Webservice)

  4. Cliquez sur Nouvelle règle>Port>TCP, puis tapez les ports locaux spécifiques 8086 et 8090. Continuez l’Assistant en acceptant les valeurs par défaut, donnez un nom à la règle, puis cliquez sur Terminer.

  5. Une fois l’Assistant terminé, fermez l’application Pare-feu Windows.

  6. Lancez le Panneau de configuration.

  7. Sous Réseau et Internet, sélectionnez Afficher les status réseau et les tâches.

  8. Vérifiez qu’il existe un réseau actif, qui est répertorié comme étant priv.contoso.local, et un réseau de domaine.

  9. Fermez le Panneau de configuration.

Facultatif : Configurer l’exemple d’application web

Dans cette section, vous allez installer et configurer l’exemple d’application web pour l’API REST PAM MIM. Ce composant n’est nécessaire que si vous souhaitez apprendre à utiliser l’API REST PAM MIM. Si vous envisagez d’utiliser PowerShell pour demander et approuver l’accès, passez à la section suivante pour installer les applets de commande du demandeur PAM MIM.

  1. À partir de l’archive d’exemples d’applications web, téléchargez les exemples Identity Management sous forme de fichier zip.

  2. Décompressez le contenu du dossier identity-management-samples-master\Privileged-Access-Management-Portal\src dans un nouveau dossier nommé C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Créez un site web dans IIS avec :

    • un nom de site de l’exemple de portail de gestion des accès privilégiés MIM,
    • chemin physique C :\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal, et
    • port 8090.

    Utilisez la commande PowerShell suivante pour créer le site :

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Configurez l’exemple d’application web pour pouvoir rediriger les utilisateurs vers l’API REST PAM MIM. À l’aide d’un éditeur de texte tel que le Bloc-notes, modifiez le fichier REST C :\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management API\web.config. Dans la <system.webServer> section , ajoutez les lignes suivantes :

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Configurez l'exemple d'application web. À l’aide d’un éditeur de texte tel que le Bloc-notes, modifiez le fichier C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Définissez la valeur pamRespApiUrl sur http://pamsrv.priv.contoso.local:8086/api/pamresources/.

  6. Redémarrez IIS avec la commande suivante pour que ces modifications prennent effet.

    iisreset

  7. (Facultatif) Vérifiez que l’utilisateur peut s’authentifier auprès de l’API REST. Ouvrez un navigateur web en tant qu’administrateur sur PAMSRV. Accédez à l’URL du site web http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/, authentifiez-vous si nécessaire et assurez-vous qu’un téléchargement se produit.

Installer les applets de commande du demandeur MIM PAM

Installez les applets de commande du demandeur PAM MIM sur la station de travail configurée à l’étape 2.

  1. Connectez-vous à PRIVWKSTN en tant qu’administrateur.

  2. Téléchargez les compléments et les extensions sur l’ordinateur PRIVWKSTN, s’ils ne sont pas déjà présents.

  3. À partir de l’archive, décompressez le dossier Add-ins and extensions dans un nouveau dossier.

  4. Exécutez le programme d’installation setup.exe.

  5. Lors de l’installation personnalisée, spécifiez que le Client PAM doit être installé, mais pas le Complément MIM pour Outlook ni les Extensions d’authentification et de mot de passe MIM.

  6. Dans l’adresse du serveur PAM, spécifiez pamsrv.priv.contoso.local comme nom d’hôte du serveur PRIV MIM.

Une fois l’installation terminée, redémarrez PRIVWKSTN pour terminer l’inscription du nouveau module PowerShell.

À l’étape suivante, vous allez établir l’approbation entre les forêts PRIV et CORP.

« Étape 3Étape 5 »