Krok 4. Instalowanie składników programu MIM na stacji roboczej i serwerze usługi PAM
Na serwerze PAMSRV zaloguj się jako PRIV\Administrator, aby móc zainstalować usługę MIM.
Uwaga
Musisz być administratorem domeny; Jeśli nie uruchamiasz następujących poleceń jako użytkownik, który nie ma dostępu do zapisu do domeny PRIV w usłudze AD, instalacja nie powiedzie się. Jest to spowodowane tym, że instalacja programu MIM tworzy nową jednostki organizacyjnej USŁUGI AD "obiekty PAM".
Jeśli pobrano program MIM, rozpakuj archiwum instalacji programu MIM do nowego folderu.
Uruchamianie programu instalacyjnego usługi i portalu
Postępuj zgodnie z wytycznymi instalatora i ukończ instalację.
Podczas wybierania funkcji składników uwzględnij usługę MIM (z usługą Privileged Access Management, ale nie raportowaniem programu MIM). Jeśli program SharePoint został zainstalowany w poprzednim kroku, możesz zainstalować portal programu MIM. Jeśli program SharePoint nie został zainstalowany w poprzednim kroku, nie instaluj portalu programu MIM.
Podczas konfigurowania wspólnych usług i połączenia z bazą danych programu MIM, wybierz opcję Create a new database (Utwórz nową bazę danych).
Uwaga
W przypadku wielokrotnego instalowania usługi programu MIM w środowisku o wysokiej dostępności, wybierz opcję Use an existing database (Użyj istniejącej bazy danych) we wszystkich kolejnych instalacjach.
Podczas konfigurowania połączenia serwera poczty ustaw serwer poczty na nazwę hosta serwera Exchange lub SMTP dla środowiska CORP (w środowisku testowym można użyć corpdc.contoso.local, jeśli nie masz serwera poczty w środowisku PRIV) i usuń zaznaczenie pola wyboru Użyj protokołu SSL i serwera poczty Exchange Server 2007 lub Exchange Server 2010.
Wybierz opcję generowania nowego certyfikatu z podpisem własnym.
Ustaw następujące poświadczenia konta:
- Nazwa konta usługi: MIMService
- Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
- Domena konta usługi: PRIV
- Konto e-mail usługi: MIMService@priv.contoso.local
Zaakceptuj ustawienia domyślne dla nazwy hosta serwera synchronizacji i określ konto agenta zarządzania programu MIM jako PRIV\MIMMA. Zostanie wyświetlony komunikat ostrzegawczy z informacją, że usługa synchronizacji programu MIM nie istnieje. To ostrzeżenie jest ok, ponieważ usługa synchronizacji programu MIM nie jest używana w tym scenariuszu.
Ustaw wartość PAMSRV jako adres serwera usługi programu MIM.
Ustaw
http://pamsrv.priv.contoso.local:82
jako adres URL zbioru witryn programu SharePoint.Pozostaw puste pole adresu URL portalu rejestracji.
Zaznacz pole wyboru, aby otworzyć porty 5725 i 5726 w zaporze, a jeśli portal programu MIM jest instalowany, pole wyboru umożliwia wszystkim uwierzytelnionym użytkownikom dostęp do witryny portalu programu MIM.
Pozostaw pustą nazwę hosta interfejsu API REST usługi PAM i ustaw wartość 8086 jako numer portu.
Skonfiguruj konto interfejsu API REST usługi PAM programu MIM tak, aby używało tego samego konta co program SharePoint (jeśli portal programu MIM ma zostać zainstalowany na tym serwerze):
- Nazwa konta puli aplikacji: SharePoint
- Hasło konta puli aplikacji: Pass@word1 (lub hasło utworzone w kroku 2)
- Domena konta puli aplikacji: PRIV
Może zostać wyświetlone ostrzeżenie informujące o tym, że konto usługi nie jest zabezpieczone w bieżącej konfiguracji. Nie przejmuj się tym.
Skonfiguruj usługę składnika usługi PAM programu MIM:
- Nazwa konta usługi: MIMComponent
- Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
- Domena konta usługi: PRIV
Skonfiguruj usługę monitorowania usługi PAM:
- Nazwa konta usługi: MIMMonitor
- Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
- Domena konta usługi: PRIV
Na stronie wprowadzania informacji dotyczących haseł do portali programu MIM pozostaw puste pola wyboru. Kliknij przycisk Dalej, aby kontynuować instalację.
Po zakończeniu instalacji serwer zostanie uruchomiony ponownie.
Konfigurowanie reguły zasad zarządzania z poziomu programu PowerShell
Jeśli zainstalowano portal programu MIM, przejdź do następnej sekcji.
Po ponownym uruchomieniu serwera PAMSRV zaloguj się jako PRIV\Administrator.
Uruchom program PowerShell i wpisz
add-pssnapin fimautomation
polecenie , aby załadować polecenia cmdlet programu PowerShell konfiguracji usługi MIM.Pobierz skrypt How to Use PowerShell to Enable an MPR and save it locally (Jak używać programu PowerShell do włączania mpR i zapisywania go lokalnie).
Użyj skryptu, aby włączyć zarządzanie użytkownikami o nazwie MPR: użytkownicy mogą odczytywać własne atrybuty. Po zakończeniu zostanie wyświetlony komunikat MPR włączony pomyślnie.
Przejdź do poniższej sekcji , Sprawdź połączenia zapory.
Konfigurowanie portalu programu MIM i reguł zasad zarządzania
Jeśli zdecydujesz się zainstalować program SharePoint, sprawdź, czy portal programu MIM jest aktywny i umożliwia użytkownikom wyświetlanie własnego zasobu obiektu w programie MIM.
Po ponownym uruchomieniu serwera PAMSRV zaloguj się jako PRIV\Administrator.
Uruchom program Internet Explorer i połącz się z portalem programu MIM w witrynie
http://pamsrv.priv.contoso.local:82/identitymanagement
. Podczas pierwszego znajdowania strony może nastąpić krótkie opóźnienie.W razie potrzeby zaloguj się w programie Internet Explorer jako PRIV\Administrator.
W programie Internet Explorer otwórz pozycję Opcje internetowe, przejdź na kartę Zabezpieczenia i dodaj witrynę do strefy Lokalny intranet , jeśli jeszcze nie istnieje. Zamknij okno dialogowe Opcje internetowe.
Korzystając z programu Internet Explorer do wyświetlania portalu programu MIM, wybierz pozycję Reguły zasad zarządzania.
Wyszukaj regułę zasad zarządzania Zarządzanie użytkownikami: użytkownicy mogą odczytywać własne atrybuty.
Wybierz tę regułę zasad zarządzania, usuń zaznaczenie pola wyboru Zasady są wyłączone, wybierz przycisk OK, a następnie wybierz pozycję Prześlij.
Weryfikacja połączeń zapory
Zapora powinna zezwalać na połączenia przychodzące na portach TCP 5725, 5726, 8086 i 8090.
Uruchom aplet Zapora systemu Windows z zabezpieczeniami zaawansowanymi (znajdujący się w Narzędziach administracyjnych).
Kliknij pozycję Reguły dla ruchu przychodzącego.
Sprawdź, czy są wyświetlane te dwie reguły:
- Usługa Forefront Identity Manager (STS)
- Forefront Identity Manager (usługa sieci Web)
Kliknij pozycję Nowy port TCP reguły>> i wpisz określone porty lokalne 8086 i 8090. W kreatorze zaakceptuj ustawienia domyślne, nadaj regule nazwę, a następnie kliknij przycisk Zakończ.
Ukończ działanie kreatora i zamknij aplikację Zapora systemu Windows.
Otwórz Panel sterowania.
W obszarze Sieć i Internet wybierz pozycję Wyświetl stan sieci i zadania.
Sprawdź, czy istnieje aktywna sieć, która jest wyświetlana jako priv.contoso.local i sieć domeny.
Zamknij Panel sterowania.
Opcjonalnie: Konfigurowanie przykładowej aplikacji internetowej
W tej sekcji zainstalujesz i skonfigurujesz przykładową aplikację internetową dla interfejsu API REST usługi PAM programu MIM. Ten składnik jest wymagany tylko wtedy, gdy chcesz dowiedzieć się, jak używać interfejsu API REST usługi PAM programu MIM. Jeśli zamierzasz użyć programu PowerShell do żądania i zatwierdzenia dostępu, przejdź do następnej sekcji, aby zainstalować polecenia cmdlet modułu żądającego USŁUGI PAM programu MIM.
Z archiwum przykładowej aplikacji internetowej wyodrębnij przykłady dotyczące programu Identity Management jako plik zip.
Rozpakuj zawartość folderu identity-management-samples-master\Privileged-Access-Management-Portal\src do nowego folderu C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.
Utwórz nową witrynę sieci Web w usługach IIS przy użyciu:
- nazwa witryny portalu zarządzania uprzywilejowanym dostępem programu MIM,
- ścieżka fizyczna C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal i
- port 8090.
Użyj następującego polecenia programu PowerShell, aby utworzyć witrynę:
New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090 -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
Skonfiguruj przykładową aplikację internetową pod kątem przekierowywania użytkowników do interfejsu API REST usługi PAM programu MIM. Za pomocą edytora tekstów, takiego jak Notatnik, zmodyfikuj plik C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config.
<system.webServer>
W sekcji dodaj następujące wiersze:<httpProtocol> <customHeaders> <add name="Access-Control-Allow-Credentials" value="true" /> <add name="Access-Control-Allow-Headers" value="content-type" /> <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" /> </customHeaders> </httpProtocol>
Skonfiguruj przykładową aplikację internetową. Użyj edytora tekstu, takiego jak Notatnik, do zmodyfikowania pliku C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Ustaw wartość parametru pamRespApiUrl na
http://pamsrv.priv.contoso.local:8086/api/pamresources/
wartość .Uruchom ponownie usługę IIS przy użyciu następującego polecenia, aby te zmiany zaczęły obowiązywać.
iisreset
(Opcjonalnie) Sprawdź, czy użytkownik może się uwierzytelnić w interfejsie API REST. Na serwerze PAMSRV otwórz przeglądarkę sieci Web jako administrator. Przejdź do adresu URL
http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/
witryny sieci Web , w razie potrzeby uwierzytelnij się i upewnij się, że nastąpi pobranie.
Instalowanie poleceń cmdlet obiektu żądającego usługi PAM programu MIM
Zainstaluj polecenia cmdlet modułu żądającego usługi PAM programu MIM na stacji roboczej skonfigurowanej w kroku 2.
Zaloguj się do aplikacji PRIVWKSTN jako administrator.
Pobierz dodatki i rozszerzenia na komputer PRIVWKSTN, jeśli jeszcze nie istnieje.
Wyodrębnij z archiwum folder Dodatki i rozszerzenia do nowego folderu.
Uruchom instalatora setup.exe.
W ustawieniach niestandardowych wybierz opcję instalacji klienta usługi PAM. Nie wybieraj opcji instalacji dodatku programu MIM dla programu Outlook ani rozszerzeń hasła i uwierzytelniania programu MIM.
Na adres serwera PAM określ nazwę hosta serwera
pamsrv.priv.contoso.local
PRIV MIM .
Po zakończeniu instalacji uruchom ponownie program PRIVWKSTN, aby ukończyć rejestrację nowego modułu programu PowerShell.
W następnym kroku ustanowisz relację zaufania między lasami PRIV i CORP.