Krok 4. Instalowanie składników programu MIM na stacji roboczej i serwerze usługi PAM

  • Artykuł

« Krok 3Krok 5 »

Na serwerze PAMSRV zaloguj się jako PRIV\Administrator, aby móc zainstalować usługę MIM.

Uwaga

Musisz być administratorem domeny; Jeśli nie uruchamiasz następujących poleceń jako użytkownik, który nie ma dostępu do zapisu do domeny PRIV w usłudze AD, instalacja nie powiedzie się. Jest to spowodowane tym, że instalacja programu MIM tworzy nową jednostki organizacyjnej USŁUGI AD "obiekty PAM".

Jeśli pobrano program MIM, rozpakuj archiwum instalacji programu MIM do nowego folderu.

Uruchamianie programu instalacyjnego usługi i portalu

Postępuj zgodnie z wytycznymi instalatora i ukończ instalację.

  1. Podczas wybierania funkcji składników uwzględnij usługę MIM (z usługą Privileged Access Management, ale nie raportowaniem programu MIM). Jeśli program SharePoint został zainstalowany w poprzednim kroku, możesz zainstalować portal programu MIM. Jeśli program SharePoint nie został zainstalowany w poprzednim kroku, nie instaluj portalu programu MIM.

    Zrzut ekranu przedstawiający instalację niestandardową

  2. Podczas konfigurowania wspólnych usług i połączenia z bazą danych programu MIM, wybierz opcję Create a new database (Utwórz nową bazę danych).

    Uwaga

    W przypadku wielokrotnego instalowania usługi programu MIM w środowisku o wysokiej dostępności, wybierz opcję Use an existing database (Użyj istniejącej bazy danych) we wszystkich kolejnych instalacjach.

  3. Podczas konfigurowania połączenia serwera poczty ustaw serwer poczty na nazwę hosta serwera Exchange lub SMTP dla środowiska CORP (w środowisku testowym można użyć corpdc.contoso.local, jeśli nie masz serwera poczty w środowisku PRIV) i usuń zaznaczenie pola wyboru Użyj protokołu SSL i serwera poczty Exchange Server 2007 lub Exchange Server 2010.

  4. Wybierz opcję generowania nowego certyfikatu z podpisem własnym.

  5. Ustaw następujące poświadczenia konta:

    • Nazwa konta usługi: MIMService
    • Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
    • Domena konta usługi: PRIV
    • Konto e-mail usługi: MIMService@priv.contoso.local

  6. Zaakceptuj ustawienia domyślne dla nazwy hosta serwera synchronizacji i określ konto agenta zarządzania programu MIM jako PRIV\MIMMA. Zostanie wyświetlony komunikat ostrzegawczy z informacją, że usługa synchronizacji programu MIM nie istnieje. To ostrzeżenie jest ok, ponieważ usługa synchronizacji programu MIM nie jest używana w tym scenariuszu.

  7. Ustaw wartość PAMSRV jako adres serwera usługi programu MIM.

  8. Ustaw http://pamsrv.priv.contoso.local:82 jako adres URL zbioru witryn programu SharePoint.

  9. Pozostaw puste pole adresu URL portalu rejestracji.

  10. Zaznacz pole wyboru, aby otworzyć porty 5725 i 5726 w zaporze, a jeśli portal programu MIM jest instalowany, pole wyboru umożliwia wszystkim uwierzytelnionym użytkownikom dostęp do witryny portalu programu MIM.

  11. Pozostaw pustą nazwę hosta interfejsu API REST usługi PAM i ustaw wartość 8086 jako numer portu.

    Zrzut ekranu przedstawiający informacje o powiązaniach interfejsu API REST usługi PAM

  12. Skonfiguruj konto interfejsu API REST usługi PAM programu MIM tak, aby używało tego samego konta co program SharePoint (jeśli portal programu MIM ma zostać zainstalowany na tym serwerze):

    • Nazwa konta puli aplikacji: SharePoint
    • Hasło konta puli aplikacji: Pass@word1 (lub hasło utworzone w kroku 2)
    • Domena konta puli aplikacji: PRIV

    Zrzut ekranu przedstawiający poświadczenia konta puli aplikacji

    Może zostać wyświetlone ostrzeżenie informujące o tym, że konto usługi nie jest zabezpieczone w bieżącej konfiguracji. Nie przejmuj się tym.

  13. Skonfiguruj usługę składnika usługi PAM programu MIM:

    • Nazwa konta usługi: MIMComponent
    • Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
    • Domena konta usługi: PRIV

    Zrzut ekranu przedstawiający poświadczenia konta usługi składnika usługi PAM

  14. Skonfiguruj usługę monitorowania usługi PAM:

    • Nazwa konta usługi: MIMMonitor
    • Hasło konta usługi: Pass@word1 (lub hasło utworzone w kroku 2)
    • Domena konta usługi: PRIV

    Zrzut ekranu przedstawiający poświadczenia konta usługi monitorowania usługi PAM

  15. Na stronie wprowadzania informacji dotyczących haseł do portali programu MIM pozostaw puste pola wyboru. Kliknij przycisk Dalej, aby kontynuować instalację.

  16. Po zakończeniu instalacji serwer zostanie uruchomiony ponownie.

Konfigurowanie reguły zasad zarządzania z poziomu programu PowerShell

Jeśli zainstalowano portal programu MIM, przejdź do następnej sekcji.

  1. Po ponownym uruchomieniu serwera PAMSRV zaloguj się jako PRIV\Administrator.

  2. Uruchom program PowerShell i wpisz add-pssnapin fimautomation polecenie , aby załadować polecenia cmdlet programu PowerShell konfiguracji usługi MIM.

  3. Pobierz skrypt How to Use PowerShell to Enable an MPR and save it locally (Jak używać programu PowerShell do włączania mpR i zapisywania go lokalnie).

  4. Użyj skryptu, aby włączyć zarządzanie użytkownikami o nazwie MPR: użytkownicy mogą odczytywać własne atrybuty. Po zakończeniu zostanie wyświetlony komunikat MPR włączony pomyślnie.

  5. Przejdź do poniższej sekcji , Sprawdź połączenia zapory.

Konfigurowanie portalu programu MIM i reguł zasad zarządzania

Jeśli zdecydujesz się zainstalować program SharePoint, sprawdź, czy portal programu MIM jest aktywny i umożliwia użytkownikom wyświetlanie własnego zasobu obiektu w programie MIM.

  1. Po ponownym uruchomieniu serwera PAMSRV zaloguj się jako PRIV\Administrator.

  2. Uruchom program Internet Explorer i połącz się z portalem programu MIM w witrynie http://pamsrv.priv.contoso.local:82/identitymanagement. Podczas pierwszego znajdowania strony może nastąpić krótkie opóźnienie.

  3. W razie potrzeby zaloguj się w programie Internet Explorer jako PRIV\Administrator.

  4. W programie Internet Explorer otwórz pozycję Opcje internetowe, przejdź na kartę Zabezpieczenia i dodaj witrynę do strefy Lokalny intranet , jeśli jeszcze nie istnieje. Zamknij okno dialogowe Opcje internetowe.

  5. Korzystając z programu Internet Explorer do wyświetlania portalu programu MIM, wybierz pozycję Reguły zasad zarządzania.

  6. Wyszukaj regułę zasad zarządzania Zarządzanie użytkownikami: użytkownicy mogą odczytywać własne atrybuty.

  7. Wybierz tę regułę zasad zarządzania, usuń zaznaczenie pola wyboru Zasady są wyłączone, wybierz przycisk OK, a następnie wybierz pozycję Prześlij.

Weryfikacja połączeń zapory

Zapora powinna zezwalać na połączenia przychodzące na portach TCP 5725, 5726, 8086 i 8090.

  1. Uruchom aplet Zapora systemu Windows z zabezpieczeniami zaawansowanymi (znajdujący się w Narzędziach administracyjnych).

  2. Kliknij pozycję Reguły dla ruchu przychodzącego.

  3. Sprawdź, czy są wyświetlane te dwie reguły:

    • Usługa Forefront Identity Manager (STS)
    • Forefront Identity Manager (usługa sieci Web)

  4. Kliknij pozycję Nowy port TCP reguły>> i wpisz określone porty lokalne 8086 i 8090. W kreatorze zaakceptuj ustawienia domyślne, nadaj regule nazwę, a następnie kliknij przycisk Zakończ.

  5. Ukończ działanie kreatora i zamknij aplikację Zapora systemu Windows.

  6. Otwórz Panel sterowania.

  7. W obszarze Sieć i Internet wybierz pozycję Wyświetl stan sieci i zadania.

  8. Sprawdź, czy istnieje aktywna sieć, która jest wyświetlana jako priv.contoso.local i sieć domeny.

  9. Zamknij Panel sterowania.

Opcjonalnie: Konfigurowanie przykładowej aplikacji internetowej

W tej sekcji zainstalujesz i skonfigurujesz przykładową aplikację internetową dla interfejsu API REST usługi PAM programu MIM. Ten składnik jest wymagany tylko wtedy, gdy chcesz dowiedzieć się, jak używać interfejsu API REST usługi PAM programu MIM. Jeśli zamierzasz użyć programu PowerShell do żądania i zatwierdzenia dostępu, przejdź do następnej sekcji, aby zainstalować polecenia cmdlet modułu żądającego USŁUGI PAM programu MIM.

  1. Z archiwum przykładowej aplikacji internetowej wyodrębnij przykłady dotyczące programu Identity Management jako plik zip.

  2. Rozpakuj zawartość folderu identity-management-samples-master\Privileged-Access-Management-Portal\src do nowego folderu C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Utwórz nową witrynę sieci Web w usługach IIS przy użyciu:

    • nazwa witryny portalu zarządzania uprzywilejowanym dostępem programu MIM,
    • ścieżka fizyczna C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal i
    • port 8090.

    Użyj następującego polecenia programu PowerShell, aby utworzyć witrynę:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Skonfiguruj przykładową aplikację internetową pod kątem przekierowywania użytkowników do interfejsu API REST usługi PAM programu MIM. Za pomocą edytora tekstów, takiego jak Notatnik, zmodyfikuj plik C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. <system.webServer> W sekcji dodaj następujące wiersze:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Skonfiguruj przykładową aplikację internetową. Użyj edytora tekstu, takiego jak Notatnik, do zmodyfikowania pliku C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Ustaw wartość parametru pamRespApiUrl na http://pamsrv.priv.contoso.local:8086/api/pamresources/wartość .

  6. Uruchom ponownie usługę IIS przy użyciu następującego polecenia, aby te zmiany zaczęły obowiązywać.

    iisreset

  7. (Opcjonalnie) Sprawdź, czy użytkownik może się uwierzytelnić w interfejsie API REST. Na serwerze PAMSRV otwórz przeglądarkę sieci Web jako administrator. Przejdź do adresu URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/witryny sieci Web , w razie potrzeby uwierzytelnij się i upewnij się, że nastąpi pobranie.

Instalowanie poleceń cmdlet obiektu żądającego usługi PAM programu MIM

Zainstaluj polecenia cmdlet modułu żądającego usługi PAM programu MIM na stacji roboczej skonfigurowanej w kroku 2.

  1. Zaloguj się do aplikacji PRIVWKSTN jako administrator.

  2. Pobierz dodatki i rozszerzenia na komputer PRIVWKSTN, jeśli jeszcze nie istnieje.

  3. Wyodrębnij z archiwum folder Dodatki i rozszerzenia do nowego folderu.

  4. Uruchom instalatora setup.exe.

  5. W ustawieniach niestandardowych wybierz opcję instalacji klienta usługi PAM. Nie wybieraj opcji instalacji dodatku programu MIM dla programu Outlook ani rozszerzeń hasła i uwierzytelniania programu MIM.

  6. Na adres serwera PAM określ nazwę hosta serwera pamsrv.priv.contoso.localPRIV MIM .

Po zakończeniu instalacji uruchom ponownie program PRIVWKSTN, aby ukończyć rejestrację nowego modułu programu PowerShell.

W następnym kroku ustanowisz relację zaufania między lasami PRIV i CORP.

« Krok 3Krok 5 »