Passo 4 – Instalar os componentes do MIM num servidor e estação de trabalho de PAM
No PAMSRV, inicie sessão como PRIV\Administrator para poder instalar o Serviço MIM.
Nota
Tem de ser um administrador de domínio; Se não estiver a executar os seguintes comandos como um utilizador que não tem acesso de escrita ao domínio PRIV no AD, a instalação não será bem-sucedida. Isto deve-se ao facto de a instalação do MIM criar um novo "objetos PAM" da UO do AD.
Se transferiu o MIM, descompacte o arquivo de instalação do MIM para uma nova pasta.
Executar o programa de instalação do Portal e do Serviço
Siga as diretrizes do instalador e conclua a instalação.
Ao selecionar funcionalidades de componentes, inclua o Serviço MIM (com Privileged Access Management, mas não relatórios do MIM). Se instalou o SharePoint no passo anterior, pode instalar o Portal do MIM. Se não instalou o SharePoint no passo anterior, não instale o Portal do MIM.
Quando configurar serviços comuns e a ligação da base de dados MIM, especifique Criar uma nova base de dados.
Nota
Se instalar o Serviço MIM várias vezes para elevada disponibilidade, especifique Utilizar uma base de dados existente para todas as instalações subsequentes.
Ao configurar uma ligação de servidor de correio, defina o servidor de correio como o nome de anfitrião de um servidor Exchange ou SMTP para o ambiente CORP (num ambiente de teste, poderá utilizar corpdc.contoso.local se não tiver um servidor de e-mail no ambiente PRIV) e desmarque as caixas de verificação Utilizar SSL e Mail Server Exchange Server 2007 ou Exchange Server 2010.
Escolha esta opção para gerar um novo certificado autoassinado.
Defina as seguintes credenciais de conta:
- Nome da Conta de Serviço: MIMService
- Palavra-passe da Conta de Serviço: Pass@word1 (ou a palavra-passe que criou no Passo 2)
- Domínio da Conta de Serviço: PRIV
- Conta de E-mail de Serviço: MIMService@priv.contoso.local
Aceite as predefinições para o nome de anfitrião do servidor de sincronização e especifique a conta do Agente de Gestão do MIM como PRIV\MIMMA. Será apresentada uma mensagem de aviso a indicar que o serviço de sincronização do MIM não existe. Este aviso é OK, uma vez que o serviço de sincronização do MIM não é utilizado neste cenário.
Defina PAMSRV como endereço do servidor do Serviço MIM.
Defina
http://pamsrv.priv.contoso.local:82como o URL da coleção de sites do SharePoint.Deixe o URL do portal de registo em branco.
Selecione a caixa de verificação para abrir as portas 5725 e 5726 na firewall e, se o Portal do MIM estiver a ser instalado, a caixa de verificação para conceder acesso ao site do Portal do MIM a todos os utilizadores autenticados.
Deixe o nome de anfitrião da API REST de PAM em branco e defina 8086 como o número da porta.
Configure a conta da API REST de PAM do MIM para utilizar a mesma conta que o SharePoint (se o Portal do MIM estiver instalado colocalizado neste servidor):
- Nome da Conta do Conjunto Aplicacional: SharePoint
- Palavra-passe da Conta do Conjunto Aplicacional: Pass@word1 (ou a palavra-passe que criou no Passo 2)
- Domínio da Conta do Conjunto Aplicacional: PRIV
Pode aparecer um aviso a indicar que a Conta de Serviço não está protegida na configuração atual. Não há problema.
Configure o serviço do componente PAM do MIM:
- Nome da Conta de Serviço – MIMComponent
- Palavra-passe da Conta de Serviço: Pass@word1 (ou a palavra-passe que criou no Passo 2)
- Domínio da Conta de Serviço: PRIV
Configure o Serviço de Monitorização PAM:
- Nome da Conta de Serviço: MIMMonitor
- Palavra-passe da Conta de Serviço: Pass@word1 (ou a palavra-passe que criou no Passo 2)
- Domínio da Conta de Serviço: PRIV
Na página Introduzir informações para Portais de Palavras-passe do MIM, deixe as caixas de verificação em branco e continue. Clique em Seguinte para continuar a instalação.
Após a conclusão da instalação, o servidor será reiniciado.
Configurar a regra de política de gestão a partir do PowerShell
Se tiver instalado o Portal do MIM, avance para a secção seguinte.
Depois de PAMSRV ser reiniciado, inicie sessão como PRIV\Administrator.
Inicie o PowerShell e escreva
add-pssnapin fimautomationpara carregar os cmdlets do PowerShell de configuração do Serviço MIM.Transfira o script Como Utilizar o PowerShell para Ativar um MPR e guardá-lo localmente.
Utilize o script para ativar o MPR com o nome Gestão de utilizadores: os utilizadores podem ler atributos próprios. Quando terminar, irá apresentar a mensagem MPR ativada com êxito.
Avance para a secção abaixo, Verificar as ligações da firewall.
Configurar o Portal do MIM e as regras de política de gestão
Se optou por instalar o SharePoint, verifique se o Portal do MIM está ativo e permita que os utilizadores vejam o seu próprio recurso de objeto no MIM.
Depois de PAMSRV ser reiniciado, inicie sessão como PRIV\Administrator.
Inicie o Internet Explorer e ligue-se ao Portal do MIM em
http://pamsrv.priv.contoso.local:82/identitymanagement. Pode existir um pequeno atraso quando esta página for localizada pela primeira vez.Se necessário, inicie sessão como PRIV\Administrator no Internet Explorer.
No Internet Explorer, abra as Opções da Internet, mude para o separador Segurança e adicione o site à zona da intranet Local , caso ainda não esteja lá. Feche a caixa de diálogo Opções da Internet.
Com o Internet Explorer para ver o Portal do MIM, selecione Regras de Política de Gestão.
Procure a regra de política de gestão Gestão de utilizadores: os utilizadores podem ler atributos próprios.
Selecione esta regra de política de gestão, desmarque A política está desativada, selecione OK e, em seguida, selecione Submeter.
Verificar as ligações de firewall
A firewall deve permitir ligações de entrada para a porta TCP 5725, 5726, 8086 e 8090.
Inicie Firewall do Windows com Segurança Avançada (localizado em Ferramentas Administrativas).
Clique em Regras de Entrada.
Verifique se estas duas regras estão listadas:
- Serviço de Forefront Identity Manager (STS)
- Serviço de Forefront Identity Manager (Serviço Web)
Clique em Nova regra>>Porta TCP e escreva as portas locais específicas 8086 e 8090. Clique no assistente para aceitar as predefinições, dê um nome à regra e clique em Concluir.
Depois de concluir o assistente, feche a aplicação Firewall do Windows.
Inicie o Painel de Controlo.
Em Rede e Internet, selecione Ver estado e tarefas de rede.
Verifique se existe uma rede ativa, que está listada como priv.contoso.local e uma rede de Domínio.
Feche Painel de Controlo.
Opcional: Configurar a aplicação Web de exemplo
Nesta secção, irá instalar e configurar a aplicação Web de exemplo para a API REST de PAM do MIM. Este componente só é necessário se quiser saber como utilizar a API REST de PAM do MIM. Se pretender utilizar o PowerShell para pedir e aprovar o acesso, continue com a secção seguinte para instalar os cmdlets do requerente de PAM do MIM.
A partir do arquivo da aplicação Web de exemplo, transfira os exemplos de Gestão de Identidades como um ficheiro zip.
Descompacte o conteúdo da pasta identity-management-samples-master\Privileged-Access-Management-Portal\src para uma nova pasta C:\Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.
Crie um novo web site no IIS com:
- um nome de site do Portal de Exemplo de Gestão de Acesso Privilegiado do MIM,
- caminho físico C:\Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal e
- porta 8090.
Utilize o seguinte comando do PowerShell para criar o site:
New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090 -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"Configure a aplicação Web de exemplo para conseguir redirecionar os utilizadores para a API REST de PAM do MIM. Com um editor de texto, como o Bloco de Notas, edite o ficheiro C:\Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config.
<system.webServer>Na secção, adicione as seguintes linhas:<httpProtocol> <customHeaders> <add name="Access-Control-Allow-Credentials" value="true" /> <add name="Access-Control-Allow-Headers" value="content-type" /> <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" /> </customHeaders> </httpProtocol>Configure a aplicação Web de exemplo. Utilizando um editor de texto, como o Bloco de Notas, edite o ficheiro C:\Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Defina o valor de pamRespApiUrl como
http://pamsrv.priv.contoso.local:8086/api/pamresources/.Reinicie o IIS com o seguinte comando para estas alterações serem aplicadas.
iisreset(Opcional) Verifique se o utilizador pode autenticar para a API REST. Abra um browser como administrador em PAMSRV. Navegue para o URL
http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/do web site , autentique-se, se necessário, e certifique-se de que ocorre uma transferência.
Instalar os cmdlets do requerente de PAM do MIM
Instale os cmdlets do requerente de PAM do MIM na estação de trabalho configurada no Passo 2.
Inicie sessão na PRIVWKSTN como administrador.
Transfira os Suplementos e extensões para o computador PRIVWKSTN, se ainda não estiver presente.
Descompacte a pasta Suplementos e extensões do arquivo para uma nova pasta.
Execute o instalador setup.exe.
Na configuração personalizada, especifique onde o Cliente PAM será instalado, mas não o Suplemento do MIM para o Outlook ou as Extensões de Autenticação e Palavra-passe do MIM.
No endereço do Servidor PAM, especifique como o nome do anfitrião do servidor
pamsrv.priv.contoso.localPRIV MIM.
Após a conclusão da instalação, reinicie PRIVWKSTN para concluir o registo do novo módulo do PowerShell.
No próximo passo, irá estabelecer confiança entre as florestas PRIV e CORP.