Steg 4 – installera MIM-komponenter på PAM-servern och arbetsstationen

  • Artikel

« Steg 3Steg 5 »

På PAMSRV loggar du in som PRIV\Administratör för att kunna installera MIM-tjänsten.

Anteckning

Du måste vara domänadministratör. Om du inte kör följande kommandon som en användare som inte har skrivåtkomst till PRIV-domänen i AD, kommer installationen inte att lyckas. Detta beror på att MIM-installationen skapar en ny AD OU "PAM-objekt".

Om du har laddat ned MIM packar du upp MIM-installationsarkivet till en ny mapp.

Kör installationsprogrammet för tjänsten och portalen

Följ riktlinjerna i installationsprogrammet och slutför installationen.

  1. När du väljer komponentfunktioner inkluderar du MIM-tjänsten (med Privileged Access Management, men inte MIM-rapportering). Om du installerade SharePoint i föregående steg kan du installera MIM-portalen. Om du inte installerade SharePoint i föregående steg ska du inte installera MIM-portalen.

    Anpassad installation – skärmbild

  2. När du konfigurerar vanliga tjänster och anslutningen till MIM-databasen, anger du Skapa en ny databas.

    Anteckning

    Om du installerar MIM-tjänsten flera gånger för hög tillgänglighet anger du Använd en befintlig databas för alla efterföljande installationer.

  3. När du konfigurerar en e-postserveranslutning ställer du in e-postservern på värdnamnet för en Exchange- eller SMTP-server för CORP-miljön (i en testmiljö kan du använda corpdc.contoso.local om du inte har någon e-postserver i PRIV-miljön) och avmarkera kryssrutan Använd SSL och e-postserver Exchange Server 2007 eller Exchange Server 2010.

  4. Välja att generera ett nytt självsignerat certifikat.

  5. Ange följande autentiseringsuppgifter för kontot:

    • Namn på tjänstkonto: MIMService
    • Lösenord för tjänstkonto: Pass@word1 (eller lösenordet du skapade i steg 2)
    • Domän för tjänstkonto: PRIV
    • E-postkonto för tjänsten: MIMService@priv.contoso.local

  6. Godkänn standardinställningarna för synkroniseringsserverns värdnamn och ange PRIV\MIMMA som konto för MIM-hanteringsagenten. En varning visas om att synkroniseringstjänsten för MIM inte finns. Den här varningen är OK eftersom MIM-synkroniseringstjänsten inte används i det här scenariot.

  7. Ange PAMSRV som MIM-tjänstens serveradress.

  8. Ange http://pamsrv.priv.contoso.local:82 som URL för SharePoint-webbplatssamlingen.

  9. Lämna Registrering av portal-URL tomt.

  10. Markera kryssrutan för att öppna portarna 5725 och 5726 i brandväggen. Om MIM-portalen installeras markerar du kryssrutan för att ge alla autentiserade användare åtkomst till MIM-portalwebbplatsen.

  11. Lämna PAM REST API-värdnamnet tomt och ange 8086 som portnummer.

    Bindningsinformation för PAM REST-API – skärmbild

  12. Konfigurera MIM PAM REST API-kontot så att det använder samma konto som SharePoint (om MIM-portalen ska installeras på samma plats på den här servern):

    • Namn på programpoolskonto: SharePoint
    • Lösenord för programpoolskonto: Pass@word1 (eller lösenordet du skapade i steg 2)
    • Domän för programpoolskonto: PRIV

    Autentiseringsuppgifter för programpoolskonto – skärmbild

    En varning kan visas om att tjänstkontots nuvarande konfiguration inte är säker. Det gör ingenting.

  13. Konfigurera MIM PAM-komponenttjänsten:

    • Namn på tjänstkontot – MIMComponent
    • Lösenord för tjänstkonto: Pass@word1 (eller lösenordet du skapade i steg 2)
    • Domän för tjänstkonto: PRIV

    Autentiseringsuppgifter för PAM-komponenttjänstkonto – skärmbild

  14. Konfigurera PAM-övervakningstjänsten:

    • Namn på tjänstkonto: MIMMonitor
    • Lösenord för tjänstkonto: Pass@word1 (eller lösenordet du skapade i steg 2)
    • Domän för tjänstkonto: PRIV

    Autentiseringsuppgifter för PAM-övervakningstjänstkonto – skärmbild

  15. På portalsidan Ange informationen för MIM-lösenord lämnar du kryssrutorna tomma och fortsätter. Klicka på Nästa när du vill fortsätta med installationen.

  16. När installationen är klar startas servern om.

Konfigurera hanteringsprincipregel från PowerShell

Om du har installerat MIM-portalen går du vidare till nästa avsnitt.

  1. När PAMSRV startat om loggar du in som PRIV\Administratör.

  2. Starta PowerShell och skriv add-pssnapin fimautomation för att läsa in POWERShell-cmdletar för MIM-tjänstkonfiguration.

  3. Ladda ned skriptet How to Use PowerShell to Enable an MPR and save it locally (Så här använder du PowerShell för att aktivera en MPR och spara den lokalt).

  4. Använd skriptet för att aktivera MPR med namnet Användarhantering: Användare kan läsa egna attribut. När du är klar visas meddelandet MPR aktiverat.

  5. Gå vidare till avsnittet nedan , Verifiera brandväggsanslutningarna.

Konfigurera MIM-portalen och hanteringsprincipregler

Om du väljer att installera SharePoint kontrollerar du att MIM-portalen är aktiv och gör det möjligt för användare att visa sin egen objektresurs i MIM.

  1. När PAMSRV startat om loggar du in som PRIV\Administratör.

  2. Starta Internet Explorer och anslut till MIM-portalen på http://pamsrv.priv.contoso.local:82/identitymanagement. Det kan ske en kort fördröjning den första gången sidan finns.

  3. Om det behövs loggar du in som PRIV\Administratör för Internet Explorer.

  4. I Internet Explorer öppnar du Internetalternativ, ändrar till fliken Säkerhet och lägger till platsen i zonen Lokalt intranät om den inte redan finns där. Stäng dialogrutan Internetalternativ.

  5. Använd Internet Explorer för att visa MIM-portalen och välj Hanteringsprincipregler.

  6. Sök efter hanteringsprincipregeln Användarhantering: Användare kan läsa egna attribut.

  7. Välj den här hanteringsprincipregeln, avmarkera Princip är inaktiverad, välj OK och välj sedan Skicka.

Kontrollera brandväggens anslutningar

Brandväggen ska tillåta inkommande anslutningar till TCP-portarna 5725, 5726, 8086 och 8090.

  1. Starta Windows-brandväggen med avancerad säkerhet (i Administrationsverktyg).

  2. Klicka på Regler för inkommande trafik.

  3. Kontrollera att de här två reglerna visas:

    • Forefront Identity Manager-tjänsten (STS)
    • Forefront Identity Manager-tjänsten (Webbtjänst)

  4. Klicka på Ny regel>Port>TCP och skriv de specifika lokala portarna 8086 och 8090. Klicka dig igenom guiden och acceptera standardinställningarna, ge regeln ett namn och klicka på Slutför.

  5. Slutför guiden och stäng programmet Windows-brandvägg.

  6. Starta kontrollpanelen.

  7. Under Nätverk och Internet väljer du Visa nätverksstatus och aktiviteter.

  8. Kontrollera att det finns ett aktivt nätverk som anges som priv.contoso.local och ett domännätverk.

  9. Stäng Kontrollpanelen.

Valfritt: Konfigurera exempelwebbappen

I det här avsnittet installerar och konfigurerar du exempelwebbappen för REST-API:et för MIM PAM. Den här komponenten behövs bara om du vill lära dig hur du använder REST-API:et för MIM PAM. Om du tänker använda PowerShell för att begära och godkänna åtkomst fortsätter du med nästa avsnitt för att installera MIM PAM-begärande-cmdletarna.

  1. Ladda ner identitetshanteringsexemplen som en zip-fil från exempelwebbappens arkiv.

  2. Packa upp innehållet i mappen identity-management-samples-master\Privileged-Access-Management-Portal\src i en ny mappC:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Skapa en ny webbplats i IIS med:

    • ett webbplatsnamn för MIM Privileged Access Management Example Portal,
    • fysisk sökväg C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal och
    • port 8090.

    Använd följande PowerShell-kommando för att skapa webbplatsen:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Konfigurera exempelwebbappen att kunna vidarebefordra användare till REST-API:t för MIM PAM. Med hjälp av en textredigerare som Anteckningar redigerar du filen C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. <system.webServer> Lägg till följande rader i avsnittet:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Konfigurera exempelwebbappen. Med en textredigerare, till exempel Anteckningar, redigerar du filen C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Ange värdet för pamRespApiUrl till http://pamsrv.priv.contoso.local:8086/api/pamresources/.

  6. Starta om IIS med följande kommando för att ändringarna ska börja gälla.

    iisreset

  7. (Valfritt) Kontrollera att användaren kan autentiseras för REST-API:t. Öppna en webbläsare som administratör på PAMSRV. Gå till webbadressen http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/, autentisera vid behov och se till att en nedladdning sker.

Installera MIM PAM-cmdletarna för begärande

Installera MIM PAM-begärande-cmdletarna på arbetsstationen som konfigurerades i steg 2.

  1. Logga in på PRIVWKSTN som administratör.

  2. Ladda ned tilläggen och tilläggen till PRIVWKSTN-datorn, om de inte redan finns.

  3. Packa upp mappen Tillägg från arkivet till en ny mapp.

  4. Kör installationsprogrammet setup.exe.

  5. På den anpassade installationen anger du den PAM-klient som ska installeras, men inte MIM-tillägg för Outlook och MIM-lösenord och autentiseringstillägg.

  6. På PAM-serveradressen anger du som värdnamn för PRIV MIM-servern pamsrv.priv.contoso.local.

När installationen är klar startar du om PRIVWKSTN för att slutföra registreringen av den nya PowerShell-modulen.

I nästa steg upprättar du förtroende mellan PRIV- och CORP-skogar.

« Steg 3Steg 5 »