步骤 4 - 在 PAM 服务器和工作站上安装 MIM 组件

  • 项目

« 步骤 3步骤 5 »

在 PAMSRV 上,以 PRIV\Administrator 身份登录,以安装MIM服务。

备注

必须是域管理员;如果未以没有在 AD 中对 PRIV 域具有写入访问权限的用户身份运行以下命令,则安装不会成功。 这是因为MIM安装会创建新的 AD OU“PAM 对象”。

如果下载了MIM,请将MIM安装存档解压缩到新文件夹。

运行服务和门户安装程序

按照安装程序的说明操作并完成安装。

  1. 选择组件功能时,请通过 Privileged Access Management 包括MIM服务 (,但不MIM Reporting) 。 如果在上一步中安装了SharePoint,则可以安装MIM门户。 如果未在上一步骤中安装SharePoint,则不要安装MIM门户。

    Custom setup - screenshot

  2. 配置通用服务和 MIM 数据库连接时,请指定创建一个新数据库

    备注

    如果为实现高可用性安装 MIM 服务多次,请为所有后续安装指定使用现有数据库

  3. 配置邮件服务器连接时,请将邮件服务器设置为测试环境中的 CORP 环境 (Exchange或 SMTP 服务器的主机名,如果在 PRIV 环境中没有邮件服务器,则可以使用 corpdc.contoso.local) ,并取消选中“使用 SSL邮件服务器Exchange Server 2007”或 Exchange Server“2010 2010”复选框。

  4. 选择以生成新的自签名证书。

  5. 设置以下帐户凭据:

    • 服务帐户名称:MIMService
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV
    • 服务电子邮件帐户:MIMService@priv.contoso.local

  6. 接受同步服务器主机名的默认值,并将 MIM 管理代理帐户指定为“PRIV\MIMMA”。 将显示 MIM 同步服务不存在的警告消息。 此警告正常,因为在此方案中不使用MIM同步服务。

  7. “PAMSRV” 指定为 MIM 服务服务器地址。

  8. http://pamsrv.priv.contoso.local:82 设置为 SharePoint 网站集 URL。

  9. 将注册门户 URL 留空。

  10. 选中该复选框以在防火墙中打开端口 5725 和 5726,如果安装了MIM门户,则复选框授予所有经过身份验证的用户访问MIM门户网站的权限。

  11. 将 PAM REST API 主机名留空,并将 8086 指定为端口号。

    Binding Information for the PAM REST API - screenshot

  12. 将 MIM PAM REST API 帐户配置为使用与SharePoint (相同的帐户(如果MIM门户要安装在此服务器上) :

    • 应用程序池帐户名称:SharePoint
    • 应用程序池帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 应用程序池帐户域:PRIV

    Application pool account credentials - screenshot

    可能会出现服务帐户在其当前配置中并不安全的警告。 这没有关系。

  13. 配置 MIM PAM 组件服务:

    • 服务帐户名称:MIMComponent
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV

    PAM Component service account credentials - screenshot

  14. 配置 PAM 监视服务:

    • 服务帐户名称:MIMMonitor
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV

    PAM Monitoring Service account credentials - screenshot

  15. 在“输入 MIM 密码门户信息”页面上,将复选框留空并继续。 单击“下一步”以继续安装。

  16. 安装完成后,服务器将重新启动。

从 PowerShell 设置管理策略规则

如果安装了MIM门户,请跳到下一部分。

  1. 重启 PAMSRV 后,以 PRIV\Administrator 身份登录。

  2. 启动 PowerShell 并键入add-pssnapin fimautomation以加载MIM服务配置 PowerShell cmdlet。

  3. 下载脚本 如何使用 PowerShell 启用 MPR 并将其保存在本地。

  4. 使用脚本启用名为 “用户管理”的 MPR:用户可以读取自己的属性。 完成后,它将显示 成功启用的消息 MPR

  5. 跳到以下部分, 验证防火墙连接

设置MIM门户和管理策略规则

如果选择安装SharePoint,请验证MIM门户是否处于活动状态,并允许用户在MIM中查看自己的对象资源。

  1. 重启 PAMSRV 后,以 PRIV\Administrator 身份登录。

  2. 启动 Internet Explorer 并连接到 MIM 门户 http://pamsrv.priv.contoso.local:82/identitymanagement。 首次打开此页面时可能会延迟片刻。

  3. 如有必要,在 Internet Explorer 中以 PRIV\Administrator 身份登录。

  4. 在 Internet Explorer 中,打开 “Internet 选项”,更改为“ 安全 ”选项卡,并将站点添加到 本地 Intranet 区域 (如果尚不存在)。 关闭“Internet 选项”对话框。

  5. 使用 Internet Explorer 查看MIM门户,选择“管理策略规则”。

  6. 搜索管理策略规则“用户管理:用户可以读取自己的属性”。

  7. 选择此管理策略规则,取消选中 “已禁用策略”,选择“ 确定”,然后选择“ 提交”。

确认防火墙连接

防火墙应允许到 TCP 端口 5725、5726、8086 和 8090 的传入连接。

  1. 启动“高级安全 Windows 防火墙”(位于“管理工具”中)。

  2. 单击“入站规则” 。

  3. 确认列出了以下两个规则:

    • Forefront Identity Manager 服务 (STS)
    • Forefront Identity Manager 服务 (Webservice)

  4. 单击“新规则”>“端口”>“TCP”,然后键入特定本地端口 8086 和 8090。 在向导中连续单击,接受默认设置,并为规则命名,然后单击“完成”。

  5. 完成向导后,关闭“Windows 防火墙”应用程序。

  6. 启动“控制面板” 。

  7. 在“网络和 Internet”下,选择“ 查看网络状态和任务”。

  8. 验证是否存在活动网络,该网络被列为 priv.contoso.local 和域网络。

  9. 关闭“控制面板” 。

可选:设置示例 Web 应用程序

在本部分中,你将为 MIM PAM REST API 安装和配置示例 Web 应用程序。 仅当想要了解如何使用 MIM PAM REST API 时,才需要此组件。 如果打算使用 PowerShell 请求和批准访问权限,请继续下一部分以安装 MIM PAM 请求程序 cmdlet。

  1. 从示例 web 应用程序存档中以 zip 文件形式下载身份管理示例

  2. identity-management-samples-master\Privileged-Access-Management-Portal\src 文件夹中的内容解压缩到新文件夹 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal 中。

  3. 在 IIS 中创建新的网站,其中包含:

    • MIM Privileged Access Management 示例门户的网站名称,
    • 物理路径 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal,以及
    • 端口 8090。

    使用以下 PowerShell 命令创建站点:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. 设置示例 Web 应用程序,以便将用户重定向至 MIM PAM REST API。 使用文本编辑器(如记事本),编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config。在本<system.webServer>部分中,添加以下行:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. 配置示例 Web 应用程序。 使用文本编辑器(如记事本)编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js。 将 pamRespApiUrl 的值设置为 http://pamsrv.priv.contoso.local:8086/api/pamresources/

  6. 使用以下命令重启 IIS,以便使这些更改生效。

    iisreset

  7. (可选)验证用户是否可以对 REST API 进行身份验证。 在 PAMSRV 上,以管理员身份打开 Web 浏览器。 导航到网站 URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/,根据需要进行身份验证,并确保可进行下载。

安装 MIM PAM 请求程序 cmdlet

在步骤 2 中配置的工作站上安装 MIM PAM 请求程序 cmdlet。

  1. 以管理员身份登录到 PRIVWKSTN。

  2. 加载项和扩展 下载到 PRIVWKSTN 计算机(如果尚不存在)。

  3. 将存档从文件夹 加载项和扩展 中解压缩至新文件夹。

  4. 运行安装程序 setup.exe

  5. 在自定义安装中,指定要安装 PAM 客户端,而不是 Outlook MIM 加载项MIM 密码和身份验证扩展

  6. 在 PAM 服务器地址上,指定 pamsrv.priv.contoso.local 为 PRIV MIM 服务器的主机名。

安装完成后,重启 PRIVWKSTN 以完成新 PowerShell 模块的注册。

在下一步中,你将在 PRIV 和 CORP 林之间建立信任。

« 步骤 3步骤 5 »