步骤 4 - 在 PAM 服务器和工作站上安装 MIM 组件
在 PAMSRV 上,以 PRIV\Administrator 身份登录,以便能够安装 MIM 服务。
注意
必须是域管理员;如果不以对 AD 中的 PRIV 域没有写入访问权限的用户身份运行以下命令,则安装不会成功。 这是因为 MIM 安装会创建新的 AD OU“PAM 对象”。
如果下载了 MIM,请将 MIM 安装存档解压缩到新文件夹。
运行服务和门户安装程序
按照安装程序的说明操作并完成安装。
选择组件功能时,包括具有 Privileged Access Management 的 MIM 服务 (,但不包括 MIM 报告) 。 如果在上一步中安装了 SharePoint,则可以安装 MIM 门户。 如果在上一步中未安装 SharePoint,请不要安装 MIM 门户。
配置通用服务和 MIM 数据库连接时,请指定创建一个新数据库。
注意
如果为实现高可用性安装 MIM 服务多次,请为所有后续安装指定使用现有数据库。
配置邮件服务器连接时,将邮件服务器设置为测试环境中的 CORP 环境的 Exchange 或 SMTP 服务器的主机名 (,如果 PRIV 环境中没有邮件服务器) ,则可以使用 corpdc.contoso.local,并取消选中“使用 SSL 和邮件服务器Exchange Server 2007 或 Exchange Server 2010”复选框。
选择以生成新的自签名证书。
设置以下帐户凭据:
- 服务帐户名称:MIMService
- 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
- 服务帐户域:PRIV
- 服务电子邮件帐户:MIMService@priv.contoso.local
接受同步服务器主机名的默认值,并将 MIM 管理代理帐户指定为“PRIV\MIMMA”。 将显示 MIM 同步服务不存在的警告消息。 此警告正常,因为此方案中未使用 MIM 同步服务。
将 “PAMSRV” 指定为 MIM 服务服务器地址。
将
http://pamsrv.priv.contoso.local:82
设置为 SharePoint 网站集 URL。将注册门户 URL 留空。
选中复选框以在防火墙中打开端口 5725 和 5726,如果正在安装 MIM 门户,则选中复选框以授予所有经过身份验证的用户访问 MIM 门户网站的权限。
将 PAM REST API 主机名留空,并将 8086 指定为端口号。
如果要将 MIM 门户并置在此服务器上,请将 MIM PAM REST API 帐户配置为使用与 SharePoint (相同的帐户) :
- 应用程序池帐户名称:SharePoint
- 应用程序池帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
- 应用程序池帐户域:PRIV
可能会出现服务帐户在其当前配置中并不安全的警告。 这没有关系。
配置 MIM PAM 组件服务:
- 服务帐户名称:MIMComponent
- 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
- 服务帐户域:PRIV
配置 PAM 监视服务:
- 服务帐户名称:MIMMonitor
- 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
- 服务帐户域:PRIV
在“输入 MIM 密码门户信息”页面上,将复选框留空并继续。 单击“下一步”以继续安装。
安装完成后,服务器将重新启动。
从 PowerShell 设置管理策略规则
如果安装了 MIM 门户,请跳到下一部分。
重启 PAMSRV 后,以 PRIV\Administrator 身份登录。
启动 PowerShell,然后键入
add-pssnapin fimautomation
以加载 MIM 服务配置 PowerShell cmdlet。下载脚本 如何使用 PowerShell 启用 MPR 并将其保存在本地。
使用脚本启用名为 “用户管理”的 MPR:用户可以读取自己的属性。 完成后,它将显示 已成功启用 MPR 的消息。
跳到以下验证 防火墙连接部分。
设置 MIM 门户和管理策略规则
如果选择安装 SharePoint,请验证 MIM 门户是否处于活动状态,并允许用户在 MIM 中查看其自己的对象资源。
重启 PAMSRV 后,以 PRIV\Administrator 身份登录。
启动 Internet Explorer 并连接到 MIM 门户
http://pamsrv.priv.contoso.local:82/identitymanagement
。 首次打开此页面时可能会延迟片刻。如有必要,在 Internet Explorer 中以 PRIV\Administrator 身份登录。
在 Internet Explorer 中,打开 “Internet 选项”,更改为“ 安全 ”选项卡,并将站点添加到“ 本地 Intranet”区域 (如果尚不存在)。 关闭“Internet 选项”对话框。
使用 Internet Explorer 查看 MIM 门户,选择“ 管理策略规则”。
搜索管理策略规则“用户管理:用户可以读取自己的属性”。
选择此管理策略规则,取消选中“ 策略已禁用”,选择“ 确定”,然后选择“ 提交”。
确认防火墙连接
防火墙应允许到 TCP 端口 5725、5726、8086 和 8090 的传入连接。
启动“高级安全 Windows 防火墙”(位于“管理工具”中)。
单击“入站规则” 。
确认列出了以下两个规则:
- Forefront Identity Manager 服务 (STS)
- Forefront Identity Manager 服务 (Webservice)
单击“新规则”>“端口”>“TCP”,然后键入特定本地端口 8086 和 8090。 在向导中连续单击,接受默认设置,并为规则命名,然后单击“完成”。
完成向导后,关闭“Windows 防火墙”应用程序。
启动“控制面板” 。
在“网络和 Internet”下,选择“ 查看网络状态和任务”。
验证是否存在列为 priv.contoso.local 的活动网络和域网络。
关闭“控制面板” 。
可选:设置示例 Web 应用程序
在本部分中,你将为 MIM PAM REST API 安装和配置示例 Web 应用程序。 仅当希望了解如何使用 MIM PAM REST API 时,才需要此组件。 如果打算使用 PowerShell 请求和批准访问权限,请继续下一部分安装 MIM PAM 请求或 cmdlet。
从示例 web 应用程序存档中以 zip 文件形式下载身份管理示例。
将 identity-management-samples-master\Privileged-Access-Management-Portal\src 文件夹中的内容解压缩到新文件夹 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal 中。
在 IIS 中使用以下项创建新网站:
- MIM Privileged Access Management 示例门户的站点名称,
- 物理路径 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal,以及
- 端口 8090。
使用以下 PowerShell 命令创建站点:
New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090 -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
设置示例 Web 应用程序,以便将用户重定向至 MIM PAM REST API。 使用文本编辑器(如记事本)编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config。在
<system.webServer>
部分中,添加以下行:<httpProtocol> <customHeaders> <add name="Access-Control-Allow-Credentials" value="true" /> <add name="Access-Control-Allow-Headers" value="content-type" /> <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" /> </customHeaders> </httpProtocol>
配置示例 Web 应用程序。 使用文本编辑器(如记事本)编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js。 将 pamRespApiUrl 的值设置为
http://pamsrv.priv.contoso.local:8086/api/pamresources/
。使用以下命令重启 IIS,以便使这些更改生效。
iisreset
(可选)验证用户是否可以对 REST API 进行身份验证。 在 PAMSRV 上,以管理员身份打开 Web 浏览器。 导航到网站 URL
http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/
,根据需要进行身份验证,并确保可进行下载。
安装 MIM PAM 请求程序 cmdlet
在步骤 2 中配置的工作站上安装 MIM PAM 请求程序 cmdlet。
以管理员身份登录到 PRIVWKSTN。
将 加载项和扩展 下载到 PRIVWKSTN 计算机(如果尚不存在)。
将存档从文件夹 加载项和扩展 中解压缩至新文件夹。
运行安装程序 setup.exe。
在自定义安装中,指定要安装 PAM 客户端,而不是 Outlook MIM 加载项或 MIM 密码和身份验证扩展。
在 PAM 服务器地址上,指定
pamsrv.priv.contoso.local
为 PRIV MIM 服务器的主机名。
安装完成后,重启 PRIVWKSTN 以完成新 PowerShell 模块的注册。
在下一步中,你将在 PRIV 和 CORP 林之间建立信任。