步骤 4 - 在 PAM 服务器和工作站上安装 MIM 组件

  • 项目

« 步骤 3步骤 5 »

在 PAMSRV 上,以 PRIV\Administrator 身份登录,以便能够安装 MIM 服务。

注意

必须是域管理员;如果不以对 AD 中的 PRIV 域没有写入访问权限的用户身份运行以下命令,则安装不会成功。 这是因为 MIM 安装会创建新的 AD OU“PAM 对象”。

如果下载了 MIM,请将 MIM 安装存档解压缩到新文件夹。

运行服务和门户安装程序

按照安装程序的说明操作并完成安装。

  1. 选择组件功能时,包括具有 Privileged Access Management 的 MIM 服务 (,但不包括 MIM 报告) 。 如果在上一步中安装了 SharePoint,则可以安装 MIM 门户。 如果在上一步中未安装 SharePoint,请不要安装 MIM 门户。

    自定义安装 - 屏幕截图

  2. 配置通用服务和 MIM 数据库连接时,请指定创建一个新数据库

    注意

    如果为实现高可用性安装 MIM 服务多次,请为所有后续安装指定使用现有数据库

  3. 配置邮件服务器连接时,将邮件服务器设置为测试环境中的 CORP 环境的 Exchange 或 SMTP 服务器的主机名 (,如果 PRIV 环境中没有邮件服务器) ,则可以使用 corpdc.contoso.local,并取消选中“使用 SSL邮件服务器Exchange Server 2007 或 Exchange Server 2010”复选框。

  4. 选择以生成新的自签名证书。

  5. 设置以下帐户凭据:

    • 服务帐户名称:MIMService
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV
    • 服务电子邮件帐户:MIMService@priv.contoso.local

  6. 接受同步服务器主机名的默认值,并将 MIM 管理代理帐户指定为“PRIV\MIMMA”。 将显示 MIM 同步服务不存在的警告消息。 此警告正常,因为此方案中未使用 MIM 同步服务。

  7. “PAMSRV” 指定为 MIM 服务服务器地址。

  8. http://pamsrv.priv.contoso.local:82 设置为 SharePoint 网站集 URL。

  9. 将注册门户 URL 留空。

  10. 选中复选框以在防火墙中打开端口 5725 和 5726,如果正在安装 MIM 门户,则选中复选框以授予所有经过身份验证的用户访问 MIM 门户网站的权限。

  11. 将 PAM REST API 主机名留空,并将 8086 指定为端口号。

    PAM REST API 的绑定信息 - 屏幕截图

  12. 如果要将 MIM 门户并置在此服务器上,请将 MIM PAM REST API 帐户配置为使用与 SharePoint (相同的帐户) :

    • 应用程序池帐户名称:SharePoint
    • 应用程序池帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 应用程序池帐户域:PRIV

    应用程序池帐户凭据 - 屏幕截图

    可能会出现服务帐户在其当前配置中并不安全的警告。 这没有关系。

  13. 配置 MIM PAM 组件服务:

    • 服务帐户名称:MIMComponent
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV

    PAM 组件服务帐户凭据 - 屏幕截图

  14. 配置 PAM 监视服务:

    • 服务帐户名称:MIMMonitor
    • 服务帐户密码:Pass@word1(或者是在步骤 2 中创建的密码)
    • 服务帐户域:PRIV

    PAM 监视服务帐户凭据 - 屏幕截图

  15. 在“输入 MIM 密码门户信息”页面上,将复选框留空并继续。 单击“下一步”以继续安装。

  16. 安装完成后,服务器将重新启动。

从 PowerShell 设置管理策略规则

如果安装了 MIM 门户,请跳到下一部分。

  1. 重启 PAMSRV 后,以 PRIV\Administrator 身份登录。

  2. 启动 PowerShell,然后键入 add-pssnapin fimautomation 以加载 MIM 服务配置 PowerShell cmdlet。

  3. 下载脚本 如何使用 PowerShell 启用 MPR 并将其保存在本地。

  4. 使用脚本启用名为 “用户管理”的 MPR:用户可以读取自己的属性。 完成后,它将显示 已成功启用 MPR 的消息。

  5. 跳到以下验证 防火墙连接部分。

设置 MIM 门户和管理策略规则

如果选择安装 SharePoint,请验证 MIM 门户是否处于活动状态,并允许用户在 MIM 中查看其自己的对象资源。

  1. 重启 PAMSRV 后,以 PRIV\Administrator 身份登录。

  2. 启动 Internet Explorer 并连接到 MIM 门户 http://pamsrv.priv.contoso.local:82/identitymanagement。 首次打开此页面时可能会延迟片刻。

  3. 如有必要,在 Internet Explorer 中以 PRIV\Administrator 身份登录。

  4. 在 Internet Explorer 中,打开 “Internet 选项”,更改为“ 安全 ”选项卡,并将站点添加到“ 本地 Intranet”区域 (如果尚不存在)。 关闭“Internet 选项”对话框。

  5. 使用 Internet Explorer 查看 MIM 门户,选择“ 管理策略规则”。

  6. 搜索管理策略规则“用户管理:用户可以读取自己的属性”。

  7. 选择此管理策略规则,取消选中“ 策略已禁用”,选择“ 确定”,然后选择“ 提交”。

确认防火墙连接

防火墙应允许到 TCP 端口 5725、5726、8086 和 8090 的传入连接。

  1. 启动“高级安全 Windows 防火墙”(位于“管理工具”中)。

  2. 单击“入站规则” 。

  3. 确认列出了以下两个规则:

    • Forefront Identity Manager 服务 (STS)
    • Forefront Identity Manager 服务 (Webservice)

  4. 单击“新规则”>“端口”>“TCP”,然后键入特定本地端口 8086 和 8090。 在向导中连续单击,接受默认设置,并为规则命名,然后单击“完成”。

  5. 完成向导后,关闭“Windows 防火墙”应用程序。

  6. 启动“控制面板” 。

  7. 在“网络和 Internet”下,选择“ 查看网络状态和任务”。

  8. 验证是否存在列为 priv.contoso.local 的活动网络和域网络。

  9. 关闭“控制面板” 。

可选:设置示例 Web 应用程序

在本部分中,你将为 MIM PAM REST API 安装和配置示例 Web 应用程序。 仅当希望了解如何使用 MIM PAM REST API 时,才需要此组件。 如果打算使用 PowerShell 请求和批准访问权限,请继续下一部分安装 MIM PAM 请求或 cmdlet。

  1. 从示例 web 应用程序存档中以 zip 文件形式下载身份管理示例

  2. identity-management-samples-master\Privileged-Access-Management-Portal\src 文件夹中的内容解压缩到新文件夹 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal 中。

  3. 在 IIS 中使用以下项创建新网站:

    • MIM Privileged Access Management 示例门户的站点名称,
    • 物理路径 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal,以及
    • 端口 8090。

    使用以下 PowerShell 命令创建站点:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. 设置示例 Web 应用程序,以便将用户重定向至 MIM PAM REST API。 使用文本编辑器(如记事本)编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config。在 <system.webServer> 部分中,添加以下行:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. 配置示例 Web 应用程序。 使用文本编辑器(如记事本)编辑文件 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js。 将 pamRespApiUrl 的值设置为 http://pamsrv.priv.contoso.local:8086/api/pamresources/

  6. 使用以下命令重启 IIS,以便使这些更改生效。

    iisreset

  7. (可选)验证用户是否可以对 REST API 进行身份验证。 在 PAMSRV 上,以管理员身份打开 Web 浏览器。 导航到网站 URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/,根据需要进行身份验证,并确保可进行下载。

安装 MIM PAM 请求程序 cmdlet

在步骤 2 中配置的工作站上安装 MIM PAM 请求程序 cmdlet。

  1. 以管理员身份登录到 PRIVWKSTN。

  2. 加载项和扩展 下载到 PRIVWKSTN 计算机(如果尚不存在)。

  3. 将存档从文件夹 加载项和扩展 中解压缩至新文件夹。

  4. 运行安装程序 setup.exe

  5. 在自定义安装中,指定要安装 PAM 客户端,而不是 Outlook MIM 加载项MIM 密码和身份验证扩展

  6. 在 PAM 服务器地址上,指定 pamsrv.priv.contoso.local 为 PRIV MIM 服务器的主机名。

安装完成后,重启 PRIVWKSTN 以完成新 PowerShell 模块的注册。

在下一步中,你将在 PRIV 和 CORP 林之间建立信任。

« 步骤 3步骤 5 »