Share via

步驟 4 – 在 PAM 伺服器和工作站上安裝 MIM 元件

  • 發行項

« 步驟 3步驟 5 »

在 PAMSRV 上,以 PRIV\Administrator 身分登入,以安裝 MIM 服務。

注意

您必須是網域系統管理員;如果您不是以沒有AD中PRIV網域寫入許可權的使用者身分執行下列命令,則安裝將不會成功。 這是因為 MIM 安裝會建立新的 AD OU “PAM 物件”。

如果您已下載 MIM,請將 MIM 安裝封存解壓縮到新的資料夾。

執行服務和入口網站安裝程式

請依照安裝程式的指導方針並完成安裝。

  1. 選取元件功能時,請使用 Privileged Access Management 包含 MIM 服務 (,但不包含 MIM 報告) 。 如果您在上一個步驟中安裝了 SharePoint,則可以安裝 MIM 入口網站。 如果您未在上一個步驟中安裝 SharePoint,則請勿安裝 MIM 入口網站。

    自訂安裝 - 螢幕擷取畫面

  2. 設定一般服務和 MIM 資料庫連線時,請指定 [建立新的資料庫]。

    注意

    如果您為了高可用性而多次安裝 MIM 服務,請為所有後續安裝指定 [使用現有的資料庫]。

  3. 設定郵件伺服器連線時,請將 CORP 環境的 Exchange 或 SMTP 伺服器主機名設定為測試環境中 (的郵件伺服器,如果您在 PRIV 環境中沒有郵件伺服器,則可以使用 corpdc.contoso.local) ,然後取消核取 [使用 SSL郵件伺服器] Exchange Server 2007 或 Exchange Server 2010 複選框。

  4. 選擇產生新的自我簽署憑證。

  5. 設定下列帳戶認證︰

    • 服務帳戶名稱:MIMService
    • 服務帳戶密碼︰Pass@word1 (或您在步驟 2 中建立的密碼)
    • 服務帳戶網域:PRIV
    • 服務電子郵件帳戶︰MIMService@priv.contoso.local

  6. 接受同步處理伺服器主機名稱的預設值,並將 MIM 管理代理程式帳戶指定為 PRIV\MIMMA。 會出現 MIM 同步處理服務不存在的警告訊息。 此警告是正常的,因為此案例中不會使用 MIM 同步處理服務。

  7. PAMSRV 設定為 MIM 服務伺服器位址。

  8. http://pamsrv.priv.contoso.local:82 設定為 SharePoint 站台集合 URL。

  9. 保留註冊入口網站 URL 空白。

  10. 選取複選框以在防火牆中開啟埠 5725 和 5726,如果已安裝 MIM 入口網站,則會選取複選框來授與所有已驗證的使用者對 MIM 入口網站的存取權。

  11. 將 PAM REST API 主機名稱保留空白,並將 8086 設定為連接埠號碼。

    PAM REST API 的繫結資訊 - 螢幕擷取畫面

  12. 如果將 MIM 入口網站安裝在此伺服器上,請將 MIM PAM REST API 帳戶設定為使用與 SharePoint (相同的帳戶) :

    • 應用程式集區帳戶名稱:SharePoint
    • 應用程式集區帳戶密碼︰Pass@word1 (或您在步驟 2 中建立的密碼)
    • 應用程式集區帳戶網域:PRIV

    應用程式集區帳戶認證 - 螢幕擷取畫面

    可能會出現警告,表示服務帳戶在其目前設定中不安全。 請忽略它。

  13. 設定 MIM PAM 元件服務:

    • 服務帳戶名稱:MIMComponent
    • 服務帳戶密碼︰Pass@word1 (或您在步驟 2 中建立的密碼)
    • 服務帳戶網域:PRIV

    PAM 元件服務帳戶認證 - 螢幕擷取畫面

  14. 設定 PAM 監視服務:

    • 服務帳戶名稱:MIMMonitor
    • 服務帳戶密碼︰Pass@word1 (或您在步驟 2 中建立的密碼)
    • 服務帳戶網域:PRIV

    PAM 監視服務帳戶認證 - 螢幕擷取畫面

  15. 在 [Enter Information for MIM Password Portals (輸入 MIM 密碼入口網站資訊)] 頁面上,將核取方塊保留空白並繼續。 按一下 [下一步] 以繼續安裝。

  16. 安裝完成之後,伺服器將會重新啟動。

從 PowerShell 設定管理原則規則

如果您已安裝 MIM 入口網站,請跳至下一節。

  1. PAMSRV 重新開機之後,以 PRIV\Administrator 的身分登入。

  2. 啟動 PowerShell,然後輸入 add-pssnapin fimautomation 以載入 MIM 服務組態 PowerShell Cmdlet。

  3. 下載 腳本如何使用PowerShell來啟用 MPR ,並將它儲存在本機。

  4. 使用腳本來啟用名為使用者管理的 MPR :使用者可以讀取自己的屬性。 完成後,它會顯示 成功啟用 MPR 的訊息。

  5. 跳至下一節, 確認防火牆連線

設定 MIM 入口網站和管理原則規則

如果您選擇安裝 SharePoint,請確認 MIM 入口網站為作用中,並讓使用者在 MIM 中檢視自己的物件資源。

  1. PAMSRV 重新開機之後,以 PRIV\Administrator 的身分登入。

  2. 啟動 Internet Explorer 並連線到 http://pamsrv.priv.contoso.local:82/identitymanagement 上的 MIM 入口網站。 第一次顯示此頁面時可能會短暫延遲。

  3. 如有必要,請使用 Internet Explorer 以 PRIV\Administrator 的身分登入。

  4. 在 Internet Explorer 中,開啟 [ 因特網選項],變更為 [ 安全性 ] 索引標籤,並在網站不存在時將網站新增至 [近端內部網络] 區域 。 關閉 [網際網路選項] 對話方塊。

  5. 使用 Internet Explorer 檢視 MIM 入口網站,選取 [管理原則規則]。

  6. 搜尋管理原則規則:使用者管理:使用者可以讀取自己的屬性

  7. 選取此管理原則規則,取消核取 [原則已停用],選取 [ 確定],然後選取 [ 提交]。

驗證防火牆連線

防火牆應該能夠允許 TCP 連接埠為 5725、5726、8086 和 8090 的連入連線。

  1. 啟動 [具有進階安全性的 Windows 防火牆 (位於 [系統管理工具] 中)]。

  2. 按一下 [輸入規則]

  3. 驗證列出的這兩個規則︰

    • Forefront Identity Manager 服務 (STS)
    • Forefront Identity Manager 服務 (Web 服務)

  4. 按一下 [新增規則]> [連接埠]> [TCP],然後輸入特定的本機連接埠 80868090。 按一下精靈以接受預設值,指定規則的名稱,再按一下 [完成] 。

  5. 完成精靈後,關閉 Windows 防火牆應用程式。

  6. 啟動 [控制台] 。

  7. 在 [網络和因特網] 底下,選取 [檢視網络狀態和工作]。

  8. 確認有作用中的網路,其列為 priv.contoso.local 和網域網路。

  9. 關閉 [控制台]

選擇性:設定範例 Web 應用程式

在本節中,您將安裝和設定 MIM PAM REST API 的範例 Web 應用程式。 只有在您想要瞭解如何使用 MIM PAM REST API 時,才需要此元件。 如果您想要使用 PowerShell 來要求和核准存取權,請繼續進行下一節以安裝 MIM PAM 要求者 Cmdlet。

  1. 在 Web 應用程式封存範例中下載 ZIP 檔案 Identity Management samples (身分識別管理範例)。

  2. identity-management-samples-master\Privileged-Access-Management-Portal\src 資料夾的內容解壓縮到新資料夾 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal

  3. 使用下列專案在 IIS 中建立新的網站:

    • MIM 特殊許可權存取管理範例入口網站的網站名稱,
    • 實體路徑 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal, 和
    • 埠 8090。

    使用下列 PowerShell 命令來建立網站:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. 設定 Web 應用程式範例使它能夠將使用者重新導向至 MIM PAM REST API。 使用 [記事本] 之類的文本編輯器,編輯 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config檔案。在區<system.webServer>段中,新增下列幾行:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. 設定 Web 應用程式範例。 使用記事本之類的文字編輯器來編輯檔案 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js。 將 pamRespApiUrl 的值設定為 http://pamsrv.priv.contoso.local:8086/api/pamresources/

  6. 使用下列命令重新啟動 IIS,這些變更才會生效。

    iisreset

  7. (選用) 確認使用者可以對 REST API 進行驗證。 在 PAMSRV 上作為系統管理員開啟網頁瀏覽器。 瀏覽到網站 URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/、視需要進行驗證,並確保會進行下載。

安裝 MIM PAM 要求者 Cmdlet

在步驟 2 中設定的工作站上安裝 MIM PAM 要求者 Cmdlet。

  1. 以系統管理員身分登入PRIVWKSTN。

  2. 如果尚未存在,請下載 PRIVWKSTN 計算機的載入宏 和擴充功能

  3. 從封存檔中,將資料夾 增益集和延伸模組 解壓縮至新資料夾。

  4. 執行安裝程式 setup.exe

  5. 在自訂安裝程式上,指定要安裝的 PAM 用戶端,但不安裝 Outlook 的 MIM 增益集,或 MIM 密碼和驗證延伸模組

  6. 在 PAM 伺服器位址上,將 PRIV MIM 伺服器的主機名稱指定為 pamsrv.priv.contoso.local

安裝完成之後,請重新啟動PRIVWKSTN以完成新PowerShell模組的註冊。

在下一個步驟中,您將建立PRIV與 CORP 樹系之間的信任。

« 步驟 3步驟 5 »