Krok 4 – Instalace komponent MIM na pracovní stanici a serveru PAM

« Krok 3Krok 5 »

V PAMSRV se přihlaste jako PRIV\Administrator, abyste mohli nainstalovat službu MIM.

Poznámka

Musíte být správce domény. Pokud následující příkazy nespouštějíte jako uživatel, který nemá přístup pro zápis do domény PRIV ve službě AD, instalace nebude úspěšná. Důvodem je to, že instalace MIM vytvoří nové objekty PAM organizační jednotky AD.

Pokud jste si stáhli MIM, rozbalte instalační archiv MIM do nové složky.

Spuštění instalačního programu služby a portálu

Postupujte podle pokynů instalačního programu a dokončete instalaci.

1. Při výběru funkcí komponent zahrňte službu MIM (s Privileged Access Management, ale ne generování sestav MIM). Pokud jste nainstalovali SharePoint v předchozím kroku, můžete nainstalovat portál MIM. Pokud jste v předchozím kroku nenainstalovali SharePoint, neinstalujte portál MIM.

   

2. Při konfiguraci společných služeb a připojení databáze MIM zadejte Vytvořit novou databázi.

   Poznámka

   Pokud pro zajištění vysoké dostupnosti instalujete službu MIM několikrát, pro všechny následné instalace zadejte Použít existující databázi.

3. Při konfiguraci připojení k poštovnímu serveru nastavte poštovní server na název hostitele serveru Exchange nebo SMTP pro prostředí CORP (v testovacím prostředí můžete použít soubor corpdc.contoso.local, pokud nemáte poštovní server v prostředí PRIV) a zrušte zaškrtnutí políček Use SSL and Mail Server is Exchange Server 2007 or Exchange Server 2010 (Use SSL and Mail Server is Exchange Server 2007 or Exchange Server 2010).

4. Vyberte vytvoření nového certifikátu podepsaného svým držitelem.

5. Nastavte následující přihlašovací údaje k účtu:

   • Název účtu služby: MIMService
   • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
   • Doména účtu služby: PRIV
   • E-mailový účet služby: MIMService@priv.contoso.local

6. Přijměte výchozí hodnoty pro hostitelský název serveru pro synchronizaci a jako účet agenta pro správu MIM zadejte PRIV\MIMMA. Zobrazí se zpráva upozornění, že synchronizační služba MIM neexistuje. Toto upozornění je v pořádku, protože synchronizační služba MIM se v tomto scénáři nepoužívá.

7. Jako adresu serveru služby MIM nastavte PAMSRV.

8. Nastavte http://pamsrv.priv.contoso.local:82 jako adresu URL kolekce webů SharePointu.

9. Adresu URL registračního portálu ponechte prázdnou.

10. Zaškrtnutím tohoto políčka otevřete v bráně firewall porty 5725 a 5726. Pokud se portál MIM instaluje, zaškrtněte políčko pro udělení přístupu k portálu MIM všem ověřeným uživatelům.

11. Název hostitele PAM REST API ponechte prázdný a jako číslo portu zadejte 8086.

    

12. Nakonfigurujte účet MIM PAM REST API tak, aby používal stejný účet jako SharePoint (pokud se má portál MIM nainstalovat společně na tomto serveru):

    • Název účtu fondu aplikací: SharePoint
    • Heslo účtu fondu aplikací: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu fondu aplikací: PRIV

    

    Pokud příslušný účet služby není ve své aktuální konfiguraci zabezpečený, může se zobrazit upozornění. To je v pořádku.

13. Nakonfigurujte službu komponent MIM PAM:

    • Název účtu služby: MIMComponent
    • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu služby: PRIV

    

14. Nakonfigurujte službu monitorování PAM:

    • Název účtu služby: MIMMonitor
    • Heslo účtu služby: Pass@word1 (nebo heslo, které jste vytvořili v kroku 2)
    • Doména účtu služby: PRIV

    

15. Na stránce pro zadání informací pro portály hesel MIM ponechte zaškrtávací políčka prázdná a pokračujte. Kliknutím na tlačítko Další pokračujte v instalaci.

16. Po dokončení instalace se server restartuje.

Nastavení pravidla zásad správy z PowerShellu

Pokud jste nainstalovali portál MIM, přejděte k další části.

1. Po restartování PAMSRV se přihlaste jako PRIV\Administrator.

2. Spusťte PowerShell a zadáním příkazu add-pssnapin fimautomation načtěte rutiny PowerShellu pro konfiguraci služby MIM.

3. Stáhněte si skript How to Use PowerShell to Enable an MPR (Postup použití PowerShellu k povolení zásad správy) a uložte ho místně.

4. Pomocí skriptu povolte pravidlo zásad správy uživatelů s názvem Správa uživatelů: Uživatelé můžou číst vlastní atributy. Po dokončení se zobrazí zpráva , že bylo pravidlo zásad správy úspěšně povoleno.

5. Přejděte k části Ověření připojení brány firewall níže.

Nastavení portálu MIM a pravidel zásad správy

Pokud jste se rozhodli nainstalovat SharePoint, ověřte, že je portál MIM aktivní, a umožněte uživatelům zobrazit vlastní prostředek objektu v MIM.

1. Po restartování PAMSRV se přihlaste jako PRIV\Administrator.

2. Spusťte Internet Explorer a připojte se k portálu MIM na .http://pamsrv.priv.contoso.local:82/identitymanagement Při prvním vyhledání této stránky může dojít ke krátké prodlevě.

3. V případě potřeby se pro Internet Explorer přihlaste jako PRIV\Administrator.

4. V Internet Exploreru otevřete Možnosti Internetu, přejděte na kartu Zabezpečení a přidejte web do zóny Místní intranet (pokud tam ještě není). Zavřete dialogové okno Možnosti internetu.

5. V Internet Exploreru k zobrazení portálu MIM vyberte Pravidla zásad správy.

6. Vyhledejte pravidlo zásad správy Správa uživatelů: Uživatelé můžou číst vlastní atributy.

7. Vyberte toto pravidlo zásad správy, zrušte zaškrtnutí políčka Zásada je zakázaná, vyberte OK a pak vyberte Odeslat.

Ověření připojení brány firewall

Brána firewall by měla umožňovat příchozí připojení k portům TCP 5725, 5726, 8086 a 8090.

1. Spusťte nástroj Brána Windows Firewall s pokročilým zabezpečením (umístěný v Nástrojích pro správu).

2. Klikněte na Příchozí pravidla.

3. Ověřte, že jsou v seznamu uvedená následující dvě pravidla:

   • Forefront Identity Manager Service (STS)
   • Forefront Identity Manager Service (Webservice)

4. Klikněte na Nové pravidlo>Port>TCP a zadejte konkrétní místní porty 8086 a 8090. V průvodci přijměte výchozí hodnoty, pojmenujte toto pravidlo a potom klikněte na Dokončit.

5. Po dokončení průvodce zavřete aplikaci Brána Windows Firewall.

6. Otevřete okno Ovládací panely.

7. V části Síť a internet vyberte Zobrazit stav sítě a úlohy.

8. Ověřte, že existuje aktivní síť, která je uvedená jako priv.contoso.local, a Síť domény.

9. Zavřete Ovládací panely.

Volitelné: Nastavení ukázkové webové aplikace

V této části nainstalujete a nakonfigurujete ukázkovou webovou aplikaci pro MIM PAM REST API. Tato komponenta je potřebná jenom v případě, že se chcete naučit používat rozhraní REST API MIM PAM. Pokud chcete k vyžádání a schválení přístupu použít PowerShell, pokračujte další částí a nainstalujte rutiny žadatele MIM PAM.

1. Z archivu ukázkové webové aplikace stáhněte ukázky pro Identity Management jako soubor .zip.

2. Rozbalte obsah složky identity-management-samples-master\Privileged-Access-Management-Portal\src do nové složky C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

3. Vytvořte nový web ve službě IIS pomocí:

   • název webu MIM Privileged Access Management – ukázkový portál,
   • fyzická cesta C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal, a
   • port 8090.

   K vytvoření lokality použijte následující příkaz PowerShellu:

   New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
   

4. Nastavte ukázkovou webovou aplikaci, aby mohla přesměrovat uživatele do MIM PAM REST API. Pomocí textového editoru, jako je Poznámkový blok, upravte soubor C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. <system.webServer> V části přidejte následující řádky:

   <httpProtocol>
   <customHeaders>
     <add name="Access-Control-Allow-Credentials" value="true"  />
     <add name="Access-Control-Allow-Headers" value="content-type" />
     <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
   </customHeaders>
   </httpProtocol>
   

5. Nakonfigurujte ukázkovou webovou aplikaci. Pomocí textového editoru, jako je třeba Poznámkový blok, upravte soubor C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Nastavte hodnotu pamRespApiUrl na http://pamsrv.priv.contoso.local:8086/api/pamresources/.

6. Pomocí následujícího příkazu restartujte službu IIS, aby se tyto změny uplatnily.

   iisreset
   

7. (Volitelné) Ověřte, že se uživatel může ověřit v rozhraní REST API. Jako správce PAMSRVR otevřete webový prohlížeč. Přejděte na adresu URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/webu , v případě potřeby proveďte ověření a ujistěte se, že dojde ke stažení.

Instalace rutin žadatele MIM PAM

Nainstalujte rutiny žadatele MIM PAM na pracovní stanici nakonfigurovanou v kroku 2.

1. Přihlaste se k PRIVWKSTN jako správce.

2. Stáhněte si doplňky a rozšíření do počítače PRIVWKSTN, pokud ještě nejsou k dispozici.

3. Složku Doplňky a rozšíření rozbalte z archivu do nové složky.

4. Spusťte instalační program setup.exe.

5. Ve vlastní instalaci zadejte, že se má nainstalovat klient PAM, ale ne doplněk MIM pro Outlook ani doplňky MIM pro ověřování a hesla.

6. Na adrese serveru PAM zadejte jako název hostitele serveru pamsrv.priv.contoso.localPRIV MIM .

Po dokončení instalace restartujte PRIVWKSTN, aby se dokončila registrace nového modulu PowerShellu.

V dalším kroku vytvoříte vztah důvěryhodnosti mezi doménovými strukturami PRIV a CORP.

« Krok 3Krok 5 »