Compartir a través de

Paso 4: Instalar componentes de MIM en un servidor y estación de trabajo PAM

  • Artículo

« Paso 3Paso 5 »

En PAMSRV, inicie sesión como PRIV\Administrator para poder instalar el servicio MIM.

Nota

Debe ser administrador de dominio; Si no está ejecutando los siguientes comandos como un usuario que no tiene acceso de escritura al dominio PRIV en AD, la instalación no se realizará correctamente. Esto se debe a que la instalación de MIM crea una nueva unidad organizativa de AD "objetos PAM".

Si descargó MIM, desempaquete el archivo de instalación de MIM en una nueva carpeta.

Ejecución del programa de instalación del servicio y el portal

Siga las instrucciones del instalador y complete la instalación.

  1. Al seleccionar características de componentes, incluya el servicio MIM (con Privileged Access Management, pero no mim Reporting). Si instaló SharePoint en el paso anterior, puede instalar el portal de MIM. Si no instaló SharePoint en el paso anterior, no instale el portal de MIM.

    Captura de pantalla de configuración personalizada

  2. Al configurar los servicios comunes y la conexión a la base de datos MIM, especifique Crear una nueva base de datos.

    Nota

    Si instala el servicio MIM varias veces para lograr una alta disponibilidad, especifique Usar base de datos existente para todas las instalaciones posteriores.

  3. Al configurar una conexión de servidor de correo, establezca el servidor de correo en el nombre de host de un servidor Exchange o SMTP para el entorno CORP (en un entorno de prueba, puede usar corpdc.contoso.local si no tiene un servidor de correo en el entorno PRIV) y desactive las casillas Usar SSL y Servidor de correo está Exchange Server 2007 o Exchange Server 2010.

  4. Seleccione generar un nuevo certificado autofirmado.

  5. Establezca las credenciales de cuenta siguientes:

    • Nombre de la cuenta de servicio: MIMService
    • Contraseña de la cuenta de servicio: Pass@word1 (o la contraseña que creó en el paso 2)
    • Dominio de la cuenta de servicio: PRIV
    • Cuenta de servicio de correo electrónico: MIMService@priv.contoso.local

  6. Acepte los valores predeterminados para el nombre de host del servidor de sincronización y especifique la cuenta del agente de administración de MIM como PRIV\MIMMA. Aparecerá un mensaje advirtiendo de que el servicio de sincronización de MIM no existe. Esta advertencia es correcta, ya que el servicio de sincronización de MIM no se usa en este escenario.

  7. Establezca PAMSRV como dirección del servidor del servicio MIM.

  8. Defina http://pamsrv.priv.contoso.local:82 como dirección URL de la colección de sitios de SharePoint.

  9. Deje en blanco la dirección URL del portal de registro.

  10. Active la casilla para abrir los puertos 5725 y 5726 en el firewall y, si se está instalando el portal de MIM, la casilla para conceder a todos los usuarios autenticados acceso al sitio del portal de MIM.

  11. Deje vacío el nombre de host de la API de REST de PAM y establezca 8086 como número de puerto.

    Captura de pantalla de información de enlace de la API de REST de PAM

  12. Configure la cuenta de LA API REST de MIM PAM para que use la misma cuenta que SharePoint (si el portal de MIM se va a instalar en este servidor):

    • Nombre de la cuenta del grupo de aplicaciones: SharePoint
    • Contraseña de la cuenta del grupo de aplicaciones: Pass@word1 (o la contraseña que creó en el paso 2)
    • Dominio de la cuenta del grupo de aplicaciones: PRIV

    Captura de pantalla de credenciales de cuenta de grupo de aplicaciones

    Puede aparecer una advertencia que indique que la cuenta del servicio no es segura en su configuración actual. Eso está bien.

  13. Configure el servicio de componente MIM PAM:

    • Nombre de la cuenta de servicio: MIMComponent
    • Contraseña de la cuenta de servicio: Pass@word1 (o la contraseña que creó en el paso 2)
    • Dominio de la cuenta de servicio: PRIV

    Captura de pantalla de credenciales de cuenta de servicio de componente PAM

  14. Configure el servicio de supervisión de PAM:

    • Nombre de la cuenta de servicio: MIMMonitor
    • Contraseña de la cuenta de servicio: Pass@word1 (o la contraseña que creó en el paso 2)
    • Dominio de la cuenta de servicio: PRIV

    Captura de pantalla de credenciales de cuenta de servicio de supervisión de PAM

  15. En la página Escribir la información para el portal de contraseñas de MIM, deje las casillas sin activar y continúe. Haga clic en Siguiente para continuar con la instalación.

  16. Una vez completada la instalación, el servidor se reiniciará.

Configuración de una regla de directiva de administración desde PowerShell

Si instaló el portal de MIM, vaya a la sección siguiente.

  1. Una vez reiniciado PAMSRV, inicie sesión como PRIV\Administrador.

  2. Inicie PowerShell y escriba add-pssnapin fimautomation para cargar los cmdlets de PowerShell de configuración del servicio MIM.

  3. Descargue el script How to Use PowerShell to Enable an MPR (Cómo usar PowerShell para habilitar un MPR ) y guárdelo localmente.

  4. Use el script para habilitar el MPR denominado Administración de usuarios: los usuarios pueden leer atributos propios. Cuando haya finalizado, mostrará el mensaje MPR habilitado correctamente.

  5. Vaya a la sección siguiente y compruebe las conexiones del firewall.

Configuración del portal de MIM y las reglas de directivas de administración

Si decide instalar SharePoint, compruebe que el portal de MIM está activo y permita a los usuarios ver su propio recurso de objeto en MIM.

  1. Una vez reiniciado PAMSRV, inicie sesión como PRIV\Administrador.

  2. Inicie Internet Explorer y conéctese al portal de MIM en http://pamsrv.priv.contoso.local:82/identitymanagement. Puede haber una breve demora la primera vez que se busca esta página.

  3. Si fuese necesario, inicie sesión como PRIV\Administrador en Internet Explorer.

  4. En Internet Explorer, abra las opciones de Internet, cambie a la pestaña Seguridad y agregue el sitio a la zona intranet local si aún no lo está. Cierre el diálogo Opciones de Internet.

  5. Con Internet Explorer para ver el portal de MIM, seleccione Reglas de directiva de administración.

  6. Busque la regla de directivas de administración Administración de usuarios: los usuarios pueden leer sus propios atributos.

  7. Seleccione esta regla de directiva de administración, desactive Directiva deshabilitada, seleccione Aceptar y, a continuación, seleccione Enviar.

Comprobación de las conexiones del firewall

El firewall debería permitir las conexiones entrantes al puerto TCP 5725, 5726, 8086 y 8090.

  1. Inicie Firewall de Windows con seguridad avanzada (se encuentra en Herramientas administrativas).

  2. Haga clic en Reglas de entrada.

  3. Compruebe que aparecen estas dos reglas:

    • Servicio Forefront Identity Manager (STS).
    • Servicio Forefront Identity Manager (servicio web).

  4. Haga clic en Nueva regla>Puerto>TCP y escriba los puertos locales concretos 8086 y 8090. Haga clic en el asistente y acepte los valores predeterminados, asigne un nombre a la regla y haga clic en Finalizar.

  5. Después de completar el asistente, cierre la aplicación Firewall de Windows.

  6. Inicie el Panel de Control.

  7. En Red e Internet, seleccione Ver estado de red y tareas.

  8. Compruebe que hay una red activa, que aparece como priv.contoso.local y una red de dominio.

  9. Cierre el Panel de control.

Opcional: Configuración de la aplicación web de ejemplo

En esta sección, instalará y configurará la aplicación web de ejemplo para la API REST de MIM PAM. Este componente solo es necesario si desea aprender a usar la API REST de MIM PAM. Si piensa usar PowerShell para solicitar y aprobar el acceso, continúe con la sección siguiente para instalar los cmdlets del solicitante de MIM PAM.

  1. Desde el archivo de la aplicación web de ejemplo, descargue los ejemplos de Identity Management como un archivo zip.

  2. Extraiga el contenido de la carpeta identity-management-samples-master\Privileged-Access-Management-Portal\src en una nueva carpeta C:\Archivos de programa\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Cree un nuevo sitio web en IIS con:

    • un nombre de sitio del Portal de ejemplo de administración de acceso con privilegios de MIM,
    • ruta de acceso física C:\Archivos de programa\Microsoft Forefront Identity Manager\2010\Portal de administración de acceso con privilegios y
    • puerto 8090.

    Use el siguiente comando de PowerShell para crear el sitio:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Configure la aplicación web de ejemplo de modo que pueda redirigir a los usuarios a la API de REST de MIM PAM. Con un editor de texto como el Bloc de notas, edite el archivo C:\Archivos de programa\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. En la <system.webServer> sección , agregue las líneas siguientes:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Configure la aplicación web de ejemplo. Con un editor de texto como el Bloc de notas, edite el archivo C:\Archivos de programa\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Establezca el valor de pamRespApiUrl en http://pamsrv.priv.contoso.local:8086/api/pamresources/.

  6. Reinicie IIS con el siguiente comando para que estos cambios surtan efecto.

    iisreset

  7. (Opcional) Compruebe que el usuario puede autenticarse en la API de REST. Abra un explorador web como administrador en PAMSRV. Navegue hasta la dirección URL del sitio web http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/, autentíquese,si es necesario, y asegúrese de que se produzca una descarga.

Instalación de los cmdlets de solicitante de MIM PAM

Instale los cmdlets del solicitante de MIM PAM en la estación de trabajo configurada en el paso 2.

  1. Inicie sesión en PRIVWKSTN como administrador.

  2. Descargue los complementos y extensiones en el equipo PRIVWKSTN, si aún no está presente.

  3. Desempaquete del archivo la carpeta Complementos y extensiones en una nueva carpeta.

  4. Ejecute el instalador setup.exe.

  5. En la instalación personalizada, especifique que el cliente de PAM se va a instalar, pero no el complemento MIM para Outlook ni las extensiones de contraseña y autenticación de MIM.

  6. En la dirección del servidor PAM, especifique como nombre de host del servidor PRIV MIM pamsrv.priv.contoso.local.

Una vez completada la instalación, reinicie PRIVWKSTN para completar el registro del nuevo módulo de PowerShell.

En el paso siguiente, establecerá la confianza entre los bosques PRIV y CORP.

« Paso 3Paso 5 »