4단계 – PAM 서버와 워크스테이션에 MIM 구성 요소 설치

« 3단계5단계 »

PAMSRV에서 PRIV\Administrator로 로그인하여 MIM 서비스를 설치할 수 있습니다.

참고

도메인 관리자여야 합니다. AD에서 PRIV 도메인에 대한 쓰기 권한이 없는 사용자로 다음 명령을 실행하지 않으면 설치가 성공하지 못합니다. MIM 설치에서 새 AD OU "PAM 개체"를 만들기 때문입니다.

MIM을 다운로드한 경우 MIM 설치 보관 파일을 새 폴더로 압축 해제합니다.

서비스 및 포털 설치 프로그램 실행

설치 관리자의 지침을 따라 설치를 완료합니다.

1. 구성 요소 기능을 선택할 때 MIM 서비스(권한 있는 액세스 관리가 있지만 MIM 보고는 아님)를 포함합니다. 이전 단계에서 SharePoint를 설치한 경우 MIM 포털을 설치할 수 있습니다. 이전 단계에서 SharePoint를 설치하지 않은 경우 MIM 포털을 설치하지 마세요.

   

2. 공통 서비스 및 MIM 데이터베이스 연결을 구성할 때 새 데이터베이스 만들기를 지정합니다.

   참고

   고가용성을 위해 MIM 서비스를 여러 번 설치하는 경우 모든 후속 설치에 대해 기존 데이터베이스 사용을 지정합니다.

3. 메일 서버 연결을 구성할 때 메일 서버를 CORP 환경에 대한 Exchange 또는 SMTP 서버의 호스트 이름으로 설정하고(테스트 환경에서는 PRIV 환경에 메일 서버가 없는 경우 corpdc.contoso.local을 사용할 수 있습니다. ) SSL 및 메일 서버 사용이 2007 또는 2010년 Exchange Server Exchange Server 확인란의 선택을 취소합니다.

4. 새 자체 서명된 인증서를 생성하도록 선택합니다.

5. 다음 계정 자격 증명을 설정합니다.

   • 서비스 계정 이름: MIMService
   • 서비스 계정 암호: Pass@word1(또는 2단계에서 만든 암호)
   • 서비스 계정 도메인: PRIV
   • 서비스 메일 계정: MIMService@priv.contoso.local

6. 동기화 서버 호스트 이름에 대해 기본값을 그대로 사용하고 MIM 관리 에이전트 계정을 PRIV\MIMMA로 지정합니다. MIM 동기화 서비스가 없다는 경고 메시지가 표시됩니다. MIM 동기화 서비스는 이 시나리오에서 사용되지 않으므로 이 경고는 정상입니다.

7. MIM 서비스 서버 주소를 PAMSRV로 설정합니다.

8. http://pamsrv.priv.contoso.local:82를 SharePoint 사이트 모음 URL로 설정합니다.

9. 등록 포털 URL은 비워 둡니다.

10. 확인란을 선택하여 방화벽에서 포트 5725 및 5726을 열고 MIM 포털이 설치되는 경우 모든 인증된 사용자에게 MIM 포털 사이트에 대한 액세스 권한을 부여하는 확인란을 선택합니다.

11. PAM REST API 호스트 이름은 비워 두고 포트 번호를 8086으로 설정합니다.

    

12. SHAREPoint와 동일한 계정을 사용하도록 MIM PAM REST API 계정을 구성합니다(MIM 포털이 이 서버에 함께 설치되는 경우).

    • 애플리케이션 풀 계정 이름: SharePoint
    • 애플리케이션 풀 계정 암호: Pass@word1(또는 2단계에서 만든 암호)
    • 애플리케이션 풀 계정 도메인: PRIV

    

    현재 구성에서 서비스 계정이 안전하지 않다는 경고가 나타날 수 있습니다. 하지만 괜찮습니다.

13. MIM PAM 구성 요소 서비스를 구성합니다.

    • 서비스 계정 이름: MIMComponent
    • 서비스 계정 암호: Pass@word1(또는 2단계에서 만든 암호)
    • 서비스 계정 도메인: PRIV

    

14. PAM 모니터링 서비스를 구성합니다.

    • 서비스 계정 이름: MIMMonitor
    • 서비스 계정 암호: Pass@word1(또는 2단계에서 만든 암호)
    • 서비스 계정 도메인: PRIV

    

15. MIM 암호 포털에 대한 정보 입력 페이지에서 확인란을 비워 두고 계속 진행합니다. 다음을 클릭하여 설치를 계속 진행합니다.

16. 설치가 완료되면 서버가 다시 부팅됩니다.

PowerShell에서 관리 정책 규칙 설정

MIM 포털을 설치한 경우 다음 섹션으로 건너뜁니다.

1. PAMSRV를 다시 부팅한 후 PRIV\Administrator로 로그온합니다.

2. PowerShell을 시작하고 를 입력 add-pssnapin fimautomation 하여 MIM 서비스 구성 PowerShell cmdlet을 로드합니다.

3. PowerShell을 사용하여 MPR을 사용하도록 설정하는 방법 스크립트를 다운로드하고 로컬로 저장합니다.

4. 스크립트를 사용하여 사용자 관리라는 MPR을 사용하도록 설정합니다 . 사용자는 자신의 특성을 읽을 수 있습니다. 완료되면 MPR을 사용하도록 설정된 메시지가 표시됩니다.

5. 아래 섹션으로 건너뛰고 방화벽 연결을 확인합니다.

MIM 포털 및 관리 정책 규칙 설정

SharePoint를 설치하도록 선택한 경우 MIM 포털이 활성 상태인지 확인하고 사용자가 MIM에서 자신의 개체 리소스를 볼 수 있도록 합니다.

1. PAMSRV를 다시 부팅한 후 PRIV\Administrator로 로그온합니다.

2. Internet Explorer를 시작하고 http://pamsrv.priv.contoso.local:82/identitymanagement에서 MIM 포털에 연결합니다. 이 페이지를 처음 연결하면 약간 시간이 걸릴 수 있습니다.

3. 필요한 경우 PRIV\Administrator로 Internet Explorer에 로그인합니다.

4. 인터넷 Explorer 인터넷 옵션을 열고 보안 탭으로 변경한 다음, 아직 없는 경우 로컬 인트라넷 영역에 사이트를 추가합니다. 인터넷 옵션 대화 상자를 닫습니다.

5. 인터넷 Explorer 사용하여 MIM 포털을 보고 관리 정책 규칙을 선택합니다.

6. 관리 정책 규칙인 사용자 관리: 사용자는 자신의 속성을 읽을 수 있습니다.

7. 이 관리 정책 규칙을 선택하고 정책 사용 안 함을 선택 취소하고 확인을 선택한 다음 제출을 선택합니다.

방화벽 연결 확인

방화벽은 5725, 5726, 8086 및 8090 TCP 포트에 대해 들어오는 연결을 허용해야 합니다.

1. 고급 보안이 포함된 Windows 방화벽(관리 도구에 있음)을 실행합니다.

2. 인바운드 규칙을 클릭합니다.

3. 다음 두 규칙이 나열되어 있는지 확인합니다.

   • Forefront Identity Manager 서비스(STS)
   • Forefront Identity Manager 서비스(웹 서비스)

4. 새 규칙>포트>TCP를 클릭하고 특정 로컬 포트 8086 및 8090을 입력합니다. 마법사에서 기본값을 적용하고 규칙 이름을 지정하고 마침을 클릭합니다.

5. 마법사를 완료한 후 Windows 방화벽 애플리케이션을 닫습니다.

6. 제어판을 시작합니다.

7. 네트워크 및 인터넷에서 네트워크 상태 및 작업 보기를 선택합니다.

8. priv.contoso.local로 나열된 활성 네트워크와 도메인 네트워크가 있는지 확인합니다.

9. 제어판을 닫습니다.

선택 사항: 샘플 웹 애플리케이션 설정

이 섹션에서는 MIM PAM REST API에 대한 샘플 웹 애플리케이션을 설치하고 구성합니다. 이 구성 요소는 MIM PAM REST API를 사용하는 방법을 알아보려는 경우에만 필요합니다. PowerShell을 사용하여 액세스를 요청하고 승인하려는 경우 다음 섹션을 계속 진행하여 MIM PAM 요청자 cmdlet을 설치합니다.

1. 샘플 웹 애플리케이션 보관 파일에서 ID 관리 샘플을 zip 파일로 다운로드합니다.

2. 새 폴더 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal에 identity-management-samples-master\Privileged-Access-Management-Portal\src 폴더 콘텐츠의 압축을 풉니다.

3. 다음을 사용하여 IIS에서 새 웹 사이트를 만듭니다.

   • MIM Privileged Access Management 예제 포털의 사이트 이름
   • 물리적 경로 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal 및
   • 포트 8090.

   다음 PowerShell 명령을 사용하여 사이트를 만듭니다.

   New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
   

4. 샘플 웹 애플리케이션을 설정하면 사용자를 MIM PAM REST API로 리디렉션할 수 있습니다. 메모장과 같은 텍스트 편집기를 사용하여 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config파일을 편집합니다. <system.webServer> 섹션에서 다음 줄을 추가합니다.

   <httpProtocol>
   <customHeaders>
     <add name="Access-Control-Allow-Credentials" value="true"  />
     <add name="Access-Control-Allow-Headers" value="content-type" />
     <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
   </customHeaders>
   </httpProtocol>
   

5. 샘플 웹 애플리케이션을 구성합니다. 메모장과 같은 텍스트 편집기를 사용하여 C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js 파일을 편집합니다. pamRespApiUrl의 값을 http://pamsrv.priv.contoso.local:8086/api/pamresources/로 설정합니다.

6. 이러한 변경 내용을 적용하려면 다음 명령을 사용하여 IIS를 다시 시작합니다.

   iisreset
   

7. (선택 사항) 사용자가 REST API에 인증할 수 있는지 확인합니다. PAMSRV에서 관리자로 웹 브라우저를 엽니다. 웹 사이트 URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/로 이동하여 필요한 경우, 인증하고 다운로드가 수행되는지 확인합니다.

MIM PAM 요청자 cmdlet 설치

2단계에서 구성된 워크스테이션에 MIM PAM 요청자 cmdlet을 설치합니다.

1. PRIVWKSTN에 관리자 권한으로 로그인합니다.

2. 아직 없는 경우 PRIVWKSTN 컴퓨터에 추가 기능 및 확장을 다운로드합니다.

3. 추가 기능 및 확장 폴더의 보관 압축을 새 폴더에 풉니다.

4. 설치 관리자 setup.exe를 실행합니다.

5. 사용자 지정 설정에서 PAM 클라이언트를 설치하도록 지정하지만 Outlook용 MIM 추가 기능 또는 MIM 암호 및 인증 확장 프로그램은 설치하도록 지정하지 않습니다.

6. PAM 서버 주소에서 pamsrv.priv.contoso.local PRIV MIM 서버의 호스트 이름으로 지정합니다.

설치가 완료되면 PRIVWKSTN을 다시 시작하여 새 PowerShell 모듈의 등록을 완료합니다.

다음 단계에서는 PRIV와 CORP 포리스트 간에 트러스트를 설정합니다.

« 3단계5단계 »