Delen via

Stap 4: MIM-onderdelen installeren op een PAM-server en -werkstation

  • Artikel

« Stap 3Stap 5 »

Meld u op PAMSRV aan als PRIV\Administrator om de MIM-service te kunnen installeren.

Notitie

U moet een domeinbeheerder zijn; Als u de volgende opdrachten niet uitvoert als een gebruiker die geen schrijftoegang heeft tot het PRIV-domein in AD, slaagt de installatie niet. Dit komt doordat met de MIM-installatie een nieuwe AD OU PAM-objecten worden gemaakt.

Als u MIM hebt gedownload, pakt u het MIM-installatiearchief uit naar een nieuwe map.

Het installatieprogramma van de service en de portal uitvoeren

Volg de richtlijnen van het installatieprogramma en voltooi de installatie.

  1. Wanneer u onderdeelfuncties selecteert, moet u de MIM-service opnemen (met Privileged Access Management, maar niet met MIM-rapportage). Als u SharePoint in de vorige stap hebt geïnstalleerd, kunt u de MIM-portal installeren. Als u SharePoint in de vorige stap niet hebt geïnstalleerd, installeert u de MIM-portal niet.

    Aangepaste configuratie - schermafbeelding

  2. Bij het configureren van algemene services en de MIM-databaseverbinding moet u Een nieuwe database maken opgeven.

    Notitie

    Als u de MIM-service meerdere keren installeert voor maximale beschikbaarheid, geeft Een bestaande database gebruiken op voor alle volgende installaties.

  3. Wanneer u een e-mailserververbinding configureert, stelt u de e-mailserver in op de hostnaam van een Exchange- of SMTP-server voor de CORP-omgeving (in een testomgeving kunt u corpdc.contoso.local gebruiken als u geen e-mailserver in de PRIV-omgeving hebt) en schakelt u de selectievakjes SSL gebruiken en e-mailserver is Exchange Server 2007 of Exchange Server 2010 uit.

  4. Kies ervoor om een nieuw zelfondertekend certificaat te genereren.

  5. Stel de volgende accountreferenties in:

    • Naam van serviceaccount: MIMService
    • Wachtwoord van serviceaccount: Pass@word1 (of het wachtwoord dat u hebt gemaakt in stap 2)
    • Domein van serviceaccount: PRIV
    • E-mailadres van serviceaccount: MIMService@priv.contoso.local

  6. Accepteer de standaardwaarden voor de hostnaam van de synchronisatieserver en geef PRIV\MIMMA op als het MIM-beheeragentaccount. Er wordt een waarschuwing weergegeven dat de MIM-synchronisatieservice niet bestaat. Deze waarschuwing is OK, omdat de MIM-synchronisatieservice in dit scenario niet wordt gebruikt.

  7. Stel PAMSRV in als het serveradres van de MIM-service.

  8. Stel in http://pamsrv.priv.contoso.local:82 als de URL van de SharePoint-siteverzameling.

  9. Laat de URL voor de registratieportal leeg.

  10. Schakel het selectievakje in om de poorten 5725 en 5726 in de firewall te openen. Als de MIM-portal wordt geïnstalleerd, wordt het selectievakje ingeschakeld om alle geverifieerde gebruikers toegang te verlenen tot de MIM-portalsite.

  11. Laat de hostnaam van de PAM REST API leeg en stel 8086 in als het poortnummer.

    Bindingsgegevens voor de PAM REST API - schermafbeelding

  12. Configureer het MIM PAM REST API-account om hetzelfde account te gebruiken als SharePoint (als de MIM-portal moet worden geïnstalleerd op deze server):

    • Naam van account voor groep van toepassingen: SharePoint
    • Wachtwoord van account voor groep van toepassingen: Pass@word1 (of het wachtwoord dat u hebt gemaakt in stap 2)
    • Naam van account voor groep van toepassingen: PRIV

    Referentie van account voor groep van toepassingen - schermafbeelding

    Er kan een waarschuwing worden weergegeven dat het serviceaccount niet is beveiligd in de huidige configuratie. Dat is niet erg.

  13. De MIM-service voor het PAM-onderdeel configureren:

    • Naam van serviceaccount: MIMComponent
    • Wachtwoord van serviceaccount: Pass@word1 (of het wachtwoord dat u hebt gemaakt in stap 2)
    • Domein van serviceaccount: PRIV

    Referenties van het serviceaccount voor het PAM-onderdeel - schermafbeelding

  14. De service voor PAM-controle configureren:

    • Naam van serviceaccount: MIMMonitor
    • Wachtwoord van serviceaccount: Pass@word1 (of het wachtwoord dat u hebt gemaakt in stap 2)
    • Domein van serviceaccount: PRIV

    Referenties van het serviceaccount voor PAM-controle - schermafbeelding

  15. Op de portal-pagina voor het invoeren van de gegevens voor het MIM-wachtwoord kunt u de selectievakjes leeg laten en doorgaan. Klik op Volgende om door te gaan met de installatie.

  16. Nadat de installatie is voltooid, wordt de server opnieuw opgestart.

Beheerbeleidsregel instellen vanuit PowerShell

Als u de MIM-portal hebt geïnstalleerd, gaat u verder met de volgende sectie.

  1. Nadat PAMSRV opnieuw is opgestart, meldt u zich aan als PRIV\Administrator.

  2. Start PowerShell en typ add-pssnapin fimautomation om de PowerShell-cmdlets voor miM-serviceconfiguratie te laden.

  3. Download het script PowerShell gebruiken om een MPR in te schakelen en lokaal op te slaan.

  4. Gebruik het script om de MPR met de naam Gebruikersbeheer: gebruikers kunnen eigen kenmerken lezen in te schakelen. Wanneer u klaar bent, wordt het bericht MPR ingeschakeld weergegeven.

  5. Ga naar de onderstaande sectie , De firewallverbindingen controleren.

Beleidsregels voor MIM-portal en -beheer instellen

Als u ervoor kiest om SharePoint te installeren, controleert u of de MIM-portal actief is en stelt u gebruikers in staat om hun eigen objectresource in MIM te bekijken.

  1. Nadat PAMSRV opnieuw is opgestart, meldt u zich aan als PRIV\Administrator.

  2. Start Internet Explorer en maak verbinding met de MIM-portal op http://pamsrv.priv.contoso.local:82/identitymanagement. Er is mogelijk een korte vertraging wanneer voor de eerste keer naar deze pagina wordt gezocht.

  3. Meld u zo nodig aan als PRIV\Administrator voor Internet Explorer.

  4. Open internetopties in Internet Explorer, ga naar het tabblad Beveiliging en voeg de site toe aan de zone Lokaal intranet als deze er nog niet is. Sluit het dialoogvenster Internetopties.

  5. Als u internet explorer gebruikt om de MIM-portal weer te geven, selecteert u Beleidsregels voor beheer.

  6. Zoek naar de beheerbeleidsregel Gebruikersbeheer: gebruikers kunnen hun eigen kenmerken lezen.

  7. Selecteer deze beheerbeleidsregel, schakel Beleid is uitgeschakeld uit, selecteer OK en selecteer vervolgens Verzenden.

De firewallverbindingen controleren

De firewall moet binnenkomende verbindingen voor TCP-poort 5725, 5726, 8086 en 8090 toestaan.

  1. Start Windows Firewall met geavanceerde beveiliging (in Systeembeheer).

  2. Klik op Regels voor binnenkomende verbindingen.

  3. Controleer of deze twee regels worden weergegeven:

    • Forefront Identity Manager-service (STS)
    • Forefront Identity Manager-service (webservice)

  4. Klik op Nieuwe regel>Poort>TCP en typ de specifieke lokale poorten 8086 en 8090. Klik door de wizard en accepteer de standaardwaarden, geef een naam op voor de regel en klik op Voltooien.

  5. Sluit de toepassing Windows Firewall nadat u de wizard hebt voltooid.

  6. Start Configuratiescherm.

  7. Selecteer onder Netwerk en internet de optie Netwerkstatus en taken weergeven.

  8. Controleer of er een actief netwerk is, dat wordt vermeld als priv.contoso.local, en een domeinnetwerk.

  9. Sluit Configuratiescherm.

Optioneel: de voorbeeldwebtoepassing instellen

In deze sectie installeert en configureert u de voorbeeldwebtoepassing voor de MIM PAM REST API. Dit onderdeel is alleen nodig als u wilt weten hoe u de MIM PAM REST API gebruikt. Als u PowerShell wilt gebruiken om toegang aan te vragen en goed te keuren, gaat u verder met de volgende sectie om de MIM PAM-aanvrager-cmdlets te installeren.

  1. Download de identiteitsbeheervoorbeelden als een zip-bestand uit het archief van de voorbeeldwebtoepassing.

  2. Pak de inhoud van de map identity-management-samples-master\Privileged-Access-Management-Portal\src uit in een nieuwe map C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

  3. Maak een nieuwe website in IIS met:

    • een sitenaam van miM Privileged Access Management-voorbeeldportal,
    • fysiek pad C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal, en
    • poort 8090.

    Gebruik de volgende PowerShell-opdracht om de site te maken:

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. Stel de voorbeeldwebtoepassing zo in dat gebruikers worden omgeleid naar de MIM PAM REST API. Gebruik een teksteditor zoals Kladblok om het bestand C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.configte bewerken. Voeg in de <system.webServer> sectie de volgende regels toe:

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. Configureer de voorbeeldwebtoepassing. Bewerk het bestand C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js met een teksteditor zoals Kladblok. Stel de waarde van pamRespApiUrl in op http://pamsrv.priv.contoso.local:8086/api/pamresources/.

  6. Start IIS opnieuw met de volgende opdracht om deze wijzigingen door te voeren.

    iisreset

  7. (Optioneel) Controleer of de gebruiker bij de REST API kan worden geverifieerd. Open een webbrowser als de beheerder op PAMSRV. Navigeer naar de URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/van de website, verifieer indien nodig en zorg ervoor dat er een download plaatsvindt.

De aanvrager-cmdlets van MIM PAM installeren

Installeer de MIM PAM-aanvrager-cmdlets op het werkstation dat is geconfigureerd in stap 2.

  1. Meld u als beheerder aan bij PRIVWKSTN.

  2. Download de invoegtoepassingen en extensies naar de PRIVWKSTN-computer, als deze nog niet aanwezig zijn.

  3. Pak de map met invoegtoepassingen en extensie in het archief uit in een nieuwe map.

  4. Voer het installatieprogramma setup.exe uit.

  5. Geef bij de aangepaste installatie op dat de PAM-client moet worden geïnstalleerd, maar niet de MIM-invoegtoepassing voor Outlook of de MIM-wachtwoord- en -verificatie-extensies.

  6. Geef op het PAM-serveradres op als de hostnaam van de PRIV MIM-server pamsrv.priv.contoso.local.

Nadat de installatie is voltooid, start u PRIVWKSTN opnieuw op om de registratie van de nieuwe PowerShell-module te voltooien.

In de volgende stap stelt u een vertrouwensrelatie tot stand tussen PRIV- en CORP-forests.

« Stap 3Stap 5 »