Etapa 4 – Instalar componentes MIM no servidor PAM e estação de trabalho

« Etapa 3Etapa 5 »

No PAMSRV, entre como PRIV\Administrator para poder instalar o Serviço mim.

Observação

Você deve ser um administrador de domínio; se você não estiver executando os comandos a seguir como um usuário que não tem acesso de gravação ao domínio PRIV no AD, a instalação não terá êxito. Isso ocorre porque a instalação do MIM cria uma nova UO do AD "objetos PAM".

Se você baixou o MIM, descompacte o arquivo de instalação do MIM em uma nova pasta.

Executar o programa de instalação de Serviço e Portal

Siga as diretrizes do instalador e conclua a instalação.

1. Ao selecionar recursos de componente, inclua o Serviço MIM (com o Privileged Access Management, mas não o Mim Reporting). Se você instalou o SharePoint na etapa anterior, poderá instalar o Portal do MIM. Se você não instalou o SharePoint na etapa anterior, não instale o Portal do MIM.

   

2. Ao configurar serviços comuns e a conexão de banco de dados do MIM, especifique Criar um novo banco de dados.

   Observação

   Se você instalar o Serviço MIM várias vezes para alta disponibilidade, especifique Usar um banco de dados existente para todas as instalações posteriores.

3. Ao configurar uma conexão de servidor de email, defina o servidor de email como o nome do host de um servidor Exchange ou SMTP para o ambiente CORP (em um ambiente de teste, você poderá usar corpdc.contoso.local se não tiver um servidor de email no ambiente PRIV) e desmarcar as caixas de seleção Usar SSL e Servidor de Email Exchange Server 2007 ou Exchange Server 2010.

4. Opte por gerar um novo certificado autoassinado.

5. Defina as seguintes credenciais de conta:

   • Nome da Conta de Serviço: MIMService
   • Senha da Conta de Serviço: Pass@word1 (ou a senha criada na Etapa 2)
   • Domínio da Conta de Serviço: PRIV
   • Conta de Email do Serviço: MIMService@priv.contoso.local

6. Aceite os padrões para o nome do host do servidor de sincronização e especifique a conta do Agente de Gerenciamento do MIM como PRIV\MIMMA. Uma mensagem de aviso será exibida informando que o serviço de sincronização do MIM não existe. Esse aviso é OK, pois o serviço de sincronização do MIM não é usado nesse cenário.

7. Defina PAMSRV como o endereço do servidor do Serviço MIM.

8. Defina http://pamsrv.priv.contoso.local:82 como a URL do conjunto de sites do SharePoint.

9. Deixe a URL do portal de registro em branco.

10. Marque a caixa de seleção para abrir as portas 5725 e 5726 no firewall e, se o Portal do MIM estiver sendo instalado, a caixa de seleção para conceder a todos os usuários autenticados acesso ao site do Portal do MIM.

11. Deixe o nome do host da API REST do PAM em branco e defina 8086 como o número da porta.

    

12. Configure a conta da API REST do MIM PAM para usar a mesma conta do SharePoint (se o Portal do MIM for instalado em conjunto neste servidor):

    • Nome da Conta do Pool de Aplicativos: SharePoint
    • Senha da Conta do Pool de Aplicativos: Pass@word1 (ou a senha criada na Etapa 2)
    • Domínio da Conta do Pool de Aplicativos: PRIV

    

    Você poderá receber um aviso informando que a Conta de Serviço não é segura na configuração atual. Isso é normal.

13. Configure o serviço de componente do PAM no MIM:

    • Nome da Conta de Serviço: MIMComponent
    • Senha da Conta de Serviço: Pass@word1 (ou a senha criada na Etapa 2)
    • Domínio da Conta de Serviço: PRIV

    

14. Configure o Serviço de Monitoramento do PAM:

    • Nome da Conta de Serviço: MIMMonitor
    • Senha da Conta de Serviço: Pass@word1 (ou a senha criada na Etapa 2)
    • Domínio da Conta de Serviço: PRIV

    

15. Na página Inserir Informações dos Portais de Senha do MIM, deixe as caixas de seleção em branco e continue. Clique em Avançar para continuar a instalação.

16. Após a conclusão da instalação, o servidor será reiniciado.

Configurar a regra de política de gerenciamento do PowerShell

Se você instalou o Portal do MIM, pule para a próxima seção.

1. Após a reinicialização de PAMSRV, entre como PRIV\Administrator.

2. Inicie o PowerShell e digite add-pssnapin fimautomation para carregar os cmdlets do PowerShell de configuração do Serviço do MIM.

3. Baixe o script Como usar o PowerShell para habilitar um MPR e salvá-lo localmente.

4. Use o script para habilitar o MPR chamado Gerenciamento de usuários: os usuários podem ler atributos próprios. Quando concluída, ela exibirá a mensagem MPR habilitada com êxito.

5. Pule para a seção abaixo, Verifique as conexões de firewall.

Configurar o Portal do MIM e as regras de política de gerenciamento

Se você optar por instalar o SharePoint, verifique se o Portal do MIM está ativo e permita que os usuários exibam seu próprio recurso de objeto no MIM.

1. Após a reinicialização de PAMSRV, entre como PRIV\Administrator.

2. Inicie o Internet Explorer e conecte-se ao Portal do MIM em http://pamsrv.priv.contoso.local:82/identitymanagement. Pode haver um pequeno atraso na primeira vez que essa página for localizada.

3. Se necessário, entre como PRIV\Administrator no Internet Explorer.

4. Na Internet Explorer, abra as Opções da Internet, altere para a guia Segurança e adicione o site à zona de intranet local se ele ainda não estiver lá. Feche a caixa de diálogo Opções da Internet.

5. Usando Explorer da Internet para exibir o Portal do MIM, selecione Regras de Política de Gerenciamento.

6. Procure a regra da política de gerenciamento Gerenciamento de usuário: os usuários podem ler atributos próprios.

7. Selecione esta regra de política de gerenciamento, desmarque Política está desabilitada, selecione OK e, em seguida, selecione Enviar.

Verificar as conexões de firewall

O firewall deve permitir conexões de entrada para as portas TCP 5725, 5726, 8086 e 8090.

1. Inicie o Firewall do Windows com Segurança Avançada (localizado em Ferramentas Administrativas).

2. Clique em Regras de entrada.

3. Verifique se essas duas regras são listadas:

   • Serviço Forefront Identity Manager (STS)
   • Serviço Forefront Identity Manager (serviço Web)

4. Clique em Nova regra>Porta>TCP e digite as portas locais específicas 8086 e 8090. Clique no assistente, aceitando os padrões, dê um nome para a regra e clique em Concluir.

5. Depois de concluir o assistente, feche o aplicativo Firewall do Windows.

6. Inicie o Painel de Controle.

7. Em Rede e Internet, selecione Exibir status de rede e tarefas.

8. Verifique se há uma rede ativa, que está listada como priv.contoso.local e uma rede de domínio.

9. Feche o Painel de controle.

Opcional: configurar o aplicativo Web de exemplo

Nesta seção, você instalará e configurará o aplicativo Web de exemplo para a API REST do MIM PAM. Esse componente só será necessário se você quiser aprender a usar a API REST do MIM PAM. Se você pretende usar o PowerShell para solicitar e aprovar o acesso, continue com a próxima seção para instalar os cmdlets do solicitante MIM PAM.

1. No arquivo morto de aplicativo Web de exemplo, baixe as amostras do Identity Management como um arquivo zip.

2. Descompacte o conteúdo da pasta identity-management-samples-master\Privileged-Access-Management-Portal\src em uma nova pasta C:\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

3. Crie um novo site no IIS com:

   • um nome de site do Portal de Exemplo de Gerenciamento de Acesso Privilegiado do MIM,
   • caminho físico C:\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal e
   • porta 8090.

   Use o seguinte comando do PowerShell para criar o site:

   New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
   

4. Configure o aplicativo Web de exemplo para poder redirecionar os usuários para a API REST do PAM no MIM. Usando um editor de texto como o Bloco de Notas, edite o arquivo C:\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. <system.webServer> Na seção , adicione as seguintes linhas:

   <httpProtocol>
   <customHeaders>
     <add name="Access-Control-Allow-Credentials" value="true"  />
     <add name="Access-Control-Allow-Headers" value="content-type" />
     <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
   </customHeaders>
   </httpProtocol>
   

5. Configure aplicativo Web de exemplo. Usando um editor de texto como o Bloco de Notas, edite o arquivo C:\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Defina o valor de pamRespApiUrl como http://pamsrv.priv.contoso.local:8086/api/pamresources/.

6. Reinicie o IIS com o seguinte comando para que as alterações tenham efeito.

   iisreset
   

7. (Opcional) Verifique se o usuário pode se autenticar na API REST. Abra um navegador da Web como o administrador em PAMSRV. Navegue até a URL do site http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/, autentique se necessário e garanta que o download ocorra.

Instalar os cmdlets do solicitante do PAM no MIM

Instale os cmdlets do solicitante MIM PAM na estação de trabalho configurada na Etapa 2.

1. Entre em PRIVWKSTN como administrador.

2. Baixe os Suplementos e extensões no computador PRIVWKSTN, se ainda não estiver presente.

3. Desempacote do arquivo-morto a pasta Suplementos e extensões em uma nova pasta.

4. Execute o instalador setup.exe.

5. Na instalação personalizada, especifique o Cliente do PAM a ser instalado, mas não o Suplemento do MIM para o Outlook nem a Senha e as Extensões de Autenticação do MIM.

6. No endereço do Servidor PAM, especifique pamsrv.priv.contoso.local como o nome do host do servidor PRIV MIM.

Após a conclusão da instalação, reinicie PRIVWKSTN para concluir o registro do novo módulo do PowerShell.

Na próxima etapa, você estabelecerá a confiança entre as florestas PRIV e CORP.

« Etapa 3Etapa 5 »