Руководство по быстрому старту
Добавление устройств.
1. Подготовка
Приготовьте 2 устройства (для SSH и RDP) и одну СУБД для проверки функций продукта.
Например:
| IP\Имя хоста | Порт | Тип | Учетная запись |
| afidc.afi.local | 3389 | Windows | testadmin |
| 10.10.53.210 | 22 | Linux | sergg |
| 10.10.53.3 | 3306 | MySQL | user |
Если нужно, чтобы с Windows собиралась информация
об устройстве, выполнялась смена паролей локальных УЗ, создание
новых и прочие задачи, для этого необходимо настроить SSH для
Windows.
Для подключения по RDP этого делать не
нужно.
2. Редактирование дерева активов.
Перейдите в раздел Console - Assets - Assets, вкладка Asset Tree. Нажмите правую кнопку мышки в этом разделе и откроется меню редактирования дерева устройств.
Здесь вы можете создать папки(Node) и под-папки для ваших устройств (пункт Create node), все устройства можно сортировать по этим папкам.
- Одно и то же устройство может находиться одновременно в разных папках.
- Эти папки могут быть использованы при настройке политик доступа, например дать доступ ко всем устройствам в соответствующей папке.
3. Добавление активов в систему
Добавление устройства на базе Linux. Устройства Windows, MySQL и другие добавляются аналогичным образом
Нажмите кнопку Create, выберите тип устройства
Linux(в разделе Host), заполните
поля:
Name: любое понятное вам имя
IP\Host: IP адрес или DNS имя устройства
Platform: Linux
Node: папка или папки, куда будет помещено
устройство при создании
Измените номера портов, если для подключения нужно использовать
нестандартные порты.
Далее в разделе Account, ниже окна Account
List нажмите кнопку Add для добавления
учетной записи, с которой вы будете подключаться к нему. Введите
имя пользователя и пароль и нажмите Submit для
сохранения учетной записи.
Учетную запись можно будет добавить и позже или вообще не добавлять, если вы не планируете хранить пароли в PAM.
4. Настройка разрешения доступа к устройству
Перейдите в раздел Console - Policies -
Authorization и нажмите кнопку
Create. Заполните нужные параметры
доступа.
Name: любое удобно название для группы доступа
Users: пользователь или пользователи PAM,
которые получит доступ к устройствам
Groups: группа или группы пользователей, которые
получат доступ к устройствам
Assets: устройство или устройства, к которым
получат доступ
Nodes: папка или папки с устройствами, к которым
пользователи получат доступ
Account:
- All existing: разрешить
подключение с любой существующей УЗ для каждого
устройства
- Specified accounts: указать
конкретные УЗ, которые можно использовать для
подключения
- Virtual Accounts: включение дополнительных параметров авторизации
- Manual account: возможность
ввести логин и пароль УЗ вручную, без добавления УЗ в
систему
- Same account: подключение к
целевой системе с той же УЗ, с которой пользователь авторизован в
PAM (только для LDAP авторизации)
- Anonymous account: подключение без УЗ, обычно для подключения к веб-интерфейсам, в которых пользователи сами вводят логин и пароль
Protocol: можно ограничить протокол для
подключения
Actions: если тип подключения поддерживает
передачу файлов, буфер обмена или совместное использование сесси
доступа, то вы можете включить или отключить эти
разрешения.
Далее можно включить или выключить политику доступа и задать начало и окончание ее работы:
Нажмите кнопку Submit для сохранения настроек
5. Подключение к устройствам
Перейдите в Веб-терминал, нажав соответствующую кнопку справа вверху:
В терминале слева каждый пользователь видит
только те устройства, к которым ему разрешено подключаться.
Кликните на нужное устройство в списке слева, на экране появится
окно выбора учетной записи и типа подключения к устройству:
Без дополнительных настроек вы сможете подключаться через веб-интерфейс по протоколам SSH, RDP и SFTP, а также к MySQL с помощью Web CLI или Web GUI. Подключения к Kubernetes, веб-интерфейсам, приложениям RemoteApp, СУБД с помощью соответствующих клиентов и другие способы будут описаны в других статьях.
Нужна помощь?
Поддержка во время пилота JumpServer PAM Enterprise Edition
Вы начали тестирование JumpServer PAM EE и столкнулись с проблемой? Наш процесс включает в себя организацию групп переписок в электронной почте или групп в Telegram для оперативного решения вопросов. Если вы уверены, что вас не добавили в такую группу, обратитесь к вашему поставщику или к нам по адресу support@afi-d.ru
Обучение ваших специалистов настройке и администрированию JumpServer PAM
В рамках действующей подписки на техническую поддержку мы обучим ваших специалистов установке, настройке, адмнистрированию JumpServer PAM, а также восстановлению после ошибок и аварий.
Обучение проходит онлайн, по заранее согласованному плану, включает в себя обязательную проверку знаний на практике с выдачей именных сертификатов (в случае успешной сдачи экзамена).
Видео-инструкции
Посетите наш канал на RuTube с видео-инструкциями по настройке всех разделов JumpServer PAM. Видео на русском языке и актуализируются с выходом новых версий.
Техподдержка бесплатной редакции JumpServer PAM Community Edition
Мысль о внедрении непростой, но критичной для бизнеса PAM-системы может пугать кажущейся сложностью настройки системы, обучением администраторов и специалистов ИБ, изменениями в процессах работы с учетными записями.
Чтобы внедрение и настройка JumpServer Community Edition были комфортными, а также чтобы вы всегда могли обратиться за помощью к профессионалам, AFI Distribution предлагают годовую подписку на техническую поддержку.
Пакет поддержки в 1.5 млн рублей за экземпляр JumpServer Community Edition (без ограничений на количество пользователей и целевых систем) включает всё необходимое для использования PAM:
- документацию на русском языке;
- сценарии использования и рекомендуемые архитектуры для установки;
- обучение администраторов и специалистов ИБ работе с JumpServer;
- подсказки и решения для популярных вопросов;
- оповещения о выходе новых версий с проверенной инструкцией для апгрейда;
- подключение к Radius и многофактороной аутентификации «Мультифактор» ;
- прямой доступ к инженеру (без первой линии) с понятным SLA.
