Policies

The section contains a list of policies, sorted by priority.

The following data is displayed for policies:

Priority - a number indicating the order in which a particular policy is applied. Zero priority is the default policy that is applied last. The higher the policy, the higher its priority, and vice versa.
Name - policy name.
Description - policy description.
Image Added - number of users with policy.
Image Added - number of accounts with policy.
Image Added - number of resources with policy.
Image Added - number of domains with policy.

Image Added

The default policy contains a set of parameters for all available sections and applies to all new objects, so it is advisable to start configuring there

Управление политиками

Раздел содержит список политик, расположенных по приоритету применения.

Для политик отображаются данные:

Приоритет - число, указывающее порядок применения конкретной политики по отношению к остальным. Нулевой приоритет соответствует политике по умолчанию (Default policy) и применяется в самую последнюю очередь. Чем выше расположена политика, тем выше её приоритет и наоборот.
Имя - название политики.
Описание - произвольный текст.
Image Removed - количество пользователей, на которые действует политика.
Image Removed - количество учётных записей, на которые действует политика.
Image Removed - количество ресурсов, на которые действует политика.
Image Removed - количество доменов, на которые действует политика.

Image Removed

Политика по умолчанию содержит набор параметров для всех доступных категорий и применяется ко всем новым объектам, поэтому целесообразно начать настройку с неё.

Note

icon	false

Политика по умолчанию применяется и к сессиям, открытым от имени пользовательских учетных записей, если к данным пользователям явно не применены другие политики.

Откройте страницу политики, задайте нужные параметры для категорий Учетные записи, Сессии, RDP, и сохраните настройки.

The default policy also applies to sessions opened on behalf of user accounts, unless other policies are explicitly applied to these users.

Open the policy page, set the desired parameters for the Accounts, Sessions, RDP sections, save settings.

Adding new policy

Добавление новой политики

Warning
icon false
Для добавления, просмотра, редактирования и удаления политик необходимы соответствующие привилегии из раздела Управление политиками To add, view, edit and delete policies, you will need the appropriate claims from the POLICIES MANAGEMENT section (Policy.Create, Policy.Read, Policy.Update, Policy.Delete).
Нажмите Добавить в разделе Политики, заполните поля Имя политики, Описание, и Приоритет. Новая политика отобразится в списке.

Общая информация

Откройте страницу политики, ознакомьтесь с общей информацией, при необходимости внесите правки в Имя, Описание или Приоритет, нажав значок карандаша

Image Removed

Имя - название политики, устанавливается при создании новой политики, может быть изменено в любой момент эксплуатации.
Описание - необязательное поле.
Приоритет - числовое значение приоритета политика. Нулевой приоритет - минимальный, применяется к объектам в последнюю очередь.
Создал - имя администратора Indeed PAM.
Дата создания - дата и время создания политики.
Изменил - имя администратора Indeed PAM.
Дата изменения - дата и время создания политики.

Для редактирования Имени, Описания и Приоритета нажмите Image Removed

Разделы политики

Click Add in the Policies section, fill in the Policy Name, Description, and Priority fields. The new policy will appear in the list.

General information

Open the policy page, review the general information, edit Name, Description, or Priority if necessary by clicking the pencil icon

Image Added

Name - the name of the policy, it is set when creating a new policy. It can be changed at any time.
Description - policy description.
Priority - a number indicating the order in which a particular policy is applied. Zero priority is the default policy that is applied last.
Created by - Indeed PAM administrator name.
Date created - date and time when the policy was created.
Changed by - name of Indeed PAM administrator who saved the policy settings.
Date changed - date and time when the policy settings were saved.

To edit Name, Description and Priority click Image Added

Sections

Go to the Sections and mark the sections which will be determined by the policy, save the changes. The corresponding sections will become available for setting upПерейдите в Разделы политики и отметьте разделы, параметры которых будут определены политикой, сохраните изменения. Соответствующие разделы станут доступными для настройки параметров.

Note

icon	false

Для неотмеченных разделов будут применяться другие политики по порядку их приоритета.

Область действия

For unchecked sections, other policies will be applied by priority.

Scope

Warning

icon	false

Для назначения политик необходимы соответствующие привилегии To assign policies you will need the appropriate claims (Account.SetPolicy, User.SetPolicy, Resource.SetPolicy, Domain.SetPolicy).

Содержит данные о том, к каким пользователям, учетным записям, ресурсам или доменам применена политика.

Чтобы применить политику к объекту, нажмите Добавить, выберите тип объекта для установки политики и далее сами объекты.

Чтобы отменить действие политики от объектов, выберите нужные объекты и нажмите Удалить.

Создание копии политики

Отметьте одну политику в разделе Политики и нажмите Создать копию, заполните поля Имя политики, Описание и Приоритет.
Скопированная политика отобразится в списке.

Удаление политики

Перед удалением политики убедитесь, что она не применяется ни к каким объектам.

Contains information about which users, accounts, resources, or domains the policy is applied to.

To apply a policy to an object, click Add, select the type of object to apply the policy,select the objects.

To remove the policy from objects, select the required objects and click Remove.

Creating a copy of the policy

Check the policy in the Policies section and click Create copy, fill in the Policy name, Description and Priority fields. The copied policy will appear in the list.

Removing policy

Before removing a policy, make sure that it does not apply to any objects.

Check the required policies in the Policies section and click RemoveОтметьте нужные политики в разделе Политики и нажмите Удалить.

Note

icon	false

Политика The Default policy недоступна для удаления.

Изменение приоритета политики

Отметьте галочкой одну политику в разделе Политики, нажмите Задать приоритет и введите число для значения приоритета политики.

Также изменить приоритет можно открыв нужную политику и в разделе Общая информация нажать значок карандаша рядом со значением приоритета.

Разделы политик

Accounts

ОпцияОписаниеПоказ учетных данныхСбрасывать пароль и SSH ключ учетной записи после показаЕсли опция включена, то пользователь каталога получит право на просмотр пароля учётной записи доступа в своём личном кабинете.

Сбрасывать пароль и SSH ключ через Х мин.

После просмотра пароль и SSH ключ будет сброшен на случайное значение через указанное количествоминут.

Требовать указать причину просмотра пароля и SSH ключа

Если опция включена, то пользователь каталога должен указать причину перед просмотром пароля или SSH ключа учётной записи доступа.Просмотр пароля и SSH ключа требует подтверждения администратором PAMЕсли опция включена, то перед каждым просмотром пользователем учетных данных администратор PAM должен подтвердить операцию.Время ожидания подтверждения просмотра пароля и SSH ключа, мин.Таймаут ожидания подтверждения просмотра пароля и SSH ключа, от 1 до 180 минут. Шифровать SSH ключ сгенерированным паролем перед показом пользователюЕсли опция включена, то SSH ключ будет показан в зашифрованном виде, а сгенерированный пароль шифрования - в скрытом. Ключ и пароль шифрования генерируется средствами PAM при просмотре данных каждый раз заново.Проверка и смена учетных данных

Синхронизировать ресурсы и УЗ по расписанию

Если опция включена, то будет выполняться автоматический поиск данных о ресурсах и учётных записей доступа.Синхронизировать ресурсы и УЗ раз в Х днейАвтоматический поиск данных о ресурсах и учётных записей доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 днейПериодически проверять пароль и SSH ключ учетной записиЕсли опция включена, то будет выполняться автоматическая проверка паролей и SSH-ключей для учётных записей доступа.Проверять пароль и SSH ключ раз в Х днейАвтоматическая проверка паролей и SSH-ключей учётных записей доступа будет выполняться один раз в указанное количество дней, от 1 до 10000 дней.Сбрасывать пароль и SSH ключ если обнаружено несовпадениеЕсли опция включена, то будет выполняться автоматический сброс паролей и ключей при расхождении в PAM и на ресурсах.Удалять SSH ключи, не управляемые PAMЕсли в PAM нет SSH ключа для добавленной учетной записи, а на ресурсе есть, то с ресурса все обнаруженные ключи будут удалены.Проверять пароль и SSH ключ при ручной установкеЕсли опция включена, то при установке или изменении пароля или SSH-ключа будет выполняться их проверка.Периодически изменять пароль и SSH ключ учетной записиЕсли опция включена, то для учётных записей доступа будет автоматически изменяться пароль или SSH-ключ на случайное значение.Изменять пароль и SSH ключ учетной записи раз в Х днейАвтоматическое изменение пароля или SSH-ключа для учётных записей доступа будет выполняться один раз в указанное количество дней.Требования к паролюДлина генерируемого пароляОбщее количество символов для автоматически генерируемых паролей и вводимых вручную.Минимальная длина пароля (ручной ввод)Минимальное количество символов при ручном изменении пароля.Латинские строчные буквыЕсли опция включена, то автоматически генерируемые пароли будут состоять из латинских строчных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую строчную букву.Латинские прописные буквыЕсли опция включена, то автоматически генерируемые пароли будут состоять из латинских прописных букв. При комбинации с другими настройками пароль будет содержать минимум одну латинскую прописную букву.ЦифрыЕсли опция включена, то автоматически генерируемые пароли будут состоять из цифр. При комбинации с другими настройками пароль будет содержать минимум одну цифру.Специальные символыЕсли опция включена, то автоматически генерируемые пароли будут состоять из специальных символов. При комбинации с другими настройками пароль будет содержать минимум один специальный символ.

cannot be removed.

Changing the priority of a policy

Check one policy under Policies, click Change priority and enter a number for the policy priority value.

You can also change the priority by opening the required policy and in the General Information section click the pencil icon next to the priority value.

Policy sections

Accounts

Option	Description
Сredentials showing settings
Reset account password and SSH key after showing	If this option is enabled, the password and SSH key of the privileged account will be reset every time the user views it in his self service (user console).
Reset password and SSH key after X minutes	After viewing, the password and SSH key will be reset to a random value after the specified number of minutes.
Require a reason of password and SSH key viewing	If this option is enabled, the directory user must provide a reason before viewing the password or SSH key of the privileged account.
Password and SSH key viewing must be confirmed by PAM administrator	Before each credentials viewed by user it must be confirmed by PAM administrator
Password and SSH key confirmation timeout, min.	Timeout of waiting for confirmation of password and SSH key viewing, from 1 to 180 minutes.
Encrypt SSH key using generated password before showing to user	If this option is enabled, the SSH key will be shown in encrypted form, and the generated encryption password will be hidden. The encryption key and password is generated by PAM every time the data is viewed.
Check and reset credentials settings
Periodically synchronize resources and accounts	If this option is enabled, then an automatic search for data and privileged accounts on resources will be performed.
Synchronize resources and accounts once in X days	Automatic search for resource data and privileged accounts will be performed once every specified number of days, from 1 to 10,000 days
Periodically check account password and SSH key	If this option is enabled, then passwords and SSH keys will be automatically checked for privileged accounts.
Check password and SSH key once in X days	Automatic check of the password and SSH key of privileged accounts will be performed once every specified number of days, from 1 to 10,000 days.
Reset password and SSH key if a mismatch is detected	If this option is enabled, then passwords and SSH keys will be automatically reset in case of mismatch between PAM and resources.
Remove SSH keys unmanaged by PAM	If there is no SSH key for the added account in PAM, but there is one on the resource, then all discovered keys from the resource will be removed.
Check password and SSH key if it's set manually	If this option is enabled, a check will be performed when setting or changing a password or SSH key.
Periodically change account password and SSH key	If this option is enabled, the password or SSH key will be automatically changed to a random value for privileged accounts.
Change password and SSH key every X days	Automatic change of password or SSH key for privileged accounts will be performed once every specified number of days.
Password requirements
Generated password length	Total number of characters for automatically generated and manually entered passwords.
Min. password length (manual input)	The minimum number of characters when manually changing the password.
Lowercase letters	If this option is enabled, then automatically generated passwords will consist of lowercase letters. When combined with other settings, the password will contain at least one lowercase letter.
Uppercase letters	If this option is enabled, then automatically generated passwords will consist of capital letters. When combined with other settings, the password will contain at least one uppercase letter.
Numbers	If this option is enabled, then automatically generated passwords will consist of numbers. When combined with other settings, the password will contain at least one number.
Special characters	If this option is enabled, then automatically generated passwords will consist of special characters. When combined with other settings, the password will contain at least one special character.

Sessions

Option	Description
User must specify the connection reason	If the option is enabled, then when connecting to the resource, the user must indicate the reason for starting the session.
Limit session duration	If the option is enabled, after the specified duration the session will terminates automatically.
Maximum session duration	The option enables the session duration limit in hours and minutes, after which the session will ends automatically.
Enforce exclusive usage of account	If the option is enabled, then the only one active session can be opened for account
Start of the session must be confirmed by PAM administrator	If this option is enabled, then manual confirmation by the PAM administrator is required for each opened session.
Session confirmation timeout, min.	Timeout for confirmation by the PAM administrator, in the range from 1 to 180 minutes
Reset password and SSH key at the end of the session	If the option is enabled, the password and SSH key will be reset after each session.
Save text	If the option is enabled, then after the session will be available for viewing and downloading a text log.
Save video	If the option is enabled, then after the session is completed, video recording will be available.
Frames per second	The setting determines the frame rate for video recording.
Video resolution	The setting allows you to set the resolution for video recording.
Video log rotation	If this option is enabled, then video recordings will be automatically deleted.
Remove video older than X days	Automatically delete video recordings older than the specified number of days.
Save screenshots	If this option is enabled, then screenshots of the session will be saved.
Screenshots interval, sec.	Saving a screenshot after a specified number of seconds.
Screenshots resolution	Setting allows you to set the resolution of the screenshot.
Screenshots log rotation	If this option is enabled, screenshots will be automatically deleted.
Remove screenshots older that X days	Automatically delete screenshots older than the specified number of days.
Save transferred to server files	If the option is enabled, then the files will be duplicated in the specified network folder when transferred to the server.
Transferred to server files rotation	If this option is enabled, transferred files will be automatically deleted.
Remove transferred to server files older than X days	Automatically delete transferred files older than the specified number of days.

Gateway & SSH Proxy

Option	Description
Override Gateway settings	If this option is enabled, the following settings will be used instead of those specified in the Configuration section.
RDCB address	Remote Desktop Connection Broker IP address/DNS name
RDCB collection name	Remote Desktop Connection Broker collection name for PAM Gateway
Use RDGW	Connect to Indeed PAM Gateway with Remote Desktop Gateway
RDGW address	Remote Desktop Gateway address for PAM Gateway
Override SSH Proxy settings	If this option is enabled, the following settings will be used instead of those specified in the Configuration section.
SSH Proxy address	IP address or DNS name and port (optional)

RDP

Note

icon	false

The settings are applied only when connecting to servers via RDP.

Option	Description
Printers	If the option is enabled, then the user will be able to forward the printer from his workplace to the final resource.
Clipboard	If the option is enabled, the user will be able to use the clipboard between his workstation and the end resource.
Smart cards	If the option is enabled, the user will be able to forward the smart card from his workplace to the resource.
Ports	If the option is enabled, then the user will be able to forward COM ports from his workstation to the final resource.
Local drives	If the option is enabled, then the user will be able to forward local disks from his workplace to the resource.
RDP file parameters	Parameters that will be added to RDP connection settings, also they will replace old ones.

SSH

Privilege elevation

Allow run pamsu - support for executing commands with root privileges on resources with the PamSu component installed.

Allowed and forbidden commands

Prompt - regular expression to correctly recognize command input.
Reaction to forbidden command - terminal behavior in response to a forbidden command: CTRL + C (cancel execution) or Abort the session.

Creating a list of controlled commands:

Click the Add button
Enter the command or regular expression
Select the status Allowed or Forbidden.

Note

icon	false

Restricting command execution takes priority over permission.

Without explicit permission, commands will be considered forbidden, so it is not recommended to remove the last rule that allows command execution.

To allow or prohibit several commands at once, select them with the check boxes and click the appropriate button.

When working with the list of commands, as well as when trying to execute a prohibited command, the corresponding events are recorded in the Events section

Сессии

ОпцияОписаниеТребовать указать причину подключенияЕсли опция включена, то при подключении к конечному ресурсу, пользователь обязан указать причину запуска сессии.Ограничить длительность сессииНастройка позволяет задать время длительности сессии до принудительного завершения.Максимальная длительность сессииОпция задействует предел длительности сессии в часах и минутах, после истечения которого сессия будет принудительно завершена.Включить эксклюзивное использование учетной записиЕсли опция включена, то учетная запись может быть использована только в одной активной сессии одновременно.Открытие сессии требует подтверждения администратором PAMЕсли опция включена, то для каждой открываемой сессии необходимо ручное подтверждение администратора PAM.Время ожидания подтверждения сессииТаймаут для подтверждения администратором PAM, в интервале от 1 до 180 минут.Сбрасывать пароль и SSH ключ по завершении сессииСброс пароля и SSH ключа после каждой сессии.Сохранять текстовые логи сессииЕсли опция включена, то после завершения сессии будет доступен для просмотра и скачивания текстовый лог. Поддерживается только в сессиях на Windows ресурсах при наличии PAM агента и в SSH сессиях.Сохранять видео сессииЕсли опция включена, то после завершения сессии будет доступна для просмотра и скачивания запись потокового видео. Поддерживается только при открытии сессий через PAM Gateway.Количество кадров в секундуНастройка определяет частоту кадров для записи потокового видео, от 1 до 10.Разрешение видеоНастройка позволяет установить разрешение для записи потокового видео.Ротация видеоЕсли опция включена, то записи потокового видео будут автоматически удаляться.Удалять видео сессии старше Х днейАвтоматическое удаление записи потокового видео старше указанного количества дней, от 1 до 10000.Сохранять снимки экранаЕсли опция включена, то снимки экрана сессии будут сохраняться. Поддерживается только при открытии сессий через PAM Gateway.Интервал снимков, секСохранение снимка экрана через указанной количество секунд, от 1 до 10000.Разрешение изображенияНастройка позволяет установить разрешение снимка экрана.Ротация снимков экранаЕсли опция включена, то снимки экрана будут автоматически удаляться.Удалять снимки экрана старше Х днейАвтоматическое удаление снимков экрана старше указанного количества дней.Сохранять переданные на сервер файлыЕсли опция включена, то файлы при передаче с локальной машины на ресурс будут дублироваться в указанную сетевую папку. Поддерживается только для Windows ресурсов с включенным пробросом дисков (про раздел RDP - ниже).Ротация переданных файловЕсли опция включена, то переданные файлы будут автоматически удаляться.Удалять переданные на сервер файлы старше Х днейАвтоматическое удаление файлов старше указанного количества дней, от 1 до 10000.

Gateway и SSH Proxy

ОпцияОписаниеПереопределить настройки подключения к GatewayЕсли опция включена, то следующие настройки будут использованы вместо указанных в разделе КонфигурацияАдрес RDCBIP адрес/DNS имя Remote Desktop Connection BrokerИмя коллекции RDCBИмя коллекции Remote Desktop Connection Broker для Indeed PAM GatewayИспользовать RDGWПодключаться к Indeed PAM Gateway с использованием Remote Desktop GatewayАдрес RDGWАдрес Remote Desktop Gateway для Indeed PAM GatewayПереопределить настройки SSH ProxyЕсли опция включена, то следующая настройка будет использована вместо указанной в разделе КонфигурацияАдрес SSH ProxyIP адрес или DNS имя и порт (необязательно).

RDP

Note

icon	false

Настройки применяются только при подключении к серверам по протоколу RDP.

ОпцияОписаниеПринтерыЕсли опция включена, то пользователь получит возможность пробросить принтер со своего рабочего места на конечный ресурс.Буфер обменаЕсли опция включена, то пользователь получит возможность использовать буфер обмена между своим рабочим местом и конечным ресурсом.Смарт-картыЕсли опция включена, то пользователь получит возможность пробросить смарт-карту со своего рабочего места на конечный ресурс.ПортыЕсли опция включена, то пользователь получит возможность пробросить COM-порты со своего рабочего места на конечный ресурс.ДискиЕсли опция включена, то пользователь получит возможность пробросить локальные диски со своего рабочего места на конечный ресурс.Параметры RDP файлаПараметры, которые будут добавлены в настройки подключения RDP и заменят старые настройки.

SSH

Повышение привилегий.

Разрешить выполнять pamsu - поддержка выполнения команд с привилегиями root в ssh сессиях на ресурсах с установленным компонентом PamSu.

Список команд разрешённых либо запрещённых для выполнения в SSH сессии.

Приглашение оболочки (prompt) - регулярное выражение приглашения оболочки для корректного распознавания ввода команд.
Реакция на запрещенную команду - поведение терминала в ответ на запрещённую команду: CTRL+C (отмена выполнения) либо завершение сессии.

Для составления списка контролируемых команд:

Нажмите кнопку Добавить
Введите команду либо регулярное выражение
Выберите состояние Разрешена либо Запрещена.

Note

icon	false

Запрет на выполнение команд имеет приоритет над разрешением.

Без явного разрешения команды будут считаться запрещёнными, поэтому не рекомендуется удалять последнее правило, разрешающее выполнение команд.

Для разрешения либо запрета сразу нескольких команд отметьте их флажками и нажмите соответствующую кнопку.

При работе со списком команд, а также при попытках выполнения запрещённой команды в журнале фиксируются соответствующие события

.

Backtotop

Delay	0
Distance	250

Divbox

class	rightFloat

Table of Contents

printable	false

Page tree

Versions Compared

Old Version 2

New Version 3

Key

Policies

Управление политиками