配置终端集成
在配置终端集成之前,请验证以下各项:
cminder12901cn
在配置终端集成之前,请验证以下各项:
- Privileged Identity Manager企业控制台中存在您想要配置终端集成的特权帐户。
- 该端点上已启用终端集成,也就是说,PUPMAgent 部分中的 EnableLogonIntegration 配置设置的值为 1。注意:默认情况下,当您安装启用了 SAM 集成功能的Privileged Identity Manager时,会启用终端集成。 如果您启用了终端集成,但是没有对其进行配置,则Privileged Identity Manager不会对任何帐户实施终端集成。
- 验证 policyfetcher 是否在端点上配置和运行。
- (UNIX)Privileged Identity Manager将 PAM 登录拦截用于用来连接端点的登录程序。例如,如果用户使用 SSH 连接端点,请验证Privileged Identity Manager是否使用 PAM 登录拦截来拦截 SSH 登录。注意:有关 PAM 登录拦截和 LOGINAPPL 类的详细信息,请参阅《selang 参考指南》。
以下过程说明了如何为单个特权帐户配置终端集成。 您可以使用策略为多个端点上具有相同名称的特权帐户配置终端集成。
请按下列步骤操作:
- 在Privileged Identity Manager端点控制台中,依次单击“用户”选项卡、“用户”子选项卡,然后搜索您想要配置终端集成的特权帐户。注意:有关如何在Privileged Identity Manager端点控制台中管理用户的详细信息,请参阅联机帮助。
- 选择特权帐户。此时出现“修改用户”任务页面的“常规”选项卡。
- 在“帐户”部分中,选择下列选项中的一项或两项:
- 使用初始身份指定当Privileged Identity Manager写入审核记录并作出授权决策时,使用签出特权帐户的用户的名称,而不是特权帐户用户名。
- 在登录前需要签出帐户指定用户必须使用自动登录来登录到具有该特权帐户的端点。 通过自动登录,用户可以签出密码并从Privileged Identity Manager企业控制台自动登录到端点。
- 单击“保存”。您已为该特权帐户启用和配置终端集成。
示例:配置终端集成的策略
下列策略为名为 administrator 的帐户配置终端集成。 策略指定当
Privileged Identity Manager
写入审核记录并作出授权决策时使用初始用户名,还指定用户必须使用自动登录以 administrator 身份登录到端点:editusr administrator pupm_flags(use_original_identity) editusr administrator pupm_flags(required_checkout)
为 sesu 创建密码使用方
要通过已启用并配置终端集成的特权帐户来运行 sesu 实用工具,请为 sesu 创建密码使用方。
请按下列步骤操作:
- 在中,单击“Privileged Identity Manager企业控制台特权帐户”、“密码使用方”和“创建密码使用方”。此时将显示“创建密码使用方:“密码使用方搜索”页面。
- 您可以创建一个新密码使用方,也可选择现有密码使用方来创建其副本。 单击“确定”。
- 填写“常规”选项卡中的以下字段:名称指定密码使用方的以下名称:/opt/CA/AccessControl/bin/sesu说明(可选)指定用于说明密码使用方的信息(自由文本)。使用方类型指定以下类型的密码使用方:软件开发工具包 (SDK/CLI)应用程序路径指定端点上的密码使用方的完整路径名。 对于软件开发工具包密码使用方,请指定执行密码请求的应用程序的以下路径名:值:/opt/CA/AccessControl/bin/sesu已启用指定以启用密码使用方。
- 单击“特权帐户”选项卡,并指定与密码使用方相关联的特权帐户。
- 单击“主机”选项卡。 接下来,指定密码使用方从中获取特权帐户密码的主机或主机组。 或者,选择“所有主机”以授予所有主机和主机组访问特权帐户密码的权限。
- 单击“用户”选项卡并指定可请求特权帐户密码的的用户或组。 或者,选择“所有用户”以允许所有用户请求特权帐户密码。
- 单击“提交”。