Etapa 4 – Instalar componentes do MIM no servidor PAM e na estação de trabalho

« Passo 3Passo 5 »

No PAMSRV, entre como PRIV\Administrator para poder instalar o Serviço MIM.

Nota

Você deve ser um administrador de domínio; se você não estiver executando os seguintes comandos como um usuário que não tem acesso de gravação ao domínio PRIV no AD, a instalação não terá êxito. Isso ocorre porque a instalação do MIM cria um novo AD OU "PAM objetos".

Se você baixou o MIM, descompacte o arquivo de instalação do MIM para uma nova pasta.

Execute o programa de instalação do Serviço e do Portal

Siga as orientações do instalador e conclua a instalação.

1. Ao selecionar recursos de componentes, inclua o Serviço MIM (com Gerenciamento de Acesso Privilegiado, mas não com Relatórios de MIM). Se você instalou o SharePoint na etapa anterior, poderá instalar o Portal do MIM. Se você não instalou o SharePoint na etapa anterior, não instale o Portal do MIM.

   

2. Ao configurar serviços comuns e a conexão de banco de dados MIM, especifique Criar um novo banco de dados.

   Nota

   Se instalar o Serviço MIM várias vezes para garantir alta disponibilidade, especifique Utilizar uma base de dados existente para todas as instalações subsequentes.

3. Ao configurar a ligação a um servidor de correio eletrónico, defina o servidor de correio para o nome de anfitrião de um servidor Exchange ou SMTP para o ambiente CORP (num ambiente de teste, pode utilizar corpdc.contoso.local se não tiver um servidor de correio no ambiente PRIV) e desmarque as caixas de verificação Usar SSL e Servidor de Correio for Exchange Server 2007 ou Exchange Server 2010.

4. Escolha gerar um novo certificado autoassinado.

5. Defina as seguintes credenciais de conta:

   • Nome da conta de serviço: MIMService
   • Senha da conta de serviço: Pass@word1 (ou a senha que você criou na Etapa 2)
   • Domínio da conta de serviço: PRIV
   • Conta de e-mail do serviço: MIMService@priv.contoso.local

6. Aceite os padrões para o nome de host do servidor de sincronização e especifique a conta do Agente de Gerenciamento do MIM como PRIV\MIMMA. Será exibida uma mensagem de aviso informando que o serviço de sincronização do MIM não existe. Esse aviso é OK, pois o serviço de sincronização do MIM não é usado nesse cenário.

7. Defina PAMSRV como o endereço do servidor do Serviço MIM.

8. Defina http://pamsrv.priv.contoso.local:82 como a URL do conjunto de sites do SharePoint.

9. Deixe o URL do portal de registo em branco.

10. Marque a caixa de seleção para abrir as portas 5725 e 5726 no firewall e, se o Portal MIM estiver sendo instalado, a caixa de seleção para conceder a todos os usuários autenticados acesso ao site do Portal MIM.

11. Deixe o nome do host da API REST do PAM vazio e defina 8086 como o número da porta.

    

12. Configure a conta MIM PAM REST API para usar a mesma conta do SharePoint (caso o Portal MIM seja instalado no mesmo local neste servidor):

    • Nome da conta do pool de aplicativos: SharePoint
    • Senha da conta do pool de aplicativos: Pass@word1 (ou a senha que você criou na Etapa 2)
    • Domínio da conta do pool de aplicativos: PRIV

    

    Pode aparecer um aviso de que a Conta de Serviço não é segura em sua configuração atual. Não há problema.

13. Configure o serviço do componente PAM do MIM:

    • Nome da conta de serviço: MIMComponent
    • Senha da conta de serviço: Pass@word1 (ou a senha que você criou na Etapa 2)
    • Domínio da conta de serviço: PRIV

    

14. Configure o Serviço de Monitoramento do PAM:

    • Nome da conta de serviço: MIMMonitor
    • Senha da conta de serviço: Pass@word1 (ou a senha que você criou na Etapa 2)
    • Domínio da conta de serviço: PRIV

    

15. Na página Inserir informações para portais de senha do MIM, deixe as caixas de seleção vazias e continue. Clique Avançar para continuar a instalação.

16. Após a conclusão da instalação, o servidor será reinicializado.

Configurar regra de política de gerenciamento a partir do PowerShell

Se você instalou o Portal do MIM, pule para a próxima seção.

1. Após a reinicialização do PAMSRV, entre como PRIV\Administrator.

2. Inicie o PowerShell e digite add-pssnapin fimautomation para carregar os cmdlets do PowerShell de configuração do Serviço MIM.

3. Baixe o script Como usar o PowerShell para habilitar um MPR e salve-o localmente.

4. Use o script para habilitar o MPR chamado Gerenciamento de usuários: os usuários podem ler atributos de seus próprios. Quando concluído, ele exibirá a mensagem MPR ativado com êxito.

5. Vá para a seção abaixo: Verifique as conexões do firewall.

Configurar o Portal MIM e as regras da política de gestão

Se você optar por instalar o SharePoint, verifique se o Portal do MIM está ativo e permita que os usuários visualizem seu próprio recurso de objeto no MIM.

1. Após a reinicialização do PAMSRV, entre como PRIV\Administrator.

2. Inicie o Internet Explorer e conecte-se ao Portal MIM em http://pamsrv.priv.contoso.local:82/identitymanagement. Pode haver um pequeno atraso na primeira vez que esta página for localizada.

3. Se necessário, inicie sessão como PRIV\Administrator para o Internet Explorer.

4. No Internet Explorer, abra as Opções da Internet, mude para a guia Segurança e adicione o site à zona Intranet local se ainda não estiver lá. Feche a caixa de diálogo Opções da Internet.

5. Usando o Internet Explorer para exibir o Portal MIM, selecione Regras de Política de Gerenciamento.

6. Procure a regra de política de gerenciamento Gerenciamento de usuários: os usuários podem ler atributos de seus próprios.

7. Selecione esta regra de política de gestão, desmarque Política está desativada, selecione OKe, em seguida, selecione Enviar.

Verifique as conexões de firewall

O firewall deve permitir conexões de entrada para as portas TCP 5725, 5726, 8086 e 8090.

1. Abra Firewall do Windows com Segurança Avançada (localizado nas Ferramentas Administrativas).

2. Clique em Regras de entrada.

3. Verifique se estas duas regras estão listadas:

   • Serviço do Forefront Identity Manager (STS)
   • Serviço Forefront Identity Manager (Serviço Web)

4. Clique Nova regra>Porta>TCP e digite as portas locais específicas 8086 e 8090. Clique no assistente e aceite as predefinições, dê um nome à regra e clique em Concluir.

5. Depois de concluir o assistente, feche o aplicativo Firewall do Windows.

6. Inicie Painel de Controle.

7. Em Rede e Internet, selecione Exibir status da rede e tarefas .

8. Verifique se há uma rede ativa, listada como priv.contoso.local, e uma rede de Domínio.

9. Feche Painel de Controle.

Opcional: configurar o aplicativo Web de exemplo

Nesta seção, você instalará e configurará o aplicativo Web de exemplo para a API REST DO MIM PAM. Este componente só é necessário se você quiser aprender a usar a API REST DO MIM PAM. Se você pretende usar o PowerShell para solicitar e aprovar o acesso, continue com a próxima seção para instalar os cmdlets do solicitante do MIM PAM.

1. No arquivo de aplicativo Web de exemplo, baixe os exemplos do Identity Management como um arquivo zip.

2. Descompacte o conteúdo da pasta identity-management-samples-master\Privileged-Access-Management-Portal\src em uma nova pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal.

3. Crie um novo site no IIS com:

   • um nome de site do Portal de Exemplo de Gerenciamento de Acesso Privilegiado do MIM,
   • caminho físico C:\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Portal de Gerenciamento de Acesso Privilegiado e
   • porta 8090.

   Use o seguinte comando do PowerShell para criar o site:

   New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
   

4. Configure o aplicativo Web de exemplo para poder redirecionar os usuários para a API REST DO MIM PAM. Usando um editor de texto, como o Bloco de Notas, edite o arquivo C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config. Na seção <system.webServer>, adicione as seguintes linhas:

   <httpProtocol>
   <customHeaders>
     <add name="Access-Control-Allow-Credentials" value="true"  />
     <add name="Access-Control-Allow-Headers" value="content-type" />
     <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
   </customHeaders>
   </httpProtocol>
   

5. Configure o aplicativo Web de exemplo. Usando um editor de texto, como o Bloco de Notas, edite o arquivo C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js. Defina o valor de pamRespApiUrl como http://pamsrv.priv.contoso.local:8086/api/pamresources/.

6. Reinicie o IIS com o seguinte comando para que essas alterações entrem em vigor.

   iisreset
   

7. (Opcional) Verifique se o usuário pode se autenticar na API REST. Abra um navegador da Web como administrador no PAMSRV. Navegue até o URL do site http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/, autentique-se, se necessário, e certifique-se de que um download ocorra.

Instalar os cmdlets do requerente do MIM PAM

Instale os cmdlets do solicitante do MIM PAM na estação de trabalho configurada na Etapa 2.

1. Inicie sessão no PRIVWKSTN como administrador.

2. Transfira os Suplementos e extensões para o computador PRIVWKSTN, caso eles ainda não estejam presentes.

3. Descompacte a pasta Suplementos e extensões do arquivo para uma nova pasta.

4. Execute o instalador setup.exe.

5. Na configuração personalizada, especifique que o Cliente PAM seja instalado, mas não o Suplemento MIM para Outlook ou as Extensões de Senha e Autenticação MIM .

6. No endereço do servidor PAM, especifique como o nome do host do servidor PRIV MIM pamsrv.priv.contoso.local.

Após a conclusão da instalação, reinicie o PRIVWKSTN para concluir o registro do novo módulo do PowerShell.

Na próxima etapa, você estabelecerá confiança entre as florestas PRIV e CORP.

« Passo 3Passo 5 »