若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 4 – 在 PAM 伺服器和工作站上安裝 MIM 元件

 


  1. 在 [PAMSRV] 上以 PRIV\Administrator 身分登入,才能安裝 MIM 服務和入口網站,及入口網站 Web 應用程式範例。 (請注意,您必須是網域系統管理員;如果未以網域系統管理員身分執行下列命令,將無法完成下一步的後續信任驗證檢查。)

  2. 如果您已下載 MIM,請將 MIM 安裝封存解壓縮到新資料夾。

  3. 執行服務和入口網站安裝程式。 請依照安裝程式的指導方針並完成安裝。

    1. 選取元件功能時,必須包括下列項目:

      • MIM 服務 (包括 Privileged Access Management,不包括 MIM Reporting)

      • MIM 入口網站

        PAM Getting Started MIM 2015 Service Portal
    2. 設定一般服務和 MIM 資料庫連線時,指定 [建立新的資料庫 ]。

    3. 設定郵件伺服器連線時,將郵件伺服器設定為 "corpdc.contoso.local",並取消核取 [使用 SSL] 和 [郵件伺服器是 Exchange Server 2007 或 Exchange Server 2010] 核取方塊。

    4. 指定要產生新的自我簽署憑證。

    5. 將服務帳戶名稱指定為 "MIMService"、將服務帳戶密碼指定為 "Pass@word1" (在上述步驟 2 中指定的密碼)、將 [服務帳戶網域] 指定為 "PRIV",並將 [服務電子郵件帳戶] 指定為 "MIMService@priv.contoso.local"。

    6. 接受同步處理伺服器主機名稱的預設值,並將 MIM 管理代理程式帳戶指定為 "PRIV\mimma"。 請注意,會出現 MIM 同步處理服務不存在的警告訊息。 由於 MIM 同步處理服務不是在這個 TLG 案例中使用,因此可忽略警告。

    7. 指定 "pamsrv" 做為 MIM 服務伺服器位址。

    8. 指定 [http://pamsrv.priv.contoso.local:82] 做為 SharePoint 網站集合 URL。

    9. 保留註冊入口網站 URL 空白。

    10. 選取核取方塊以在防火牆中開啟連接埠 5725 和 5726,及選取核取方塊,將 MIM 入口網站的存取權授與所有已驗證的使用者。

    11. 將 PAM REST API 的主機名稱保留空白,並指定 8086 做為連接埠號碼 (如以下螢幕擷取畫面所述):

      PAM_GS_MIM_2015_Service_Portal_configure_application_pool
    12. 將 MIM PAM REST API 帳戶設為使用 SharePoint 所使用的相同帳戶 (當 MIM 入口網站在此 [SharePoint] 上共置)、將 [應用程式集區帳戶密碼] 設定為 [Pass@word1] (在上述步驟 2 中指定的密碼),並將 [應用程式集區帳戶網域] 設定為 [PRIV]。

      PAM Getting Started Configure Component Service

      請注意,可能會出現警告,表示服務帳戶在其目前組態中不安全。

    13. 設定 MIM PAM 元件服務。 將帳戶名稱指定為 [mimcomponent]、將 [服務帳戶密碼] 指定為 [Pass@word1] (在上述步驟 2 中指定的密碼),並將 [服務帳戶網域] 指定為 [PRIV]。

      PAM_GS_Configure_MIM_PAM_component_service
    14. 設定 PAM 監視服務。 將帳戶名稱指定為 [mimmonitor]、將 [服務帳戶密碼] 指定為 [Pass@word1] (在上述步驟 2 中指定的密碼),並將 [服務帳戶網域] 指定為 [PRIV]。

      PAM_GS_Configur_PAM_Monitoring_service
    15. 在 [輸入 MIM 密碼入口網站資訊] 頁面上,將核取方塊保留空白並繼續。 然後按 [下一步] 以繼續安裝。

  4. 安裝完成之後,伺服器會重新開機,然後確認 MIM 入口網站為作用中,並讓使用者在 MIM 中檢視他們自己的物件資源。

    • PAMSRV 重新開機之後,以 PRIV\Administrator 身分登入。

    • 啟動 Internet Explorer 並連接到 MIM 入口網站,網址為 “http://pamsrv.priv.contoso.local:82/identitymanagement”。

      請注意,第一次顯示此頁面時可能會短暫延遲。

    • 如有必要,請做為 PRIV\Administrator 向 Internet Explorer 驗證。

    • 在 Internet Explorer 中,開啟 [網際網路選項],變更為 [安全性] 索引標籤,並將網站加到 [近端內部網路] 區域 (如果還不存在)。 關閉 [網際網路選項] 對話方塊。

    • 使用 Internet Explorer 檢視 MIM 入口網站,按一下 [管理原則規則]。

    • 搜尋管理原則規則使用者管理:使用者可以讀取自己的屬性

    • 選取此管理原則規則,取消核取 [原則已停用],按一下 [確定],然後按一下 [提交]。

  5. 請確認防火牆允許 TCP 連接埠 5725、5726、8086 和 8090 的連入連線。

    1. 啟動 [具有進階安全性的 Windows 防火牆] (位於 [系統管理工具])

    2. 按一下 [輸入規則]。

    3. 確認列出兩個規則 [Forefront Identity Manager 服務 (STS)] 和 [Forefront Identity Manager 服務 (Web 服務)]。

    4. 按一下 [新增規則],選取 [連接埠],選取 [TCP],然後輸入特定的本機連接埠 8086、8090。 按一下精靈接受預設值,指定規則的名稱,再按一下 [完成]。

    5. 完成精靈後關閉 Windows 防火牆應用程式。

    6. 啟動 [控制台]。

    7. 按一下 [網路和網際網路] 下的 [檢視網路狀態及工作]。

    8. 確認有作用中的網路列為 "priv.contoso.local" (為「網域網路」)。

    9. 關閉 [控制台]。

  6. 從範例 Web 應用程式封存檔 (可從這裡下載) 將資料夾內容 identity-management-samples-master\Privileged-Access-Management-Portal\src 解壓縮到 C:\Program Files\Microsoft Forefront Identity Manager\2010 資料夾中的「具有權限的存取管理入口網站」新資料夾。

  7. 安裝和設定 MIM PAM REST API 的 Web 應用程式範例。

    1. 在網站名稱為「MIM Privileged Access Management 範例管理入口」、實體路徑 "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal" 與連接埠 8090 的 IIS 中建立新網站。 這可以使用下列 PowerShell 命令來完成:

      New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"
      
    2. 可讓 Web 應用程式範例能夠將使用者重新導向至 MIM PAM REST API。 使用記事本之類的文字編輯器來編輯檔案 “C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.config”。<system.webServer> 區段中加入下列幾行:

      <httpProtocol> <customHeaders> <add name="Access-Control-Allow-Credentials" value="true"  /> <add name="Access-Control-Allow-Headers" value="content-type" /> <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" /> </customHeaders> </httpProtocol>
      
      
    3. 設定 Web 應用程式範例。 使用記事本之類的文字編輯器來編輯檔案 "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js".。 在該檔案中,將 pamRespApiUrl 的值設為"http://pamsrv.priv.contoso.local:8086/api/pamresources/"。

    4. 重新啟動 IIS,讓這些變更生效。

      iisreset 
      
    5. (選擇性) 確認使用者可以對 REST API 進行驗證。 開啟網頁瀏覽器,在 pamsrv 上做為系統管理員。 瀏覽至網站 URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/ 驗證 (如果需要),並確保進行下載。

  8. 在工作站上安裝 MIM PAM 要求者 Cmdlet。

    1. 以系統管理員身分登入 CORPWKSTN。

    2. 增益集和延伸模組下載至 CORPWKSTN 電腦 (若還未出現)。

    3. 從封存檔中,將資料夾增益集和延伸模組解壓縮至新資料夾。

    4. 執行安裝程式 setup.exe

    5. 在自訂安裝程式上,指定要安裝 PAM 用戶端,但不安裝 Outlook 的 MIM 增益集,或 MIM 密碼和驗證延伸模組。

    6. 在 PAM 伺服器位址上,將 PRIV MIM 伺服器的主機名稱指定為 pamsrv.priv.contoso.local

  9. 安裝完成後,重新啟動 CORPWKSTN 以完成新 PowerShell 模組的註冊。

顯示: