Centrify Privileged Access Service Kurulumu
CPAS – Centrify Privileged Access Service, Centrify’ın giriş seviyesi standart özelliklerini sunan ürünüdür. Kısaca web tabanlı, ajansız, şifre kasası çözümüdür. CPAS Core ismiyle lisanslanmaktadır. Ekstra olarak Audit&Monitoring eklenerek, video kayıt ve loglama mekanizması dahil edilmektedir. Aşağıdaki resim Centrify ürün ailesi ve lisanslama modelini güzel bir şekilde özetlemektedir.
Centrify Zero Privilege Services Core (Privileged Access Service + Gateway Session Monitoring)
Centrify Zero Privilege Services Core Standard (Privileged Access Service + Authentication + Privilege Elevation Service)
Centrify Zero Privilege Services Enterprise (Privileged Access Service + Authentication + Privilege Elevation Service + Audit&Monitoring)
Centrify makale serisinde ilk olarak CPAS dediğimiz çözüm ile başlayıp, Enterprise lisanslama modelinde yer alan özellik ve ürünlerden de bahsedeceğiz.
PAS, IIS üzerinde çalışan web tabanlı uygulamadır. DB olarak Postgre SQL kullanmaktadır. Ortamda var olan daha önce kurulmuş Postgre ortamını kullanabileceğiniz gibi, PAS kurulumu sırasında aynı sunucu üzerine de kurulum yapılabilmektedir. Başka db ortamı desteklenmemektedir. MS SQL gibi. Auditing ve Reporting için MS SQL kullanabilirsiniz. Kendi local hesaplarını kullanabildigi gibi, AD entegrasyonu da bulunmaktadır. PAS MS Failover Cluster desteklemektedir. Tüm şifrelerin saklanacagı bir ortam olacak ise kesinlikle Cluster kurulması tavsiyedir.
Kısaca CPAS ile servis hesapları, paylaşımlı hesaplar, uygulamalar içerisinde kullanılan hesapların şifrelerini, şifre kasası içerisinde saklayabilirsiniz. Belirli aralıklarla şifreler değiştirilir ve ihtiyaç duydugunuz anda kasadan şifreyi temin edersiniz. Şifre temini sırasında yönetici onayı istenebilir. PAS yönetim portalına giriş ve şifre talebi işlemleri için bir çok MFA yöntemini desteklemektedir. PAS web yönetim üzerinden sistemlere yapacagınız RDP-SSH baglantıları, Audit&Monitoring’in bir modulu olan Gateway Session Monitoring ile kaydedilip loglanmaktadır. PAS portalı Https üzerindne calısmaktadır. Her bir özelliği detaylıca inceleyeceğiz.
https://docs.centrify.com/Content/Infrastructure/get-started/Get-Started-Checklist-PASCloud.htm
AD üzerinde servis hesabı (srv.centrifypas) oluşturup, PAS kuracagımız sunucuda Local Administrator yapıyoruz.
PAS sunucusunda .Net Framework 4.8 kuruyoruz.
Centrify kurulum mediasını takıp kurulumu baslatıyoruz.
Satın aldıgınz zaman gelen Product key ve Company bilgisini yazıyorsunuz.
Microsoft Failover Cluster ortamına kurulup yapılmıyor ise, Single Node seçeneği olan Evaluation ile devam ediyoruz.
Ortamınızda daha önceden kurulu Postgresql var ise bu aşamada onu gösterebilirsiniz. Yok ise aynı sunucu üzerine Centrify kurulumu yapacak.
Default kurulum lokasyonu C:
IIS kurulumunu ve ihtiyaç duyulan ek featureları kendisi kurmaktadır.
Kurulum sonrası gelen powershell preconfiguration ekranında, PAS yönetimi için local Centrify dizininde kullanıcı hesabı oluşturulmaktadır. Pas arayüzüne web üzerinden erişleceği için global bir fqdn belirlenebilir. Pas.centrify.lab. İlgili isim için dns kaydı açılıp sunucunun ip adresine yönlendirilir. 2 node var ise load balance ip’si uygulanır. Sertifika sorgusu N olarak geçilir ve sonra ilerleyen aşamalarda kendimiz wildcard sertifika kullanacagız. Select folder ekranında postgre sql’in kurulacagı yer seçilir. (c:\users\program data\centrify\centrify identity platform\data)
PAS Web Portalda oturum açabiliriz.