PAMディレクトリ
オンプレミスまたはクラウド上のディレクトリサービスを管理するためのKeeperPAMリソース
概要
PAMディレクトリレコードはKeeperPAMリソースの一種で、オンプレミスまたはクラウド上にホストされたActive DirectoryまたはOpenLDAPサービスを表します。
PAMディレクトリ
Active Directory、OpenLDAP
機能
PAMディレクトリリソースは、以下の機能に対応しています。
LDAP、LDAPS、またはWinRMを使用したパスワードのローテーション
RDPによる接続
任意のプロトコルに対応したTCPトンネルの構成
セッションの録画および再生
認証情報を共有せずにアクセスを共有
PAMディレクトリの作成
PAMディレクトリを作成する前に、あらかじめPAM構成を作成しておいてください。PAM構成には対象インフラストラクチャに関する情報が、PAMディレクトリにはそのインフラストラクチャ内にあるActive Directoryサーバーなどのアセットに関する情報が格納されます。
PAMディレクトリの作成手順
[新規作成] をクリックします。
用途に応じて、[ローテーション]、[トンネル]、[コネクション] のいずれかを選択します。
ポップアップウィンドウで以下を行います。
[新しいレコード] を選択
レコードを作成する共有フォルダを選択
タイトルを入力
対象として [ディレクトリ] を選択
[次へ] をクリックし、必要な情報をすべて入力します。
PAMディレクトリレコードタイプのフィールド
ホスト名またはIPアドレス
ディレクトリリソースのアドレス
必須
ポート
接続ポート
必須 通常は389または636 (LDAP/LDAPS) を使用します。Active Directoryは636のみ対応しています。
SSLの使用
接続時にSSLを使用
Active Directoryでは必須
代替IP
検出時に使用するディレクトリの予備IPアドレスの一覧
改行区切り
ディレクトリID
AzureおよびAWS環境でホストされているADリソースのインスタンスID
必須 (Azure Active DirectoryまたはAWS Directory Serviceを使用している場合に指定します)
例 (AWS): d-9a423d0d3b
ディレクトリタイプ
メッセージの形式を決定するために使用されるディレクトリタイプ
必須 Active DirectoryまたはOpenLDAP
ユーザーマッチ
検出中に見つかったユーザーをOUでマッチング
ドメイン名
ディレクトリで管理するドメイン
必須
例: some.company.com
プロバイダグループ
Azureでホストされたディレクトリのプロバイダグループ
必須 (Azure上でホストされているディレクトリサービス用)
プロバイダリージョン
ホストされたディレクトリのAWSリージョン
必須 (AWS上でホストされているディレクトリサービス用)
例: us-east-2
PAM設定と管理者認証情報
レコードの「PAM設定」セクションでは、KeeperPAMの接続およびトンネル設定を構成し、ローテーションおよび接続を実行するためのPAMユーザーの認証情報をリンクできます。トンネルには、リンクされた認証情報は必要ありません。
PAM設定
PAM構成
環境を定義する関連PAM構成レコード
必須
管理者認証情報レコード
接続および管理操作に使用されるリンクされたPAMユーザーの認証情報
必須
プロトコル
ゲートウェイから対象へのセッション接続に使用するネイティブプロトコル
必須
接続パラメータ (複数)
プロトコルの種類に基づいて異なる接続固有のプロトコル設定
プロトコルによります。最低限、接続ポートを指定することをお勧めします。
備考: PAMユーザーは、接続やパスワードローテーションを正常に構成するために必要ですが、トンネルには必須ではありません。
構成の手順
PAMデータベースレコードを開きます。
PAM設定の箇所で、PAM構成と管理者認証情報レコードを選択します。
KeeperコネクションとKeeperトンネルの設定を構成するには以下のページをご参照ください。
以下の画像は、接続、ローテーション、トンネルが有効になった状態のPAMディレクトリの例となります。
最終更新