search
github編集

管理対象Microsoft ADユーザー

KeeperによるGoogle Cloud管理対象Microsoft Active Directoryサービスアカウントのローテーション

hashtag
概要

本ページでは、Keeperローテーションを使用して、Google Cloud Managed Microsoft ADサービスのユーザーアカウントをローテーションする方法を説明します。Active DirectoryサービスはAWSで管理されるリソースであり、ディレクトリサービスの管理者認証情報はPAMディレクトリレコードタイプに関連付けられ、ADユーザーの構成はPAMユーザーレコードタイプで定義されます。

ユーザーアカウントのパスワードはLDAPを使用してローテーションされます。ローテーションを正常に実行するには、サーバー側でLDAPSが構成されていること、またPAMディレクトリレコードタイプで定義されているディレクトリ管理者がSSL接続を使用していることが必要です。

hashtag
要件

以下の作業がすでに完了していることを前提としています。

  • ロールに対してKeeperシークレットマネージャーが有効になっていること

  • ロールに対してKeeperローテーションが有効になっていること

  • Keeperシークレットマネージャーのアプリケーションが作成されていること

  • Keeperローテーションゲートウェイがインストールされ、稼働しており、Google Cloudディレクトリサービスと通信できる状態になっていること

  • Google Cloud環境が、当社ドキュメントに従って構成されていること

hashtag
1. PAMディレクトリレコードの設定

Keeperローテーションは、AWS Managed Directory Serviceに関連付けられた管理者認証情報を使用して、ドメインサービスのディレクトリアカウントのパスワードをローテーションします。これらの管理者認証情報は、ディレクトリ管理者のパスワードローテーションにも使用できます。

以下は、PAMディレクトリレコードの必須フィールドとなります。

フィールド
説明

タイトル

レコード名。例: AD Domain Service

ホスト名またはIPアドレス

ディレクトリのDNS名。例: ad.pam.test

ポート

LDAPSを使用する場合は 636 を指定します

SSLの使用 (チェックボックス)

有効にする必要があります

管理者認証情報

ディレクトリサービスの管理者アカウントとパスワードを提供するPAMユーザー。例: Admin 注記: LoginとDomain Name、またはDistinguished Nameのいずれかが必須です。Distinguished Nameの使用を推奨します

識別名

ディレクトリサービス管理者アカウントの識別名 (DN) です。 例: CN=jsmith,OU=Cloud,DC=example,DC=com 注: DNが指定されていない場合は、次の形式が使用されます。ドメイン名が example.com の場合: CN=<user>,CN=Users,DC=example,DC=com

ドメイン名

ディレクトリのDNS名です 注: Distinguished Nameの代わりにLoginを使用する場合に必須です

ディレクトリID

ディレクトリサービスの識別子。例: d-##########

ディレクトリタイプ

ディレクトリサービスのタイプです。未指定の場合は Active Directory が既定値となります

プロバイダリージョン

Google Cloudのリージョン名。例: us-east1

管理者認証情報を含むこのPAMディレクトリレコードは、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。この特権アカウントにアクセスするのはKSMアプリケーションのみでよく、ユーザーと共有する必要はありません。

hashtag
PAM構成の設定

(すでにこの環境用のPAM構成が設定されている場合は、この手順を省略できます。)

ボルトの左側メニューから [シークレットマネージャー] を選択し、[PAM構成] タブを開いて、[新しい構成] をクリックします。

以下は、PAM構成レコードの必須フィールドとなります。

フィールド
説明

タイトル

構成名。例: GCP Workspace Configuration

環境

Google Cloud を選択します

ゲートウェイ

Keeperシークレットマネージャーアプリケーションで設定済みのゲートウェイを選択します

アプリケーションフォルダ

PAM構成を保存する共有フォルダを選択します。PAMユーザーレコードと同じ共有フォルダに配置することを推奨します

GCP ID

このGoogle Cloud環境を識別するための一意のIDです。任意の値を指定できますが、短く分かりやすい名称を推奨します。 例: GCP-DepartmentName

サービスアカウントキー

ゲートウェイのサービスアカウントキーのJSONテキストをコピーして貼り付けます

PAM構成レコードで設定可能なすべてのフィールドの詳細については、こちらのページをご参照ください。

hashtag
3. PAMユーザーレコードの設定

Keeperローテーションは、PAMディレクトリレコードに含まれる認証情報を使用して、GCP環境内のPAMユーザーレコードのパスワードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

フィールド
説明

タイトル

Keeperのレコードタイトル。例: AWS Directory User1

ログイン

ディレクトリサービスのユーザーアカウントのユーザー名

パスワード

アカウントのパスワード。指定は任意です。このフィールドが空の場合、ローテーション実行時に自動的にパスワードが設定されます

識別名

ディレクトリサービスのユーザーアカウントの識別名 (DN)

hashtag
4. PAMユーザーレコードでのローテーション設定

手順3で作成したPAMユーザーレコードを選択し、レコードを編集して [パスワードローテーション設定] を開きます。

  • 希望するスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定] では、前の手順で設定したPAM構成を使用します。

  • [リソース認証情報] フィールドでは、手順1で設定したPAMディレクトリの認証情報を選択します。

  • 保存すると、ローテーションボタンが有効になり、手動実行または選択したスケジュールに基づいてローテーションを実行できるようになります。

PAMユーザーレコードに対して編集権限を持つユーザーであれば、そのレコードのローテーション設定を行うことができます。

hashtag
トラブルシューティング

hashtag
GCP Managed Directory Serviceユーザーの識別名 (DN) を取得する方法

ディレクトリユーザーの識別名 (Distinguished Name) を取得するには、以下のWindowsコマンドを使用します。

上記のコマンドが存在しない場合は、以下のコマンドを実行して、必要なモジュールをインポートします。

前へGCPプリンシパルユーザーパスワード次へGoogle Compute仮想マシンユーザー

最終更新