Active DirectorユーザーまたはOpenLDAPユーザー

KeeperPAMでActive DirectoryまたはOpenLDAPのユーザーアカウントをリモートでローテーション

概要

本ページでは、KeeperPAMを使用してActive DirectoryまたはOpenLDAPのユーザーアカウントをリモートでローテーションする方法を取り扱います。

要件

以下がすでに実行されていることを前提としています。

  • ロールに対してローテーションポリシーが適用されていること。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること。

  • Keeperゲートウェイがオンラインであること。

  • Keeperゲートウェイは、LDAPS (ポート636) またはLDAP (ポート389) を通じてディレクトリと通信できること。

1. PAMディレクトリ認証情報を設定

Keeperローテーションでは、リンクされた管理者認証情報を使用して、ディレクトリ内の他のアカウントをローテーションします。このアカウントはドメイン管理者である必要はありませんが、他のアカウントのパスワードを正常に変更できる権限が必要です。

リンクされた管理者認証情報は、事前準備で作成したKSMアプリケーションに共有されている共有フォルダに保存する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに必要であり、ユーザーと共有する必要はありません。

PAMディレクトリレコード

PAMディレクトリレコードのフィールド

フィールド
説明

レコードタイプ

PAMディレクトリ

タイトル

Keeperレコードの名前

ホスト名またはIPアドレス

ディレクトリサーバーのIPアドレス、ホスト名、FQDN (例: 10.10.10.10dc01.mydomain.local)

ポート

636 (LDAPSはActive Directoryでのローテーションに必要です。 ポート389でのLDAPは安全でないため避けるべきです。)

SSLを使用

Active Directoryでの使用のために有効にします。

管理者認証情報

LDAPローテーション用に使用するPAMユーザー認証情報 (例: rotationadmin)

ドメイン名

Active Directoryのドメイン名 (例: mydomain.local

ディレクトリタイプ

Active DirectoryまたはOpenLDAPに設定

2. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

PAM構成によって、環境とKeeperゲートウェイおよび認証情報が関連付けられます。この事例に対してまだPAM構成を作成していない場合は、新しく作成してください。

フィールド
説明

タイトル

構成名 (例: My Active Directory)

環境

Local Networkを選択

ゲートウェイ

ディレクトリサーバーへアクセスできるゲートウェイを選択

アプリケーションフォルダ

PAMディレクトリレコードが格納された共有フォルダを選択

その他のフィールド

事例によって変わります。PAM構成のセクションをご参照ください。

3. PAMユーザーレコードを設定

PAMディレクトリレコードにリンクされた認証情報を使用して、環境内の他のPAMユーザーレコードのローテーションが行われます。PAMユーザーの認証情報は、シークレットマネージャーアプリケーションに割り当てられた共有フォルダ内に保存する必要があります。以下の例では、ADユーザー「demouser」がローテーション対象となります。

Active Directoryアカウントのパスワードローテーション例

PAMユーザーレコードのフィールド

フィールド
説明

レコードタイプ

PAMユーザー

タイトル

Keeperレコードの名前 (例: AD User - demouser)

ログイン

ローテーションするアカウントのユーザー名。ユーザー名の形式は対象のシステムとサービスタイプに依存します。 例: demouser demouser@domain.local

パスワード

アカウントパスワードはオプションです。ほとんどの場合、パスワードローテーションには既存のパスワードは必要ありません。しかしながら、一部の状況やプロトコルでは必要となる場合があります。

識別名

Active DirectoryおよびOpenLDAPディレクトリに必要です。 ユーザーのLDAP識別名の例:

CN=Demo User,CN=Users,DC=lureydemo,DC=local

ユーザーのDNが不明な場合は、以下のPowerShellコマンドで確認できます。

Get-ADUser -Identity <username> -Properties DistinguishedName

4. レコード上でローテーションを構成

PAMユーザーレコードを選択し、レコードを編集して [パスワードローテーション設定] を開きます。

PAMユーザーレコードの編集権限が付与されていて、かつローテーションを許可するポリシーが適用されているユーザーであれば、そのレコードに対してローテーションを構成できます。

PAMユーザースケジュールローテーション
  • ローテーションの種類は [一般] を選択してください。

  • [PAMリソース] フィールドには、事前に設定した [PAMディレクトリ] の認証情報を選択します。

  • 希望するスケジュールとパスワードの複雑さを設定します。

  • 保存後、ローテーションボタンが有効化され、スケジュールに従って、または手動でローテーションを実行できるようになります。

トラブルシューティング

LDAPが正しく設定されているかをテストするには、LDP.exeを実行します。この接続に成功すると、Keeperローテーションも成功します。

LDP.exeでLDAP接続をテスト

自己署名証明書でのテスト

KeeperでActive Directoryユーザーアカウントのローテーションをテストするには、LDAPS接続が有効であり、正当な証明書が使用されていることを確認する必要があります。テストのみを行う場合で、製品用証明書をお持ちでない場合は、以下の手順で自己署名証明書を使用できます。

1

証明書の作成

管理者として実行されているPowerShellから、自己署名証明書を作成します。証明書のサブジェクト名および代替名は、サーバーのホスト名と一致している必要があります。この例では、主な名前はXYZ123.company.local、代替名はcompany.localcompanyです。

New-SelfSignedCertificate -DnsName XYZ123.company.local,company.local,company, -CertStoreLocation cert:\LocalMachine\My
2

証明書のインストール

このスクリプトで、証明書マネージャーの個人セクションから証明書を検索し、信頼されたドメインにコピーします。このスクリプトの最初の行のcompanyパラメータを、手順1で使用したドメインに置き換えてください。

# Get the cert we just created
$cert = Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object {$_.Subject -like "*company*"}
$thumbprint = ($cert.Thumbprint | Out-String).Trim()

# Copy to NTDS through registry
$certStoreLoc = 'HKLM:/Software/Microsoft/Cryptography/Services/NTDS/SystemCertificates/My/Certificates'
if (!(Test-Path $certStoreLoc)) {
    New-Item $certStoreLoc -Force
}
Copy-Item -Path HKLM:/Software/Microsoft/SystemCertificates/My/Certificates/$thumbprint -Destination $certStoreLoc

# Copy to Trusted Root store
$rootStore = New-Object System.Security.Cryptography.X509Certificates.X509Store([System.Security.Cryptography.X509Certificates.StoreName]::Root, 'LocalMachine')
$rootStore.Open('ReadWrite')
$rootStore.Add($cert)
$rootStore.Close()
3

NTDSの再起動

NTDSサービスを再起動した後、証明書がインストールされているはずです。

Restart-Service NTDS -force
4

接続のチェック

LDP.exeを実行し、ポート636でSSLが有効になっている状態でローカルドメインに接続できることを確認します。

LDP .exeを使用して接続

最終更新