Windowsユーザー
ローカルネットワークでのWindowsユーザーアカウントのローテーション
最終更新
ローカルネットワークでのWindowsユーザーアカウントのローテーション
最終更新
本ページでは、Keeperローテーションを使用して、ローカルネットワーク内でWindowsユーザーアカウントをローテーションする方法を取り扱います。ローカルネットワーク内でのローテーションプロセスの概要については、こちらのをご参照ください。
以下がすでに実行されていることを前提としています。
Keeperゲートウェイは、WinRMまたはSSHを通じて対象マシンと通信できます。
SSH: ポート22で実行
確認方法: ssh [your-user]@[your-machine] -p 22
を実行してSSHが実行されていることを確認します。
Keeperローテーションでは、管理者認証情報を使用して、ローカル環境内の他のアカウントの認証情報がローテーションされます。これらの管理者認証情報には、他のアカウントの認証情報を正常に変更するための十分な権限が求められます。
本ページでは、管理者認証情報をPAMマシンレコードに格納します。
以下は、PAMマシンレコードの必須フィールドとなります。
タイトル
レコードの名前 (例: Local Windows Admin)
ホスト名またはIPアドレス
ゲートウェイ (内部) または「localhost」がアクセスするマシンのホスト名またはIP
ポート
SSHは22、WinRMは5985 (HTTP) または5986 (HTTPS)
管理者認証情報
ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みのPAMユーザーレコード。
タイトル
構成名 (例: Windows LAN Configuration
)
環境
Local Network
を選択
ゲートウェイ
Keeperシークレットマネージャーのアプリケーションで設定されており、WindowsデバイスへのSSHアクセス権を持つゲートウェイを選択します。
アプリケーションフォルダ
PAM構成を保存する共有フォルダを選択してください。マシンのリソースではなく、PAMユーザーのレコードが保存されている共有フォルダに配置することを推奨します。
Keeperローテーションにより、PAMマシンレコードの認証情報を使用して、ローカル環境のPAMユーザーレコードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
レコードタイプ
PAMユーザー
タイトル
Keeperのレコードタイトル
ログイン
ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。例: msmith
パスワード
アカウントパスワードはオプションです。空白の場合はローテーションで設定されます。
手順3のPAMユーザーレコードを選択し、編集して [パスワードローテーション設定] を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定] では、以前に設定したPAM構成を使用する必要があります。
[リソースクレデンシャル] フィールドで、手順1で設定されたPAMマシン認証情報を選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。
PAMユーザーのレコードに対するedit
権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
PAMユーザーとして実行されている Windows サービスに対し、「log on as」アカウントの認証情報を自動的に更新し、サービスを再起動することが可能です。さらに、対象マシン上で同じユーザーによって実行されるタスクスケジューラの認証情報も自動で更新されます。
に対してKeeperシークレットマネージャーが有効になっていること。
Keeperローテーションがご利用のに対して有効になっていること。
Keeperシークレットマネージャーが作成済みであること。
Keeperローテーションがすでにインストールされており、オンラインになっていること。
WinRM: ポート5986で実行
確認方法: winrm get winrm/config
を実行してWinRMが実行されていることを確認します。詳しくはをご覧ください。
詳しくは、「」ページをご覧ください。
注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。
新しいPAM構成を作成する場合は、Keeperボルトにログインし、左側のメニューから [シークレットマネージャー]、[PAM構成] タブの順に選択して、[新規構成] をクリックします。 以下は、PAM構成レコードの必須フィールドとなります。