Windowsユーザー

概要

本ページでは、Keeperローテーションを使用して、ローカルネットワーク内でWindowsユーザーアカウントをローテーションする方法を取り扱います。ローカルネットワーク内でのローテーションプロセスの概要については、こちらのページをご参照ください。

要件

以下がすでに実行されていることを前提としています。

• ロールに対してKeeperシークレットマネージャーが有効になっていること。

• Keeperローテーションがご利用のロールに対して有効になっていること。

• Keeperシークレットマネージャーアプリケーションが作成済みであること。

• Keeperローテーションゲートウェイがすでにインストールされており、オンラインになっていること。

• Keeperゲートウェイは、WinRMまたはSSHを通じて対象マシンと通信できます。

  • WinRM: ポート5986で実行 確認方法: winrm get winrm/configを実行してWinRMが実行されていることを確認します。詳しくはWinRMの設定ページをご覧ください。

  • SSH: ポート22で実行 確認方法: ssh [your-user]@[your-machine] -p 22を実行してSSHが実行されていることを確認します。

1. PAMマシンレコードを設定

Keeperローテーションでは、管理者認証情報を使用して、ローカル環境内の他のアカウントの認証情報がローテーションされます。これらの管理者認証情報には、他のアカウントの認証情報を正常に変更するための十分な権限が求められます。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下は、PAMマシンレコードの必須フィールドとなります。

2. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しいPAM構成を作成する場合は、Keeperボルトにログインし、左側のメニューから [シークレットマネージャー]、[PAM構成] タブの順に選択して、[新規構成] をクリックします。 以下は、PAM構成レコードの必須フィールドとなります。

3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションにより、PAMマシンレコードの認証情報を使用して、ローカル環境のPAMユーザーレコードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

4. レコードのローテーションを設定 - Windowsユーザー

手順3のPAMユーザーレコードを選択し、編集して [パスワードローテーション設定] を開きます。

• 適切なスケジュールとパスワードの複雑さを選択します。

• [ローテーション設定] では、以前に設定したPAM構成を使用する必要があります。

• [リソースクレデンシャル] フィールドで、手順1で設定されたPAMマシン認証情報を選択する必要があります。

• 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。

PAMユーザーのレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

サービス管理

PAMユーザーとして実行されている Windows サービスに対し、「log on as」アカウントの認証情報を自動的に更新し、サービスを再起動することが可能です。さらに、対象マシン上で同じユーザーによって実行されるタスクスケジューラの認証情報も自動で更新されます。

詳しくは、「サービス管理」ページをご覧ください。