サービス管理
Windowsサービスおよびスケジュールされたタスクの認証情報の管理
概要
KeeperPAMパスワードローテーションでWindowsサービスおよびスケジュールタスクの「log on」認証情報を自動的に管理できます。
特定のPAMユーザーレコードのローテーションが実行されると、Keeperゲートウェイは関連するPAMマシン上のすべてのサービスおよびスケジュールタスクの認証情報を更新し、サービスを再起動します。1つのPAMユーザーレコードは複数のPAMマシンレコードに関連付けることができ、サーバー群全体のサービスおよびスケジュールタスクを更新できます。
要件
以下のタスクが既に完了していることを前提としています。
ロールに対してローテーションの強制適用が設定されている
Keeperシークレットマネージャーアプリケーションが作成されている
Keeperゲートウェイがオンラインである
KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること
WinRM: ポート5986で有効で実行中
確認方法:
winrm get winrm/configコマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、WinRM設定のページをご参照ください。
または
SSH: ポート22で有効で実行中
確認方法:
ssh [your-user]@[your-machine] -p 22コマンドを実行してSSHが実行中であることを確認します。
管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。
セットアップ
サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。
検出の使用
検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。
検出を使用しない場合は、コマンダーCLIインターフェースを通じて、pam action serviceコマンドを使用して直接管理することができます。
コマンダーCLIの使用
Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。
コマンダーのインストール
Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。
ゲートウェイUIDの取得
pam gateway list コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。
My Vault> pam gateway list
KSM Application Name (UID) Gateway Name Gateway UID Status
-------------------------- ------------ ---------------------- --------
My Application1 East Cost oVCr3n7qV8uARjwSqBQBBw ONLINE
My Application2 West Coast qSiGWa55QVaGEv3_xAO3UA ONLINE
My Application3 GovCloud 31t78gWKRQeY54l0u1sbMA ONLINE
My Application4 Tokyo 2XT9aKlYTLOyTnVlpny-dA ONLINEPAMマシンとPAMユーザーUIDの取得
PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内においてls -lコマンドを実行するか、searchコマンドを使用することで確認できます。
また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。
サービス管理用コマンド
pam action service コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。
My Vault> pam action service
pam command [--options]
Command Description
--------- ------------------------------------------
list List all mappings
add Add a user and machine to the mapping
remove Remove a user and machine from the mappingサービスの追加
特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t service
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t taskサービスの削除
マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t service
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t taskマッピングの一覧表示
サービスやタスクの管理が必要なゲートウェイ、マシン、ユーザーアカウント間の現在のマッピングを表示するには、pam action service list コマンドを使用します。
My Vault> pam action service list -g oVCr3n7qV8uARjwSqBQBBw
User Mapping
Local service user - testuser (pEFr_dJn5EAc3MT_v30DQw)
* Lureydemo.com Server (CrvdntH-f9mIcraY1InGiw) : Services, Scheduled Tasks
* Windows 2022 Server (U3fHEK2i7LIkWZAzANz2sA) : Services, Scheduled Tasksサービス更新の発動
PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから [ローテーション] ボタンをクリックします。
コマンダーから実行する場合は、pam action rotateコマンドを使用します。
My Vault> pam action rotate -r pEFr_dJn5EAc3MT_v30DQw
Scheduled action id: +dXjf690oGKgg==ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、pam action job-infoコマンドを実行してください。
My Vault> pam action job-info +dXjf690oGKgg== --gateway=oVCr3n7qV8uARjwSqBQBBw
Job id to check [+dXjf690oGKgg==]
Execution Details
-------------------------
Status : finished
Duration : 0:01:01.923147
Response Message : Rotation completed for record uid XXX with post-executionトラブルシューティング
サービスの再起動
Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。
サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。
対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること
KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること
[イベント ビューアー] > [Windows ログ] > [アプリケーション] イベントでエラーメッセージを確認してください。
サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること
最終更新