サービス管理

Windowsサービスおよびスケジュールされたタスクの認証情報の管理

概要

KeeperPAMパスワードローテーションでWindowsサービスおよびスケジュールタスクの「log on」認証情報を自動的に管理できます。

特定のPAMユーザーレコードのローテーションが実行されると、Keeperゲートウェイは関連するPAMマシン上のすべてのサービスおよびスケジュールタスクの認証情報を更新し、サービスを再起動します。1つのPAMユーザーレコードは複数のPAMマシンレコードに関連付けることができ、サーバー群全体のサービスおよびスケジュールタスクを更新できます。

Windowsサービス管理

要件

以下のタスクが既に完了していることを前提としています。

  • ロールに対してローテーションの強制適用が設定されている

  • Keeperシークレットマネージャーアプリケーションが作成されている

  • Keeperゲートウェイがオンラインである

  • KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること

    • WinRM: ポート5986で有効で実行中

      • 確認方法: winrm get winrm/configコマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、WinRM設定のページをご参照ください。

    • または

    • SSH: ポート22で有効で実行中

      • 確認方法: ssh [your-user]@[your-machine] -p 22コマンドを実行してSSHが実行中であることを確認します。

  • 管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。

セットアップ

サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。

リソース上でサービスおよびスケジュールタスクを管理するには、PAMマシンレコードを使用していることを確認してください。異なる種類のリソース (データベース、ディレクトリなど) を使用している場合は、同じPAMユーザーに関連付けられた別のPAMマシンリソースを作成することができます。

検出の使用

検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。

検出を使用しない場合は、コマンダーCLIインターフェースを通じて、pam action serviceコマンドを使用して直接管理することができます。

コマンダーCLIの使用

Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。

コマンダーのインストール

Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。

ゲートウェイUIDの取得

pam gateway list コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。

My Vault> pam gateway list

KSM Application Name (UID)   Gateway Name    Gateway UID             Status
--------------------------   ------------    ----------------------  --------
My Application1              East Cost       oVCr3n7qV8uARjwSqBQBBw  ONLINE
My Application2              West Coast      qSiGWa55QVaGEv3_xAO3UA  ONLINE
My Application3              GovCloud        31t78gWKRQeY54l0u1sbMA  ONLINE
My Application4              Tokyo           2XT9aKlYTLOyTnVlpny-dA  ONLINE

PAMマシンとPAMユーザーUIDの取得

PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内においてls -lコマンドを実行するか、searchコマンドを使用することで確認できます。

また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。

レコードUID

サービス管理用コマンド

pam action service コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。

My Vault> pam action service
pam command [--options]

Command    Description
---------  ------------------------------------------
list       List all mappings
add        Add a user and machine to the mapping
remove     Remove a user and machine from the mapping

サービスの追加

特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。

pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t service
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t task

サービスの削除

マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。

pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t service
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t task

マッピングの一覧表示

サービスやタスクの管理が必要なゲートウェイ、マシン、ユーザーアカウント間の現在のマッピングを表示するには、pam action service list コマンドを使用します。

My Vault> pam action service list -g oVCr3n7qV8uARjwSqBQBBw

User Mapping
  Local service user - testuser (pEFr_dJn5EAc3MT_v30DQw)
    * Lureydemo.com Server (CrvdntH-f9mIcraY1InGiw) : Services, Scheduled Tasks
    * Windows 2022 Server  (U3fHEK2i7LIkWZAzANz2sA) : Services, Scheduled Tasks

サービス更新の発動

PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから [ローテーション] ボタンをクリックします。

Windows認証情報をローテーション

コマンダーから実行する場合は、pam action rotateコマンドを使用します。

My Vault> pam action rotate -r pEFr_dJn5EAc3MT_v30DQw
Scheduled action id: +dXjf690oGKgg==

ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、pam action job-infoコマンドを実行してください。

My Vault> pam action job-info +dXjf690oGKgg== --gateway=oVCr3n7qV8uARjwSqBQBBw
Job id to check [+dXjf690oGKgg==]

Execution Details
-------------------------
Status              : finished
Duration            : 0:01:01.923147
Response Message    : Rotation completed for record uid XXX with post-execution

トラブルシューティング

サービスの再起動

Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。

サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。

  • 対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること

  • KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること

  • [イベント ビューアー] > [Windows ログ] > [アプリケーション] イベントでエラーメッセージを確認してください。

  • サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること

前へCisco Meraki次へポストローテーションスクリプト

最終更新