編集

サービス管理

Windowsサービスおよびスケジュールされたタスクの認証情報の管理

概要

KeeperPAMパスワードローテーションでWindowsサービスおよびスケジュールタスクの「log on」認証情報を自動的に管理できます。

特定のPAMユーザーレコードのローテーションが実行されると、Keeperゲートウェイは関連するPAMマシン上のすべてのサービスおよびスケジュールタスクの認証情報を更新し、サービスを再起動します。1つのPAMユーザーレコードは複数のPAMマシンレコードに関連付けることができ、サーバー群全体のサービスおよびスケジュールタスクを更新できます。

Windowsサービス管理

要件

以下のタスクが既に完了していることを前提としています。

  • ロールに対してローテーションの強制適用が設定されている

  • Keeperシークレットマネージャーアプリケーションが作成されている

  • Keeperゲートウェイがオンラインである

  • KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること

    • WinRM: ポート5986で有効で実行中

      • 確認方法: winrm get winrm/configコマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、WinRM設定のページをご参照ください。

    • または

    • SSH: ポート22で有効で実行中

      • 確認方法: ssh [your-user]@[your-machine] -p 22コマンドを実行してSSHが実行中であることを確認します。

  • 管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。

セットアップ

サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。

リソース上でサービスおよびスケジュールタスクを管理するには、PAMマシンレコードを使用していることを確認してください。異なる種類のリソース (データベース、ディレクトリなど) を使用している場合は、同じPAMユーザーに関連付けられた別のPAMマシンリソースを作成することができます。

検出の使用

検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。

検出を使用しない場合は、コマンダーCLIインターフェースを通じて、pam action serviceコマンドを使用して直接管理することができます。

コマンダーCLIの使用

Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。

コマンダーのインストール

Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。

ゲートウェイUIDの取得

pam gateway list コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。

PAMマシンとPAMユーザーUIDの取得

PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内においてls -lコマンドを実行するか、searchコマンドを使用することで確認できます。

また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。

レコードUID

サービス管理用コマンド

pam action service コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。

サービスの追加

特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。

サービスの削除

マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。

マッピングの一覧表示

サービスやタスクの管理が必要なゲートウェイ、マシン、ユーザーアカウント間の現在のマッピングを表示するには、pam action service list コマンドを使用します。

サービス更新の発動

PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから [ローテーション] ボタンをクリックします。

Windows認証情報をローテーション

コマンダーから実行する場合は、pam action rotateコマンドを使用します。

ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、pam action job-infoコマンドを実行してください。

トラブルシューティング

サービスの再起動

Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。

サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。

  • 対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること

  • KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること

  • [イベント ビューアー] > [Windows ログ] > [アプリケーション] イベントでエラーメッセージを確認してください。

  • サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること

前へCisco Meraki次へポストローテーションスクリプト

最終更新