サービス管理
Windowsサービスおよびスケジュールされたタスクの認証情報の管理
最終更新
Windowsサービスおよびスケジュールされたタスクの認証情報の管理
最終更新
KeeperPAMパスワードローテーションでWindowsサービスおよびスケジュールタスクの「log on」認証情報を自動的に管理できます。
特定のPAMユーザーレコードのローテーションが実行されると、Keeperゲートウェイは関連するPAMマシン上のすべてのサービスおよびスケジュールタスクの認証情報を更新し、サービスを再起動します。1つのPAMユーザーレコードは複数のPAMマシンレコードに関連付けることができ、サーバー群全体のサービスおよびスケジュールタスクを更新できます。
以下のタスクが既に完了していることを前提としています。
ロールに対してローテーションの強制適用が設定されている
Keeperシークレットマネージャーアプリケーションが作成されている
Keeperゲートウェイがオンラインである
KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること
WinRM: ポート5986で有効で実行中
確認方法: winrm get winrm/config
コマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、WinRM設定のページをご参照ください。
または
SSH: ポート22で有効で実行中
確認方法: ssh [your-user]@[your-machine] -p 22
コマンドを実行してSSHが実行中であることを確認します。
管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。
サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。
検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。
検出を使用しない場合は、コマンダーCLIインターフェースを通じて、pam action service
コマンドを使用して直接管理することができます。
Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。
Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。
pam gateway list
コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。
My Vault> pam gateway list
KSM Application Name (UID) Gateway Name Gateway UID Status
-------------------------- ------------ ---------------------- --------
My Application1 East Cost oVCr3n7qV8uARjwSqBQBBw ONLINE
My Application2 West Coast qSiGWa55QVaGEv3_xAO3UA ONLINE
My Application3 GovCloud 31t78gWKRQeY54l0u1sbMA ONLINE
My Application4 Tokyo 2XT9aKlYTLOyTnVlpny-dA ONLINE
PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内においてls -l
コマンドを実行するか、search
コマンドを使用することで確認できます。
また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。
pam action service
コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。
My Vault> pam action service
pam command [--options]
Command Description
--------- ------------------------------------------
list List all mappings
add Add a user and machine to the mapping
remove Remove a user and machine from the mapping
特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t service
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t task
マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t service
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t task
サービスやタスクの管理が必要なゲートウェイ、マシン、ユーザーアカウント間の現在のマッピングを表示するには、pam action service list
コマンドを使用します。
My Vault> pam action service list -g oVCr3n7qV8uARjwSqBQBBw
User Mapping
Local service user - testuser (pEFr_dJn5EAc3MT_v30DQw)
* Lureydemo.com Server (CrvdntH-f9mIcraY1InGiw) : Services, Scheduled Tasks
* Windows 2022 Server (U3fHEK2i7LIkWZAzANz2sA) : Services, Scheduled Tasks
PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから [ローテーション] ボタンをクリックします。
コマンダーから実行する場合は、pam action rotate
コマンドを使用します。
My Vault> pam action rotate -r pEFr_dJn5EAc3MT_v30DQw
Scheduled action id: +dXjf690oGKgg==
ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、pam action job-info
コマンドを実行してください。
My Vault> pam action job-info +dXjf690oGKgg== --gateway=oVCr3n7qV8uARjwSqBQBBw
Job id to check [+dXjf690oGKgg==]
Execution Details
-------------------------
Status : finished
Duration : 0:01:01.923147
Response Message : Rotation completed for record uid XXX with post-execution
Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。
サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。
対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること
KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること
[イベント ビューアー] > [Windows ログ] > [アプリケーション] イベントでエラーメッセージを確認してください。
サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること