WinRPCを使用したPowerShellの例
直接Service Controlを使用してWindowsサービスの「Log on as」認証情報を更新するためのPAMスクリプト
最終更新
直接Service Controlを使用してWindowsサービスの「Log on as」認証情報を更新するためのPAMスクリプト
最終更新
以下のPowerShellコード例は、Keeperローテーションを使用してパスワードが更新された後に、Windowsサービスの「ログオンアズ」資格情報を直接Service Control (sc.exe) を使用して更新します。
Invoke-Methodを使用したPowerShellの例を使用する方法を推奨します。この方法では、確立されたPSSessionを介してターゲットシステム上で直接Service Control (sc.exe) を呼び出すことができます。
この例では、「Service Control」を使用してWindowsベースのターゲットシステムに接続し、ネイティブの (sc.exe) コマンドレット (「Get-Service」や「Set-Service」など) を利用して、ターゲットWindowsサービスの「Log on as」認証情報を管理します。
さらに、現在のPAMユーザーレコードを選択して、「ローテーションクレデンシャル」レコードをもう1つ含めます。
以下は結果として得られるPAMスクリプト設定画面です。
以下のPowerShellスクリプトを開いてコピーし、任意のファイル名で「.ps1」として保存します。この例では、スクリプトのファイル名を「rotate_service_cred.ps1
」としました。このスクリプトをPAMユーザーレコードの「PAMスクリプト」セクションに添付します。
以下は、結果として得られるボルト内のレコード設定となります。
PAMユーザーレコードに「remotecomp
」と「service
」という2つのカスタムテキストフィールドを追加します。「remotecomp
」フィールドには、サービスを実行しているターゲットシステムのDNS名を入力します。この例では、「EC2AMAZ-A0GBNDM」がターゲットシステムの名前となります。管理しているWindowsサービスがKeeperゲートウェイホストに対してローカルである場合は、「remotecomp
」フィールドに「localhost」を使用します。「service
」フィールドには、サービスの「Service Name」を入力します (「Display Name」ではありません)。この例では、「Service Name」は「SNMPTRAP」となります。
手順に従うと、Keeperのパスワードローテーションと同様に、[ローテーションする]ボタンを使用して、スクリプトを「オンデマンド」で実行してテストできます。また、「パスワードローテーション設定」でスクリプトのスケジュールを設定することもできます。