パスワードローテーション
Keeperコマンダープラグインを使用したリモートシステムのパスワードのローテーション
Keeperシークレットマネージャーの新しいパスワードローテーション機能がリリースされました。この新機能は、パスワードローテーションのすべてのユースケースに推奨されます。そのドキュメントは以下にリンクされています。
Keeperシークレットマネージャーを使用したパスワードローテーション
コマンダー KeeperPAMコマンド
パスワードローテーション
Keeperコマンダーには、パスワードのローテーションとKeeper ボルトへの変更の同期のために、内部および外部のシステムと通信できる機能があります。これは、カスタムフィールドを使用して、Keeperのレコードを物理システムに関連付けることで実現します。たとえば、MySQLパスワード、Active Directoryパスワード、管理者のローカルパスワードを自動的にローテーションさせることをお勧めします。
タイプ指定されたレコード
レコードをタイプ指定すると、コマンダーのローテーションが容易になります。 コマンダーはフィールドをスキャンし、ローテーションの種類と接続の詳細についてインテリジェントな判断を行うことができます。 標準の「SSH鍵」タイプや「サーバー」タイプなどのレコードタイプを使用すると、ローテーション可能なレコードの作成が簡単になります。
各ローテーションプラグインの要件は若干異なります。詳細は、このページの下に階層化された、左側のプラグインリストから選択してください。
コマンダーは、レコードに指定された値に基づいて、使用するローテーションの種類を自動的に識別します。たとえば、PORT値が22のレコードでは、デフォルトでSSHローテーションプラグインが使用されます。 ローテーションプラグインは、ローテーション中またはカスタムレコードフィールドで指定することもできます。
必要に応じて、すべてのレコードでカスタムフィールドをローテーションの設定として使用できます。カスタムフィールドの例については、下記の表をご参照ください。
タイプ指定されたレコードとタイプ指定されていないレコードの違いについては、トラブルシューティングセクションをご参照ください。
タイプ指定されていないレコード
タイプ指定されていない古いレコードでは、コマンダーローテーションをサポートするために追加設定がいくつか必要です。
ローテーションプラグインをサポートするには、一連のカスタムフィールド値をKeeperのレコードに追加するだけです。カスタムフィールドの値は、どのプラグインを使用するか、およびパスワードをローテーションするときにどのシステムと通信するかをコマンダーに指示します。カスタムフィールドを使用するようにKeeperのレコードを変更するには、ウェブボルトまたはデスクトップアプリでKeeperにログインします。
MySQLパスワードローテーション用のカスタムフィールドの例
カスタムフィールド名
カスタムフィールド値
cmdr:plugin
mysql
cmdr:host
192.168.1.55
cmdr:db
testing
タイプ指定されたレコードは、カスタムレコードフィールドもサポートしています。 古いレコードをタイプ指定されたレコードに変換すれば (フィールドは変更しない)、コマンダーローテーションで使用できるようになります。
レコードにプラグインが指定されている場合、コマンダーはplugins/フォルダ内を検索し、指定された名前 (mysql.pyなど) に基づいてモジュールを読み込みます。次に、Keeperのレコードの値を使用して接続し、パスワードをローテーションして、結果のデータを保存します。
利用可能なすべてのプラグインについては、pluginsフォルダをご確認ください。Keeperのチームは、新しいプラグインを継続的に追加しています。特定のプラグインを作成する必要がある場合は、commander@keepersecurity.comまでメールでご相談ください。
対応プラグイン
Githubの場所
https://github.com/Keeper-Security/Commander/tree/master/keepercommander/plugins
プラグインの有効化
Keeperの特定のレコードのプラグインを有効化するには、まず、コマンダーで使用される特別なキーワードを使用して、そのレコードのカスタムフィールドを更新する必要があります。カスタムフィールドの要件については、個別のプラグインをご参照ください。
ローテーションを実行するには、_rotate
_コマンドを使用します。
Keeperのチームは、プラグインの数を継続的に増やしています。特定のプラグインを作成または変更する必要がある場合は、commander@keepersecurity.comまでメールでご相談ください。
最終更新