Active Directoryプラグイン
Keeper Commanderローテーション用Active Directoryプラグイン
最終更新
Keeper Commanderローテーション用Active Directoryプラグイン
最終更新
Keeper Secrets Managerの新しいパスワードローテーション機能がリリースされました。パスワードローテーションのどのような事例でもこの新機能の使用を推奨します。詳細については以下をご参照ください。
Keeper Secrets Managerを使用したパスワードローテーション
このプラグインを使用すると、IT管理者はActive Directoryユーザーアカウントのパスワードをローテーションできます。このプラグインは、 ADサーバーにネットワークでアクセスできるすべてのシステムで実行できます。
ローテーションは、従来のレコードにもタイプ指定されたレコードにも対応しています。 タイプ指定されたレコードを使用する場合は、「パスワード」タイプのフィールドが必要です。 ローテーションの種類に応じて、その他のフィールドを追加することもできます。 以下の手順をご参照ください。
従来のレコードとタイプ指定されたレコードの詳細は、トラブルシューティング セクションをご参照ください。
タイプ指定されていないレコードを使用する場合は、ホストとポートをカスタムフィールドに設定できます。以下をご参照ください。
ローテーションのプラグインが指定されていない場合、Commanderはポート番号で使用するローテーションを推測します。 ポート389はADローテーションを使用します
ADローテーションには、以下のフィールドが必要です。ラベルを指定して各フィールドを作成し、必要な情報を入力します。
cmdr:use_ssl
TrueまたはFalse
ADサーバーへのSSL接続を使用するか否か
ローテーションパラメータをカスタマイズできる値は以下のとおりです。 これらのオプションをテキストフィールドとしてレコードに追加し、表に示すように、パラメータに相当するラベルを設定します。
cmdr:plugin
adpasswd
cmdr:host
ADサーバーのホスト名またはIPアドレス
cmdr:port
オプション: ADサーバーのポート番号。デフォルト値: 389
Active Directoryのパスワードをローテーションするには、Commanderでrotate
コマンドを使用します。 コマンドにレコードタイトルもしくはUIDを渡します (複数のレコードを1度にローテーションさせるには、正規表現で--match
を使用します)。
プラグインは、こちらに示すようにコマンドに指定することも、レコードのフィールドに追加することもできます (上記のオプションを参照)。 レコードにプラグインタイプを追加すると、プラグインの異なる複数のレコードを1度にローテーションできます。
Keeperの「Login」フィールドは、このプラグインでは使用されません。ユーザーは、cmdr:userdnカスタムフィールドで識別されます。
「ADサーバーへの接続中にエラーが発生しました」というエラーが表示された場合は、以下の手順をお試しください。
ADがTLSを使用した安全なバインドをサポートしていることを確認します。証明書は、必要に応じて自己署名にすることができます。
「パスワードの最小有効期間」グループポリシーを無効にします。デフォルトでは1日に設定されています。
ホストサーバーへの接続を検証し、アクセス可能であることを確認します。Softerra LDAPブラウザなどのツールをダウンロードして、Active Directoryに接続できるかテストします。
識別名cmdr:userdnが正しく設定されていることを確認します。完全に正確であることが必要です。正確でないと接続に失敗します。この値は、Softerra LDAPブラウザソフトウェアで確認してもよいですし、ADサーバーで以下のコマンドプロンプトユーティリティを実行してもよいです。
このシナリオでCraigとして接続する場合は、cmdr:userdnカスタムフィールドにこの正確な文字列(引用符なし)が含まれていることを確認します。
Microsoft Active Directoryでパスワードを変更するには、SSL接続が必要です。以下のリンクでは、Active Directoryへの安全な接続を設定する方法が説明されています。