PSPasswdプラグイン
PSPasswdを使用したリモート管理者のパスワードローテーション
Keeper Secrets Managerの新しいパスワードローテーション機能がリリースされました。パスワードローテーションのどのような事例でもこの新機能の使用を推奨します。詳細については以下をご参照ください。
Keeper Secrets Managerを使用したパスワードローテーション
このプラグインを使用すると、IT管理者はリモートシステムの管理用のローカルパスワードをローテーションできます。パスワードは、広く使用されている「pspasswd」ユーティリティを使用してローテーションされ、変更はボルト内のKeeperの特定のレコードに同期されます。
このプラグインを実装するには、ドメインコントローラーにCommanderとpspasswdがインストールされている必要があります。
このREADMEの説明は、ドメインコントローラーからCommanderスクリプトを実行することを前提としています。
前提条件
各ターゲットコンピュータのリモートサービス管理の有効化
すべてのコンピュータがドメインに接続されており、ドメインコントローラーから到達可能であると仮定して、すべてのコンピュータの関連するファイアウォール規則を有効にして、ドメインの受信に対して「リモートサービス管理」を許可します。
各対象コンピュータで、Windows Firewall rules (Windowsファイアウォール規則) -> Inbound Rules (受信規則) -> Remote Service Management (リモートサービス管理) 規則の有効化に移動します。
pspasswdのインストール
MicrosoftからPSToolsパッケージをダウンロードします
PSTools.zipフォルダをコンピュータ上の任意の場所に解凍します
このPSToolsフォルダをユーザーまたはシステムの環境変数「PATH」に追加します
(System Properties (システムプロパティ) ->Advanced (詳細設定) -> Environmental Variables (環境変数))
PATHを選択してから、「Edit」 (編集) を選択します
一部のシステムでは、PSToolsをインストールした場所を追加する必要があります。例:
;C:\Users\craig\PSTools
最近のシステムでは、「New」 (新規) をクリックして、インストール先のフルパスを入力します (例: C:\Users\craig\PSTools)。
ローテーション用のレコードを準備
ローテーション用のレコードを作成
ローテーションは、従来のレコードにもタイプ指定されたレコードにも対応しています。 タイプ指定されたレコードを使用する場合は、「ログイン」タイプのフィールドが必要です。 ローテーションの種類に応じて、その他のフィールドを追加することもできます。 以下の手順をご参照ください。
従来のレコードとタイプ指定のあるレコードの詳細については、トラブルシューティングをご参照ください。
ログイン名を設定
Keeperのレコードの「ログイン」フィールドにこのローテーションで使用するログインを入力します。
レコードのホストとポートを設定
タイプ指定されていないレコードを使用する場合は、ホストとポートをカスタムフィールドに設定できます。以下をご参照ください。
その他のローテーション設定
ローテーションパラメータをカスタマイズできる値は以下のとおりです。 これらのオプションをテキストフィールドとしてレコードに追加し、表に示すように、パラメータに相当するラベルを設定します。
ラベル | 値 | コメント |
---|---|---|
cmdr:plugin | pspasswd | (任意) PSPasswdローテーションを使用するようにCommanderに指示します。 これは、レコードに設定するか、またはローテーションコマンドに指定する必要があります |
cmdr:host | ローカルアカウントが存在する (1台または複数台の) コンピュータのホスト名。レコードのホストフィールドで設定されていない場合は、ここで設定できます | |
cmdr:rules | 「大文字の数, 小文字の数, 数字の数, 記号の数」 (たとえば、4,6,3,8) | (任意) パスワード生成ルール |
ローテーション
PSPasswdでパスワードをローテーションするには、Commanderでrotate
コマンドを使用します。 コマンドにレコードタイトルもしくはUIDを渡します (複数のレコードを1度にローテーションさせるには、正規表現で--match
を使用します)。
プラグインは、こちらに示すようにコマンドに指定することも、レコードのフィールドに追加することもできます (上記のオプションを参照)。 レコードにプラグインタイプを追加すると、プラグインの異なる複数のレコードを1度にローテーションできます。
出力
ローテーションが完了すると、新しいパスワードがレコードのパスワード
フィールドに格納されます。
最終更新