PSPasswdプラグイン

PSPasswdを使用したリモート管理者のパスワードローテーション

Keeper Secrets Managerの新しいパスワードローテーション機能がリリースされました。パスワードローテーションのどのような事例でもこの新機能の使用を推奨します。詳細については以下をご参照ください。

このプラグインを使用すると、IT管理者はリモートシステムの管理用のローカルパスワードをローテーションできます。パスワードは、広く使用されている「pspasswd」ユーティリティを使用してローテーションされ、変更はボルト内のKeeperの特定の記録に同期されます。

このプラグインを実装するには、ドメインコントローラーにCommanderとpspasswdがインストールされている必要があります。

このREADMEの説明は、ドメインコントローラーからCommanderスクリプトを実行することを前提としています。

前提条件

各ターゲットコンピュータのリモートサービス管理の有効化

すべてのコンピュータがドメインに接続されており、ドメインコントローラーから到達可能であると仮定して、すべてのコンピュータの関連するファイアウォール規則を有効にして、ドメインの受信に対して「リモートサービス管理」を許可します。

各対象コンピュータで、Windows Firewall rules (Windowsファイアウォール規則) -> Inbound Rules (受信規則) -> Remote Service Management (リモートサービス管理) 規則の有効化に移動します。

pspasswdのインストール

  • MicrosoftからPSToolsパッケージをダウンロードします

  • PSTools.zipフォルダをコンピュータ上の任意の場所に解凍します

  • このPSToolsフォルダをユーザーまたはシステムの環境変数「PATH」に追加します

    (System Properties (システムプロパティ) ->Advanced (詳細設定) -> Environmental Variables (環境変数))

    PATHを選択してから、「Edit」 (編集) を選択します

    一部のシステムでは、PSToolsをインストールした場所を追加する必要があります。例:

    ;C:\Users\craig\PSTools

    最近のシステムでは、「New」 (新規) をクリックして、インストール先のフルパスを入力します (例: C:\Users\craig\PSTools)。

ローテーション用の記録を準備

ローテーション用の記録を作成

ローテーションは、従来の記録にもタイプ指定された記録にも対応しています。 タイプ指定された記録を使用する場合は、「ログイン」タイプのフィールドが必要です。 ローテーションの種類に応じて、その他のフィールドを追加することもできます。 以下の手順をご参照ください。

従来の記録とタイプ指定のある記録の詳細については、トラブルシューティングをご参照ください。

ログイン名を設定

Keeperの記録の「ログイン」フィールドにこのローテーションで使用するログインを入力します。

記録のホストとポートを設定

タイプ指定されていない記録を使用する場合は、ホストとポートをカスタムフィールドに設定できます。以下をご参照ください。

その他のローテーション設定

ローテーションパラメータをカスタマイズできる値は以下のとおりです。 これらのオプションをテキストフィールドとして記録に追加し、表に示すように、パラメータに相当するラベルを設定します。

ラベルコメント

cmdr:plugin

pspasswd

(任意) PSPasswdローテーションを使用するようにCommanderに指示します。 これは、記録に設定するか、またはローテーションコマンドに指定する必要があります

cmdr:host

ローカルアカウントが存在する (1台または複数台の) コンピュータのホスト名。記録のホストフィールドで設定されていない場合は、ここで設定できます

cmdr:rules

「大文字の数, 小文字の数, 数字の数, 記号の数」

(たとえば、4,6,3,8)

(任意) パスワード生成ルール

ローテーション

PSPasswdでパスワードをローテーションするには、Commanderでrotateコマンドを使用します。 コマンドに記録タイトルもしくはUIDを渡します (複数の記録を1度にローテーションさせるには、正規表現で--matchを使用します)。

rotate "My Azure Credentials" --plugin pspasswd

プラグインは、こちらに示すようにコマンドに指定することも、記録のフィールドに追加することもできます (上記のオプションを参照)。 記録にプラグインタイプを追加すると、プラグインの異なる複数の記録を1度にローテーションできます。

出力

ローテーションが完了すると、新しいパスワードが記録のパスワードフィールドに格納されます。

最終更新