Active Directory
LDAPを使用したActive Directoryアカウントのリモートローテーション
最終更新
LDAPを使用したActive Directoryアカウントのリモートローテーション
最終更新
このガイドでは、Keeperローテーションを使用して、LDAPでActive Directoryアカウントをリモートからローテーションする方法について説明します。
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること。
Keeperシークレットマネージャーアプリケーションが作成済みであること。
Keeperローテーションゲートウェイがすでにインストールされて動作しており、LDAPを使用してディレクトリサーバーと通信できること。
Keeperローテーションは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメイン管理者アカウントである必要はありませんが、他のアカウントのパスワードを正常に変更できる必要があります。
管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
レコードタイプ
PAMディレクトリ
タイトル
Keeperのレコードタイトル
ホスト名またはIPアドレス
ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例:10.10.10.10
、dc01.mydomain.local
ポート
636
- LDAPSはローテーションに必要です。注意:ポート389
経由のLDAPは安全ではなく、クレデンシャルのローテーションをサポートしません。
SSLの使用
有効にする必要があります
ログイン
LDAPローテーションを実行するアカウントのユーザー名。例: rotationadmin
パスワード
管理者アカウントのパスワード
ドメイン名
Active Directoryのドメイン名。例: mydomain.local
その他のフィールド
これらは空白のままにしておいてください
注: PAM設定がすでに指定されている場合は、この手順を省略できます。
PAM設定によって、Keeper Gatewayはクレデンシャルに関連付けられます。このユースケースのPAM設定をまだ指定していない場合は、作成してください。ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、Active Directoryの新規設定を作成します。
タイトル
設定名、例:LDAP Rotation
環境
選択:Local Network
ゲートウェイ
前提条件のActive Directoryサーバーにアクセスできるゲートウェイを選択します
アプリケーションフォルダ
上記のPAMディレクトリレコードを含む共有フォルダを選択します
管理者クレデンシャルレコード
PAMディレクトリレコードを選択します。このリストはアプリケーションフォルダ内のレコードにフィルタリングされます
追加リソースクレデンシャル
プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します
デフォルトのローテーションスケジュール
オプション
その他のフィールド
これらは空白のままにしておいてください
Keeperローテーションは、「PAMディレクトリ」レコードのクレデンシャルを使用して、ご利用の環境の「PAMユーザー」レコードをローテーションします。
ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
レコードタイプ
PAMユーザー
タイトル
Keeperのレコードタイトル
ログイン
ローテーションするアカウントのユーザー名。例: bsmith
パスワード
アカウントパスワードはオプションです。空白の場合はローテーションで設定されます
識別名
ユーザーのLDAP DN
その他のフィールド
これらは空白のままにしておいてください
次のPowerShellコマンドを使用して、ユーザーの正しいDNを取得できます。 Get-ADUser -Identity bsmith -Properties DistinguishedName
PAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。
PAMユーザーのレコードに対する編集可権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、以前設定した「PAMディレクトリ」クレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
LDAPが適切に設定されているか否かをテストする簡単な方法は、「LDP.exe」を実行して、接続をテストすることです。この接続が成功すると、Keeper Rotationも成功するはずです。