Active Directory
LDAPを使用したActive Directoryアカウントのリモートローテーション
最終更新
LDAPを使用したActive Directoryアカウントのリモートローテーション
最終更新
このガイドでは、Keeperローテーションを使用して、LDAPでActive Directoryアカウントをリモートからローテーションする方法について説明します。
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること。
Keeperシークレットマネージャーアプリケーションが作成済みであること。
Keeperローテーションゲートウェイがすでにインストールされて動作しており、LDAPを使用してディレクトリサーバーと通信できること。
Keeperローテーションは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメイン管理者アカウントである必要はありませんが、他のアカウントのパスワードを正常に変更できる必要があります。
管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
| フィールド | 説明 |
|---|---|
レコードタイプ | PAMディレクトリ |
タイトル | Keeperのレコードタイトル |
ホスト名またはIPアドレス | ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例: |
ポート |
|
SSLの使用 | 有効にする必要があります |
ログイン | LDAPローテーションを実行するアカウントのユーザー名。例: |
パスワード | 管理者アカウントのパスワード |
ドメイン名 | Active Directoryのドメイン名。例: |
その他のフィールド | これらは空白のままにしておいてください |
注: PAM設定がすでに指定されている場合は、この手順を省略できます。
PAM設定によって、Keeper Gatewayはクレデンシャルに関連付けられます。このユースケースのPAM設定をまだ指定していない場合は、作成してください。ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、Active Directoryの新規設定を作成します。
| フィールド | 説明 |
|---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | 前提条件のActive Directoryサーバーにアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | 上記のPAMディレクトリレコードを含む共有フォルダを選択します |
管理者クレデンシャルレコード | PAMディレクトリレコードを選択します。このリストはアプリケーションフォルダ内のレコードにフィルタリングされます |
追加リソースクレデンシャル | プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します |
デフォルトのローテーションスケジュール | オプション |
その他のフィールド | これらは空白のままにしておいてください |
Keeperローテーションは、「PAMディレクトリ」レコードのクレデンシャルを使用して、ご利用の環境の「PAMユーザー」レコードをローテーションします。
ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
| フィールド | 説明 |
|---|---|
レコードタイプ | PAMユーザー |
タイトル | Keeperのレコードタイトル |
ログイン | ローテーションするアカウントのユーザー名。例: |
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
識別名 | ユーザーのLDAP DN |
その他のフィールド | これらは空白のままにしておいてください |
次のPowerShellコマンドを使用して、ユーザーの正しいDNを取得できます。 Get-ADUser -Identity bsmith -Properties DistinguishedName
PAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。
PAMユーザーのレコードに対する編集可権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、以前設定した「PAMディレクトリ」クレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
LDAPが適切に設定されているか否かをテストする簡単な方法は、「LDP.exe」を実行して、接続をテストすることです。この接続が成功すると、Keeper Rotationも成功するはずです。
