Active Directory

LDAPを使用したActive Directoryアカウントのリモートローテーション

LDAPを使用したActive Directoryローカルネットワークのローテーション

概要

このガイドでは、Keeperローテーションを使用して、LDAPでActive Directoryアカウントをリモートからローテーションする方法について説明します。

前提条件

このガイドでは、以下の作業がすでに実行されていることを前提としています。

  • Keeperシークレットマネージャーが企業およびロールに対して有効になっていること。

  • Keeperローテーションがご利用のロールに対して有効になっていること。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること。

  • Keeperローテーションゲートウェイがすでにインストールされて動作しており、LDAPを使用してディレクトリサーバーと通信できること。

1. PAMディレクトリクレデンシャルを設定

Keeperローテーションは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメイン管理者アカウントである必要はありませんが、他のアカウントのパスワードを正常に変更できる必要があります。

管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。

PAMディレクトリ記録の正しい入力

PAMディレクトリレコードのフィールド

フィールド
説明

レコードタイプ

PAMディレクトリ

タイトル

Keeperのレコードタイトル

ホスト名またはIPアドレス

ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例:10.10.10.10dc01.mydomain.local

ポート

636 - LDAPSはローテーションに必要です。注意:ポート389経由のLDAPは安全ではなく、クレデンシャルのローテーションをサポートしません。

SSLの使用

有効にする必要があります

ログイン

LDAPローテーションを実行するアカウントのユーザー名。例: rotationadmin

パスワード

管理者アカウントのパスワード

ドメイン名

Active Directoryのドメイン名。例: mydomain.local

その他のフィールド

これらは空白のままにしておいてください

2. PAMの設定を指定

注: PAM設定がすでに指定されている場合は、この手順を省略できます。

PAM設定によって、Keeper Gatewayはクレデンシャルに関連付けられます。このユースケースのPAM設定をまだ指定していない場合は、作成してください。ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、Active Directoryの新規設定を作成します。

フィールド
説明

タイトル

設定名、例:LDAP Rotation

環境

選択:Local Network

ゲートウェイ

前提条件のActive Directoryサーバーにアクセスできるゲートウェイを選択します

アプリケーションフォルダ

上記のPAMディレクトリレコードを含む共有フォルダを選択します

管理者クレデンシャルレコード

PAMディレクトリレコードを選択します。このリストはアプリケーションフォルダ内のレコードにフィルタリングされます

追加リソースクレデンシャル

プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します

デフォルトのローテーションスケジュール

オプション

その他のフィールド

これらは空白のままにしておいてください

3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションは、「PAMディレクトリ」レコードのクレデンシャルを使用して、ご利用の環境の「PAMユーザー」レコードをローテーションします。

ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

正しく入力したPAMユーザーレコード

PAMユーザーのレコードのフィールド

フィールド
説明

レコードタイプ

PAMユーザー

タイトル

Keeperのレコードタイトル

ログイン

ローテーションするアカウントのユーザー名。例: bsmith

パスワード

アカウントパスワードはオプションです。空白の場合はローテーションで設定されます

識別名

ユーザーのLDAP DN

その他のフィールド

これらは空白のままにしておいてください

次のPowerShellコマンドを使用して、ユーザーの正しいDNを取得できます。 Get-ADUser -Identity bsmith -Properties DistinguishedName

4. レコードのローテーションを設定

PAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。

PAMユーザーのレコードに対する編集可権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

パスワードローテーション設定
  • 適切なスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。

  • [リソースクレデンシャル]フィールドで、以前設定した「PAMディレクトリ」クレデンシャルを選択する必要があります。

  • 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

トラブルシューティング

LDAPが適切に設定されているか否かをテストする簡単な方法は、「LDP.exe」を実行して、接続をテストすることです。この接続が成功すると、Keeper Rotationも成功するはずです。

LDP.exeを使用したLDAP接続のテスト

最終更新