Active Directory
LDAPを使用したActive Directoryアカウントのリモートローテーション
概要
このガイドでは、Keeper Rotationを使用して、LDAPでActive Directoryアカウントをリモートからローテーションする方法について説明します。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること。
Keeper Secrets Managerアプリケーションが作成済みであること。
Keeper Rotationゲートウェイがすでにインストールされて動作しており、LDAPを使用してディレクトリサーバーと通信できること。
1. PAMディレクトリクレデンシャルを設定
Keeper Rotationは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメイン管理者アカウントである必要はありませんが、他のアカウントのパスワードを正常に変更できる必要があります。
管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
PAMディレクトリ記録のフィールド
フィールド | 説明 |
---|---|
記録タイプ | PAMディレクトリ |
タイトル | Keeperの記録タイトル |
ホスト名またはIPアドレス | ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例: |
ポート |
|
SSLの使用 | 有効にする必要があります |
ログイン | LDAPローテーションを実行するアカウントのユーザー名。例: |
パスワード | 管理者アカウントのパスワード |
ドメイン名 | Active Directoryのドメイン名。例: |
その他のフィールド | これらは空白のままにしておいてください |
2.PAMの設定を指定
注: PAM設定がすでに指定されている場合は、この手順を省略できます。
PAM設定によって、Keeper Gatewayはクレデンシャルに関連付けられます。このユースケースのPAM設定をまだ指定していない場合は、作成してください。ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、Active Directoryの新規設定を作成します。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | 前提条件のActive Directoryサーバーにアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | 上記のPAMディレクトリ記録を含む共有フォルダを選択します |
管理者クレデンシャル記録 | PAMディレクトリ記録を選択します。このリストはアプリケーションフォルダ内の記録にフィルタリングされます |
追加リソースクレデンシャル | プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します |
デフォルトのローテーションスケジュール | オプション |
その他のフィールド | これらは空白のままにしておいてください |
3. 1つまたは複数のPAMユーザー記録を設定
Keeper Rotationは、「PAMディレクトリ」記録のクレデンシャルを使用して、ご利用の環境の「PAMユーザー」記録をローテーションします。
ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
PAMユーザーの記録のフィールド
フィールド | 説明 |
---|---|
記録タイプ | PAMユーザー |
タイトル | Keeperの記録タイトル |
ログイン | ローテーションするアカウントのユーザー名。例: |
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
識別名 | ユーザーのLDAP DN |
その他のフィールド | これらは空白のままにしておいてください |
次のPowerShellコマンドを使用して、ユーザーの正しいDNを取得できます。 Get-ADUser -Identity bsmith -Properties DistinguishedName
4. 記録のローテーションを設定
PAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
PAMユーザーの記録に対する編集可権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、以前設定した「PAMディレクトリ」クレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
トラブルシューティング
LDAPが適切に設定されているか否かをテストする簡単な方法は、「LDP.exe」を実行して、接続をテストすることです。この接続が成功すると、Keeper Rotationも成功するはずです。
最終更新