macOSユーザー
Keeper Rotationを使用したローカルMacユーザーアカウントのローテーション
概要
このガイドでは、Keeper Rotationを使用して、SSHでMacOSアカウントをリモートからローテーションする方法について説明します。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること。
Keeper Secrets Managerアプリケーションが作成済みであること。
Keeper Rotationゲートウェイがすでにインストールされて動作しており、SSHを使用してMacOSデバイスと通信できること。
1. PAMマシンのクレデンシャルを設定
Keeper Rotationは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメインに参加している必要も、完全な管理者アカウントである必要もありませんが、他のアカウントのパスワードを正常に変更できる必要があります。
管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
PAMディレクトリ記録のフィールド
フィールド | 説明 |
---|---|
記録タイプ | PAMマシン |
タイトル | Keeperの記録タイトル |
ホスト名またはIPアドレス | ディレクトリMacOSデバイスのIPアドレスまたはホスト名。ゲートウェイがデバイスにインストールされている場合は、localhostを使用します。例: |
ポート | SSHポート、通常: |
SSLの使用 | 有効にする必要があります |
ログイン | LDAPローテーションを実行するアカウントのユーザー名。例: |
パスワード | 管理者アカウントのパスワード |
オペレーティングシステム | Mac OSのローテーションでは、次を使用します。 |
その他のフィールド | これらは空白のままにしておいてください |
2. PAMの設定を指定
注: PAM設定がすでに指定されている場合は、この手順を省略できます。
ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。
以下は、PAM設定記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | MacOSデバイスにSSHでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | 上記のPAMマシン記録を含む共有フォルダを選択します。 |
管理者クレデンシャル記録 | 管理者の記録を選択します。このリストはアプリケーションフォルダ内の記録にフィルタリングされます |
追加リソースクレデンシャル | プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します |
デフォルトのローテーションスケジュール | オプション |
その他のフィールド | これらは空白のままにしておいてください |
3. 1つまたは複数のPAMユーザー記録を設定
Keeper Rotationは、PAMマシン記録のクレデンシャルを使用して、ご利用の環境のPAMユーザー記録をローテーションします。
ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
PAMユーザーの記録のフィールド
フィールド | 説明 |
---|---|
記録タイプ | PAMユーザー |
タイトル | Keeperの記録タイトル |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。例: |
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
その他のフィールド | これらは空白のままにしておいてください |
4. 記録のローテーションを設定
PAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
PAMユーザーの記録に対するedit
権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、以前設定した「PAMマシン」クレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
最終更新