Windowsユーザー

ローカルネットワークでのWindowsユーザーアカウントのローテーション

概要

このガイドでは、Keeperローテーションを使用して、ローカルネットワーク内のWindowsユーザーアカウントをローテーションする方法について説明します。ローカルネットワークでのローテーションプロセスの大まかな概要は、こちらのページをご参照ください。

前提条件

このガイドでは、以下の作業がすでに実行されていることを前提としています。

  • Keeperシークレットマネージャーが企業およびロールに対して有効になっていること。

  • Keeperローテーションがご利用のロールに対して有効になっていること。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること。

  • Keeperローテーションゲートウェイがすでにインストールされており、オンラインになっていること。

  • 接続方式

    以下の方式からいずれかを選んで、対象のWindowsマシンで有効にします。

    • WinRM: ポート5986で実行 確認方法: winrm get winrm/configを実行してWinRMが実行されていることを確認します。

    • SSH: ポート22で実行 確認方法: ssh [your-user]@[your-machine] -p 22を実行してSSHが実行されていることを確認します。

1. PAMマシンレコードを設定

Keeperローテーションは、管理者のクレデンシャルを使用して、ローカル環境内の他のアカウントのクレデンシャルをローテーションします。これらの管理者のクレデンシャルには、他のアカウントのクレデンシャルを正常に変更するための十分な権限が必要です。

このガイドでは、管理者のクレデンシャルをPAMマシンレコードに格納します。

以下は、PAMマシンレコードの必須フィールドとなります。

フィールド
説明

タイトル

レコードの名前 例:「Local Windows Admin」

ホスト名またはIPアドレス

ゲートウェイ (内部) または「localhost」がアクセスするマシンのホスト名またはIP

ポート

SSHは22、WinRMは5985 (HTTP) または5986 (HTTPS)

ログイン

管理者アカウントのユーザー名

パスワード

WinRMで必須

設定でパスワードが必要な場合、SSHではオプション。パスワードが不要の場合はPEM鍵を使用できます。 注意:次の文字は使用が制限されています。" '

PEM秘密鍵

パスワードを使用しない場合、SSHでは必須

管理者のクレデンシャルを含むこのPAMマシンレコードは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。

2. PAMの設定を指定

ローカル環境のPAM設定が作成済みの場合は、Windowsユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。

新しいPAM設定を作成する場合は、Keeperボルトにログインし、左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定レコードの必須フィールドとなります。

フィールド
説明

タイトル

設定名、例:Windows LAN Configuration

環境

選択:Local Network

ゲートウェイ

Keeperシークレットマネージャーアプリケーションで設定され、WindowsデバイスにSSHでアクセスできるゲートウェイを選択します

アプリケーションフォルダ

手順1のPAMマシンレコードを含む共有フォルダを選択します。

管理者クレデンシャルレコード

手順1で作成したPAMマシンレコードを選択します。 これは、管理者のクレデンシャルが格納された、クレデンシャルをローテーションするための十分な権限を持つレコードです

3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションは、PAMマシンレコードのクレデンシャルを使用して、ローカル環境のPAMユーザーレコードをローテーションします。PAMユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

フィールド
説明

レコードタイプ

PAMユーザー

タイトル

Keeperのレコードタイトル

ログイン

ローテーションするアカウントの大文字と小文字の区別があるユーザー名。例: msmith

パスワード

アカウントパスワードはオプションです。空白の場合はローテーションで設定されます

4. レコードのローテーションを設定 - Windowsユーザー

手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。

  • 適切なスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。

  • [リソースクレデンシャル]フィールドで、手順1で設定されたPAMマシンクレデンシャルを選択する必要があります。

  • 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

PAMユーザーのレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。

5. レコードのローテーションを設定 - Windows管理者

手順1で設定したPAMマシンレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。

  • 適切なスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。

  • [リソースクレデンシャル]フィールドで、手順1で設定されたPAMマシンクレデンシャルを選択する必要があります。

  • 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。

最終更新