Windowsユーザー
ローカルネットワークでのWindowsユーザーアカウントのローテーション
概要
このガイドでは、Keeper Rotationを使用して、ローカルネットワーク内のWindowsユーザーアカウントをローテーションする方法について説明します。ローカルネットワークでのローテーションプロセスの大まかな概要は、こちらのページをご参照ください。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること。
Keeper Secrets Managerアプリケーションが作成済みであること。
Keeper Rotationゲートウェイがすでにインストールされており、オンラインになっていること。
接続方式
以下の方式からいずれかを選んで、対象のWindowsマシンで有効にします。
WinRM: ポート5986で実行 確認方法:
winrm get winrm/config
を実行してWinRMが実行されていることを確認します。SSH: ポート22で実行 確認方法:
ssh [your-user]@[your-machine] -p 22
を実行してSSHが実行されていることを確認します。
1. PAMマシン記録を設定
Keeper Rotationは、管理者のクレデンシャルを使用して、ローカル環境内の他のアカウントのクレデンシャルをローテーションします。これらの管理者のクレデンシャルには、他のアカウントのクレデンシャルを正常に変更するための十分な権限が必要です。
このガイドでは、管理者のクレデンシャルをPAMマシン記録に格納します。
以下は、PAMマシン記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 記録の名前 例:「Local Windows Admin」 |
ホスト名またはIPアドレス | ゲートウェイ (内部) または「localhost」がアクセスするマシンのホスト名またはIP |
ポート | SSHは22、WinRMは5985 (HTTP) または5986 (HTTPS) |
ログイン | 管理者アカウントのユーザー名 |
パスワード | WinRMで必須 設定でパスワードが必要な場合、SSHではオプション。パスワードが不要の場合はPEM鍵を使用できます。
注意:次の文字は使用が制限されています。 |
PEM秘密鍵 | パスワードを使用しない場合、SSHでは必須 |
管理者のクレデンシャルを含むこのPAMマシン記録は、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
2. PAMの設定を指定
ローカル環境のPAM設定が作成済みの場合は、Windowsユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。
新しいPAM設定を作成する場合は、Keeperボルトにログインし、左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeper Secrets Managerアプリケーションで設定され、Windows デバイスにSSHでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | 手順1のPAMマシン記録を含む共有フォルダを選択します。 |
管理者クレデンシャル記録 | 手順1で作成したPAMマシン記録を選択します。 これは、管理者のクレデンシャルが格納された、クレデンシャルをローテーションするための十分な権限を持つ記録です |
3. 1つまたは複数のPAMユーザー記録を設定
Keeper Rotationは、PAMマシン記録のクレデンシャルを使用して、ローカル環境のPAMユーザー記録をローテーションします。PAMユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザー記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
記録タイプ | PAMユーザー |
タイトル | Keeperの記録タイトル |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。例: |
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
4. 記録のローテーションを設定 - Windowsユーザー
手順3で設定したPAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、手順1で設定されたPAMマシンクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーの記録に対するedit
権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。
5.記録のローテーションを設定 - Windows管理者
手順1で設定したPAMマシン記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、手順1で設定されたPAMマシンクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。
最終更新