パスワードローテーション

概要

Keeperコマンダーには、パスワードのローテーションとKeeperボルトへの変更を同期するため、内部および外部のシステムと直接やり取りできる旧来の機能があります。カスタムフィールドでKeeperのレコードと物理システムを対応付けることで実現します。たとえば、MySQLパスワード、Active Directoryパスワード、ローカルの管理者パスワードを自動でローテーションできます。

ほとんどの用途では、KeeperPAMのローテーションの利用を推奨します。

タイプ指定されたレコード

レコードをタイプ指定すると、コマンダーのローテーションが容易になります。 コマンダーはフィールドをスキャンし、ローテーションの種類と接続の詳細についてインテリジェントな判断を行うことができます。 標準の「SSH鍵」タイプや「サーバー」タイプなどのレコードタイプを使用すると、ローテーション可能なレコードの作成が簡単になります。

各ローテーションプラグインの要件は若干異なります。詳細は、このページの下に階層化された、左側のプラグインリストから選択してください。

コマンダーは、レコードに指定された値に基づいて、使用するローテーションの種類を自動的に識別します。たとえば、PORT値が22のレコードでは、デフォルトでSSHローテーションプラグインが使用されます。 ローテーションプラグインは、ローテーション中またはカスタムレコードフィールドで指定することもできます。

必要に応じて、すべてのレコードでカスタムフィールドをローテーションの設定として使用できます。カスタムフィールドの例については、下記の表をご参照ください。

タイプ指定されていないレコード

タイプ指定されていない古いレコードでは、コマンダーでのローテーションに追加設定がいくつか必要です。

ローテーションプラグインを使うには、一連のカスタムフィールド値をKeeperのレコードに追加するだけです。カスタムフィールドの値は、どのプラグインを使用するか、およびパスワードをローテーションするときにどのシステムと通信するかをコマンダーに指示します。カスタムフィールドを使用するようにKeeperのレコードを変更するには、ウェブボルトまたはデスクトップアプリでKeeperにログインします。

MySQLパスワードローテーション用のカスタムフィールドの例

レコードにプラグインが指定されている場合、コマンダーはplugins/フォルダ内を検索し、指定された名前 (mysql.pyなど) に基づいてモジュールを読み込みます。次に、Keeperのレコードの値を使用して接続し、パスワードをローテーションして、結果のデータを保存します。

利用可能なすべてのプラグインについては、pluginsフォルダをご確認ください。Keeperのチームは、新しいプラグインを継続的に追加しています。特定のプラグインを作成する必要がある場合は、[email protected]までメールでご相談ください。

対応プラグイン

Githubの場所

https://github.com/Keeper-Security/Commander/tree/master/keepercommander/plugins

プラグインの有効化

Keeperの特定のレコードのプラグインを有効化するには、まず、コマンダーで使用される特別なキーワードを使用して、そのレコードのカスタムフィールドを更新する必要があります。カスタムフィールドの要件については、個別のプラグインをご参照ください。

ローテーションを実行するには、_rotate_コマンドを使用します。