PAMユーザー
PAMユーザーレコードタイプの詳細
概要
PAMユーザーはKeeperPAMリソースの一種で、アカウントの認証情報を表し、他のリソースからリンクされて使用されます。
PAMユーザー
ローカルWindowsアカウント、ドメインアカウント、Active Directoryユーザー、IAMユーザー、データベースアカウント、SaaSアカウント、Linuxアカウント、SSH秘密鍵
PAMユーザーとは
KeeperPAMユーザーレコードは、他のPAMリソース内の特定のアカウントを定義します。PAMマシン、PAMデータベース、PAMディレクトリ、PAMリモートブラウザの各レコードは、PAMユーザーにリンクされます。
機能
PAMユーザーリソースでは以下がサポートされています。
オンデマンドパスワードローテーションおよびスケジュールパスワードローテーション
特権管理自動化用PAMスクリプト
ユーザーおよびチームへの永続的な共有
時間制限付きアクセスの共有
共有解除後の自動ローテーション
PAMユーザーの作成
PAMユーザーを作成する前に、PAM構成に加えてマシン、データベース、ディレクトリ、ブラウザなどのPAMリソースをまず作成しておいてください。
PAMユーザーの作成手順
[新規作成] をクリックします。
用途に応じて、[ローテーション]、[トンネル]、[コネクション] のいずれかを選択します。
ポップアップウィンドウで以下を行います。
[新しいレコード] を選択
レコードを作成する共有フォルダを選択
タイトルを入力
対象として [ユーザー] を選択
[次へ] をクリックし、必要な情報をすべて入力します。
PAMユーザーレコードタイプのフィールド
ログイン
ユーザー名。正確なコンテキストと形式は、関連するリソースによって異なります。 詳細は以下の備考 (1)をご参照ください。
必須
例:
username
username@domain
DOMAIN\username
パスワード
ユーザーのパスワード
ローテーション可能
秘密鍵PEMキー
ユーザーに紐づけられたPEM形式のSSH秘密鍵
ローテーション可能
秘密鍵のパスフレーズ
接続時のSSH秘密鍵復号用
SSH鍵を暗号化するオプションのパスフレーズ。シェルエスケープが必要な記号の使用は避けることを推奨
識別名
識別名。PAMディレクトリに関連付けられている場合に使用されます。
必須 (ディレクトリによってユーザーが管理されている場合にのみ) 例: CN=Jeff Smith,OU=Sales,DC=demo,DC=COM
空欄のままにした場合、プロバイダの種類に応じてデフォルトが試行されます。
管理ユーザー
AWSまたはAzure IAMシステムによって管理されるアカウント用のフラグ
Keeper検出によって設定され、パスワードがローテーションできないことを示します。たとえば、AWSのトークンベース認証などです。
接続データベース
データベース名が必要な特定の状況で使用します。
特殊なケース (例: LDAPを使ってMySQLデータベースに接続する場合)
備考
ドメイン参加済みのWindowsマシンに接続する場合
ドメイン参加済みシステムでは、常にUPN形式 (
user@domain.local) をご使用ください。この形式は最新の形式で、DNSに依存し、NetBIOSの問題を回避できます。旧システムやUPNがサポートされていない混在環境では、
DOMAIN\user形式をご使用ください。
Keeperでは指定されたユーザー名をそのまま使用してリモートシステムへのログインを試行します。 認証に失敗した場合、Keeperは次の形式で再試行します。
ユーザープリンシパル名 (UPN) 形式: admin@company.com
ドメインNetBIOS形式: COMPANY\admin
短縮UPN形式 (TLDなし): admin@company
ドメインFQDN+バックスラッシュ形式: company.com\admin
ローテーション設定の構成
PAMユーザーレコードの [ローテーション設定] セクションでは、認証情報のローテーションをどのように管理するかを設定します。
パスワードローテーションの設定
ローテーションタイプ
実行するローテーションの種類 (および使用するプロトコル) を指定します。
必須 「一般」、「IAMユーザー」、「SaaSアカウント」、「PAMスクリプトの実行のみ」。詳細は以下のセクションをご参照ください。
PAMリソース
「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。
「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。
「一般」および「IAMユーザー」のローテーションタイプでのみ必須
パスワードの複雑さ
パスワードベースのローテーションに適用され、PEMキーには適用されません。
[さらに表示]をクリックして特殊文字や記号を制御します。
ローテーションタイプ
Keeperでは4種類のローテーションを利用できます。
一般: LDAP、データベース、SSHキーなどのネイティブプロトコルによるローテーション
IAMユーザー: AWS IAMユーザー、Azure管理リソース、Google Workspaceのプリンシパルなど、クラウドAPIによるローテーション (必要な認証情報はPAM構成に含まれる)
SaaSアカウント: カタログプラグインまたはカスタムプラグインによる、任意のクラウドまたはSaaSターゲットへのAPIベースのローテーション (同一プラグインを複数のPAMユーザーレコードに添付可能)
PAMスクリプトの実行のみ: 標準ローテーションをスキップし、添付されたPAMスクリプトのみを実行
ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。
PAMリソース
ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。
「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。
以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。
「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。
IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。
要約
PAMユーザーレコードは、ローテーションする認証情報を格納します。
PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。
Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。
AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。
Google Cloud管理リソースの場合、Keeperはゲートウェイのサービスアカウント権限を使用してローテーションを実行します。
例
以下はPAMユーザーレコードの例となります。
Windowsドメイン管理者
Windowsドメインユーザーとポストローテーションスクリプト
AWS IAMユーザー
データベースユーザー
Azure ADユーザー
コマンダーCLI
KeeperコマンダーCLIには、PAMユーザーレコードの作成、ローテーションの実行、チームメンバーへの認証情報の共有、新入社員オンボーディング向けのワンタイム共有リンクによる認証情報の配布などを自動化する専用ツールがあります。
たとえば、ローテーションを開始するには次のコマンドを実行します。
参照先
最終更新