一時アカウントと特権昇格
マシン、ディレクトリ、データベースへの特権セッション中の一時アカウントおよび昇格権限の構成
概要
PAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプは、一時アカウントでセッションを認証するよう構成できます。さらに、一時アカウントまたは既存アカウントを、セッション期間中だけ指定のグループまたはロールに昇格させることもできます。一時アカウントと昇格した権限はすべてセッション終了時に自動的に取り除かれるため、ターゲットシステムに恒久的な特権が残りません。これにより、盗まれた認証情報を使った横方向への移動を抑止し、運用負荷を抑えつつ、追いやすい監査証跡を残せます。
一時アカウント
Keeperは、割り当てられた任意のターゲットリソース上に一時アカウントを作成できます。例:
Active Directory / LDAPドメインユーザー
Windowsユーザー
Linuxユーザー
MySQLユーザー
PostgreSQLユーザー
Microsoft SQL Serverユーザー
一時アカウントとは、セッション専用に作成されるシステム生成の時間制限付きアカウントです。Keeperゲートウェイは、アクセスが承認されたときにターゲットシステム上にアカウントを作成し、セッション終了時に自動削除します。ターゲットシステムに恒久的なアカウントは残りません。
特権昇格
特権昇格では、一時または既存のアカウントが、セッション期間中だけターゲットシステム上の指定グループまたはロールに一時的に割り当てられます。昇格した権限はセッション終了時に自動的に取り消されます。
対応接続プロトコル
RDP
データベース接続 (MySQL、PostgreSQL、SQL Server、Oracle など)
SSH
VNC
本ページでは、Keeperボルト内のPAMレコードタイプで一時アカウントと特権昇格を設定する方法を説明します。
PAM設定 — 一時アカウントと特権昇格の構成
JIT設定へ移動
PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプで、PAM設定画面のJITタブへ移動する手順は、以下のとおりです。
PAMレコードタイプを編集します。
PAM設定セクションの「編集」をクリックします。
表示されたウィンドウの「JIT」セクションに移動します。
JITタブでは、以下のフィールドを設定できます。
管理用ポート
一時アカウントの作成など管理操作に使用するポートです。この値はローテーションタブから継承され、JITタブからは変更できません。
接続用に一時的アカウントを作成する
有効にすると、セッション用にシステム生成の時間制限付きアカウントが作成されます。一時アカウントは keeper_<UID> の命名規則で作成されます。
一時アカウントの種類はレコードタイプによります。PAMマシン: ドメインユーザーまたはローカルユーザー (Windows、Linux、または Mac)。
PAMデータベースおよびPAMディレクトリ: アカウント種別は自動的に検出されます。
接続中にアカウントを昇格させる
有効にすると、接続の認証に使用されるアカウント (一時アカウントを含む) が、指定のグループまたはロールに一時的に昇格します。マシンおよびディレクトリユーザーには グループ、データベースには ロール を選択します。
例: ローカルWindowsユーザーの場合は「Administrators」、AWSの場合はフルARN (例: arn:aws:iam::12345:role/Admin) です。
注: JITを完全に構成するには、以下のレコードタイプフィールドを設定する必要があります。
PAMマシン
オペレーティングシステム 指定可能な値: Windows、Linux、Mac
PAMデータベース
データベースの種類
PAMディレクトリ
ディレクトリの種類
ドメインユーザー向け昇格の構成
一時ドメインユーザーをADグループに昇格
一時ドメインユーザーをActive Directoryグループに昇格させる場合、PAMディレクトリレコードをリンクし、グループ名を識別名 (DN) 形式で指定する必要があります。
例: グループ名が RemoteUsers の場合、DNは以下のとおりです。
グループ名にスペースが含まれる場合は、DNを引用符で囲む必要があります。
例: グループ名が Remote Users の場合、DNは以下のとおりです。
一時ドメインユーザーをローカルグループに昇格
マシン上のローカルグループに昇格させる場合は、ローカルグループ名を直接指定します (例: RemoteUsers)。ローカルグループではDN形式は不要です。
既存ドメインユーザーをADグループに昇格
既存ドメインユーザーはPAMユーザーレコードとして定義され、PAMマシンレコードタイプで定義されたターゲットへの起動認証情報として使用できます。
既存ドメインユーザーをActive Directoryグループに昇格させる場合は、以下の手順に従います。
PAMユーザーレコードでローテーション設定を構成し、PAMディレクトリレコードにリンクします。
このPAMユーザーを起動認証情報として使用するPAMマシンレコードで、JIT タブに移動し、接続中にアカウントを昇格させる を有効にします。
ターゲットグループを識別名 (DN) 形式で指定します。
既存ユーザーは、PAMユーザーレコードにリンクされたディレクトリサービス上で、指定グループに一時的に昇格します。セッション終了時に昇格は解除されます。
一時アカウントの伝播遅延
ドメインの一時アカウントを使用する場合、Keeperゲートウェイは一時的なActive Directoryアカウントを作成し、セッション開始前にドメインコントローラー全体へ伝播されるのを待ちます。既定の伝播遅延は3秒です。
ドメインコントローラーが複数ある環境やレプリケーション遅延が大きい環境では、既定の遅延では不十分な場合があり、接続時に無効な認証情報エラーが発生することがあります。
伝播遅延を調整するには、ゲートウェイで以下の環境変数を設定します。
KEEPER_GATEWAY_JIT_ACCOUNT_CREATION_LOGIN_DELAY_SECS
値は秒単位で指定します。例として 10 に設定すると、ゲートウェイはアカウント作成後、認証を試みる前に10秒待機します。
使用するタイミング: 一時アカウントで無効な認証情報エラーが発生し、ゲートウェイログに waiting 3 seconds for ephemeral account [account-name] to propagate before login のようなメッセージが表示される場合、この値を大きくすると解消できます。
データベースユーザー向け昇格の構成
一時および既存のデータベースユーザーを、データベースサーバー上の指定ロールに昇格できます。PAMデータベースレコードで JIT タブに移動し、接続中にアカウントを昇格させる を有効にして ロール を選択し、ターゲットロール名を入力します。
例として、セッション中に読み取り専用アクセスを付与するには readonly のロールを指定します。ユーザーにはセッション期間中だけ readonly のロールが割り当てられ、セッション終了時にロールは自動的に削除されます。
トラブルシューティング: MySQLの一時ユーザーに権限がない
新規作成されたMySQLユーザーに権限がない場合があります。KeeperPAMは一時ユーザーを動的に作成するため、ユーザーごとに手動で権限を付与する機会がありません。
これを解決するには、MySQL 8以降の mandatory roles を使用します。Mandatory rolesはサーバー上に作成されるすべてのユーザーに自動割り当てされ、一時ユーザーにも手動介入なしに必要な権限が付与されます。
セットアップ手順
MySQL管理者 (例: root) として、以下のコマンドを実行します。
手順4は必須です。 これがないと mandatory roles は割り当てられても有効化されず、接続時に一時ユーザーに権限がないように見えたままになります。
再起動後も維持する
設定をMySQL再起動後も維持するには、MySQL設定ファイル (my.cnf または my.ini) に以下を追加します。
権限の調整
読み取り専用ではなく読み書きアクセスを付与する場合は、ロールの権限を調整します。
または別ロールを作成します。
構成の確認
以下を実行して、設定が正しいことを確認できます。
ワークフローおよびKeeperコネクションとの併用
一時アカウントと特権昇格は、ワークフローおよびコネクションと組み合わせると効果的です。ワークフローによって承認や時間制限、説明責任が確保され、適切な権限のもとでのみ一時アカウントと昇格権限が付与されます。コネクションを使えば、ユーザーはボルトからターゲットリソースへ直接セッションを起動できます。
詳しくは以下をご参照ください。
最終更新