> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/active-directory.md). # Active DirectorユーザーまたはOpenLDAPユーザー ![](/files/lFPcDJXnX1DkVQ49dfN7) ## 概要本ページでは、KeeperPAMを使用してActive DirectoryまたはOpenLDAPのユーザーアカウントをリモートからローテーションする方法を取り扱います。ローカルネットワークにおけるローテーションの概要については、こちらの[ページ](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases.md#local-network)をご参照ください。 ## 要件以下がすでに完了していることを前提としています。 * [ロール](/keeperpam/jp/privileged-access-manager/getting-started/enforcement-policies.md)にローテーション強制適用ポリシーが設定されていること * Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成済みであること * [Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がオンラインであること * KeeperゲートウェイがディレクトリへLDAPS (ポート636) またはLDAP (ポート389) で通信できること ## 1. PAMディレクトリ認証情報の設定 Keeperローテーションでは、リンクされた管理者認証情報で、ディレクトリ内の他のアカウントをローテーションします。このアカウントにドメイン管理者権限は不要ですが、他のアカウントのパスワードを正常に変更できる必要があります。 {% hint style="info" %} リンクされた管理者認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダ内に配置する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに必要であり、ユーザーと共有する必要はありません。 {% endhint %} ![](/files/iExZYyWstcIKuwbcOV03) #### PAMディレクトリレコードのフィールド

フィールド	説明
レコードタイプ	PAMディレクトリ
タイトル	Keeperレコードのタイトル
ホスト名またはIPアドレス	ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例: `10.10.10.10`、`dc01.mydomain.local`
ポート	`636` (Active DirectoryのローテーションにはLDAPSが必要)。ポート `389` のLDAPは安全ではないため避けること
SSLの使用	Active Directoryで使用する場合は有効化必須
管理者認証情報	LDAPローテーションを実行するリンク済みPAMユーザー認証情報。例: `rotationadmin`
ドメイン名	Active Directoryのドメイン名。例: `mydomain.local`
ディレクトリタイプ	`Active Directory` または `OpenLDAP` に設定

## 2. PAM構成の設定 {% hint style="info" icon="pencil-line" %} 環境にPAM構成がすでにある場合は、この手順を省略できます。 {% endhint %} [PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)は、環境とKeeperゲートウェイおよび認証情報を関連付けます。この活用事例向けのPAM構成がまだない場合は、新規作成してください。

フィールド	説明
タイトル	構成名。例: `My Active Directory`
環境	`Local Network` を選択
ゲートウェイ	ディレクトリサーバーへアクセスできるゲートウェイを選択
アプリケーションフォルダ	PAMディレクトリレコードが格納されている共有フォルダを選択
その他のフィールド	活用事例により異なります。[PAM構成](../../../getting-started/pam-configuration/)のセクションをご参照ください。

## 3. PAMユーザーレコードの設定 KeeperPAMでは、**PAMディレクトリ**レコードにリンクされた認証情報で、環境内の他の**PAMユーザー**レコードをローテーションします。PAMユーザー認証情報は、Keeperシークレットマネージャーアプリケーションに割り当てた共有フォルダに保存します。以下の例では、ADユーザー `demouser` をローテーションできます。 ![](/files/lztKxlLXj9IZVAI84SIQ) #### PAMユーザーレコードのフィールド

フィールド	説明
レコードタイプ	PAMユーザー
タイトル	Keeperレコードのタイトル。例: `AD User - demouser`
ログイン	ローテーション対象アカウントのユーザー名。形式は対象システムとサービスの種類によります。例: `demouser` `demouser@domain.local`
パスワード	アカウントパスワードはオプションです。多くの場合、既存パスワードは不要ですが、シナリオやプロトコルによっては必要になることがあります。
識別名	Active DirectoryおよびOpenLDAPディレクトリで必須です。ユーザーのLDAP DN。例: `CN=Demo User,CN=Users,DC=lureydemo,DC=local`

ユーザーのDNが不明な場合は、以下のPowerShellコマンドで確認できます。 ``` Get-ADUser -Identity -Properties DistinguishedName ``` ## 4. レコードでローテーションを構成 PAMユーザーレコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。 PAMユーザーレコードに `edit` 権限があり、[強制適用ポリシー](/keeperpam/jp/privileged-access-manager/getting-started/enforcement-policies.md)でローテーションが許可されているユーザーは、そのレコードのローテーションを設定できます。 ![](/files/Kz9IKbMyNpuZAaHk7wW0) * **\[ローテーション]** の種類は **\[一般]** を選択 * **\[PAMリソース]** フィールドでは、以前に設定した**PAMディレクトリ**認証情報を選択 * 希望するスケジュールとパスワードの複雑さを選択 * 保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能 ## トラブルシューティング LDAPが正しく構成されているか確認するには、`LDP.exe` を実行して接続をテストします。この接続に成功していれば、Keeperローテーションも正常に動作します。 ![](/files/srsAe4Td9CqqOCzJAK0K) ## 自己署名証明書でのテスト KeeperでActive Directoryユーザーアカウントのローテーションをテストするには、LDAPS接続が有効で有効な証明書が使用されている必要があります。テストのみで本番用証明書がない場合は、以下の手順で自己署名証明書を使用できます。 {% hint style="warning" %} Active Directoryで自己署名証明書を使用するのはテスト目的に限ります。本番環境では使用しないでください。 {% endhint %} {% stepper %} {% step %} **証明書の作成** 管理者としてPowerShellを実行し、自己署名証明書を作成します。証明書のサブジェクト名および代替名はサーバーのホスト名と一致している必要があります。本例では、プライマリ名は `XYZ123.company.local`、代替名は `company.local` と `company` です。 {% code overflow="wrap" %} ``` New-SelfSignedCertificate -DnsName XYZ123.company.local,company.local,company, -CertStoreLocation cert:\LocalMachine\My ``` {% endcode %} {% endstep %} {% step %} **証明書のインストール** このスクリプトは、証明書マネージャーの個人ストアから証明書を取得し、信頼済みドメインにコピーします。スクリプト1行目の `company` パラメータを、手順1のドメインに置き換えてください。 {% code overflow="wrap" %} ``` # 作成した証明書を取得 $cert = Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object {$_.Subject -like "*company*"} $thumbprint = ($cert.Thumbprint | Out-String).Trim() # レジストリ経由でNTDSにコピー $certStoreLoc = 'HKLM:/Software/Microsoft/Cryptography/Services/NTDS/SystemCertificates/My/Certificates' if (!(Test-Path $certStoreLoc)) { New-Item $certStoreLoc -Force } Copy-Item -Path HKLM:/Software/Microsoft/SystemCertificates/My/Certificates/$thumbprint -Destination $certStoreLoc # 信頼されたルートストアにコピー $rootStore = New-Object System.Security.Cryptography.X509Certificates.X509Store([System.Security.Cryptography.X509Certificates.StoreName]::Root, 'LocalMachine') $rootStore.Open('ReadWrite') $rootStore.Add($cert) $rootStore.Close() ``` {% endcode %} {% endstep %} {% step %} **NTDSの再起動** NTDSサービスを再起動すると、証明書がインストールされます。 ``` Restart-Service NTDS -force ``` {% endstep %} {% step %} **接続の確認** `LDP.exe` を実行し、SSLを有効にしてポート636でローカルドメインに接続できることを確認します。 ![](/files/GgvB2FamRxNGTZdpka1J) {% endstep %} {% endstepper %} ## 本番環境向けLDAPS証明書本番環境では、KeeperPAMの利用に信頼された認証局（CA）が発行した証明書によるLDAPS接続が必要です。対応しているLDAPS証明書は以下のとおりです。

証明書発行元の種類	説明
エンタープライズ内部認証局（CA）	Microsoft AD CSなどの内部PKIで証明書を発行・管理します。大規模エンタープライズで一般的ですが、独立して管理されるドメインが多い環境では運用負荷が高くなる場合があります。
公開認証局（CA）	DigiCert、GlobalSign、Entrustなどの信頼された公開CAが証明書を発行します。内部PKI基盤が不要で、複数ドメインや分散管理環境で利用しやすい方式です。
サーバー認証	LDAPS接続には、Server Authentication拡張キー用法を含む証明書が必要です。発行元の種類にかかわらず必要となる標準要件です。
ドメインコントローラーのFQDN	TLS検証エラーを防ぐため、証明書はドメインコントローラーのFQDNに対して発行されている必要があります。複数DC環境では、DCごとに証明書が必要になる場合があります。

自己署名証明書はテスト用途に限り使用でき、本番環境での使用は推奨されません。 --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/active-directory.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.