Active DirectorユーザーまたはOpenLDAPユーザー
KeeperPAMでActive DirectoryまたはOpenLDAPのユーザーアカウントをリモートでローテーション
概要
本ページでは、KeeperPAMを使用してActive DirectoryまたはOpenLDAPのユーザーアカウントをリモートからローテーションする方法を取り扱います。ローカルネットワークにおけるローテーションの概要については、こちらのページをご参照ください。
要件
以下がすでに完了していることを前提としています。
ロールにローテーション強制適用ポリシーが設定されていること
Keeperシークレットマネージャーアプリケーションが作成済みであること
Keeperゲートウェイがオンラインであること
KeeperゲートウェイがディレクトリへLDAPS (ポート636) またはLDAP (ポート389) で通信できること
1. PAMディレクトリ認証情報の設定
Keeperローテーションでは、リンクされた管理者認証情報で、ディレクトリ内の他のアカウントをローテーションします。このアカウントにドメイン管理者権限は不要ですが、他のアカウントのパスワードを正常に変更できる必要があります。
リンクされた管理者認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダ内に配置する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに必要であり、ユーザーと共有する必要はありません。
PAMディレクトリレコードのフィールド
レコードタイプ
PAMディレクトリ
タイトル
Keeperレコードのタイトル
ホスト名またはIPアドレス
ディレクトリサーバーのIPアドレス、ホスト名、またはFQDN。例: 10.10.10.10、dc01.mydomain.local
ポート
636 (Active DirectoryのローテーションにはLDAPSが必要)。
ポート 389 のLDAPは安全ではないため避けること
SSLの使用
Active Directoryで使用する場合は有効化必須
管理者認証情報
LDAPローテーションを実行するリンク済みPAMユーザー認証情報。例: rotationadmin
ドメイン名
Active Directoryのドメイン名。例: mydomain.local
ディレクトリタイプ
Active Directory または OpenLDAP に設定
2. PAM構成の設定
環境にPAM構成がすでにある場合は、この手順を省略できます。
PAM構成は、環境とKeeperゲートウェイおよび認証情報を関連付けます。この活用事例向けのPAM構成がまだない場合は、新規作成してください。
タイトル
構成名。例: My Active Directory
環境
Local Network を選択
ゲートウェイ
ディレクトリサーバーへアクセスできるゲートウェイを選択
アプリケーションフォルダ
PAMディレクトリレコードが格納されている共有フォルダを選択
その他のフィールド
活用事例により異なります。[PAM構成](../../../getting-started/pam-configuration/)のセクションをご参照ください。
3. PAMユーザーレコードの設定
KeeperPAMでは、PAMディレクトリレコードにリンクされた認証情報で、環境内の他のPAMユーザーレコードをローテーションします。PAMユーザー認証情報は、Keeperシークレットマネージャーアプリケーションに割り当てた共有フォルダに保存します。以下の例では、ADユーザー demouser をローテーションできます。
PAMユーザーレコードのフィールド
レコードタイプ
PAMユーザー
タイトル
Keeperレコードのタイトル。例: AD User - demouser
ログイン
ローテーション対象アカウントのユーザー名。形式は対象システムとサービスの種類によります。
例:
demouser
[email protected]
パスワード
アカウントパスワードはオプションです。多くの場合、既存パスワードは不要ですが、シナリオやプロトコルによっては必要になることがあります。
識別名
Active DirectoryおよびOpenLDAPディレクトリで必須です。
ユーザーのLDAP DN。例:
CN=Demo User,CN=Users,DC=lureydemo,DC=local
ユーザーのDNが不明な場合は、以下のPowerShellコマンドで確認できます。
4. レコードでローテーションを構成
PAMユーザーレコードを選択し、編集して [パスワードローテーション設定] を開きます。
PAMユーザーレコードに edit 権限があり、強制適用ポリシーでローテーションが許可されているユーザーは、そのレコードのローテーションを設定できます。
[ローテーション] の種類は [一般] を選択
[PAMリソース] フィールドでは、以前に設定したPAMディレクトリ認証情報を選択
希望するスケジュールとパスワードの複雑さを選択
保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能
トラブルシューティング
LDAPが正しく構成されているか確認するには、LDP.exe を実行して接続をテストします。この接続に成功していれば、Keeperローテーションも正常に動作します。
自己署名証明書でのテスト
KeeperでActive Directoryユーザーアカウントのローテーションをテストするには、LDAPS接続が有効で有効な証明書が使用されている必要があります。テストのみで本番用証明書がない場合は、以下の手順で自己署名証明書を使用できます。
Active Directoryで自己署名証明書を使用するのはテスト目的に限ります。本番環境では使用しないでください。
証明書の作成
管理者としてPowerShellを実行し、自己署名証明書を作成します。証明書のサブジェクト名および代替名はサーバーのホスト名と一致している必要があります。本例では、プライマリ名は XYZ123.company.local、代替名は company.local と company です。
証明書のインストール
このスクリプトは、証明書マネージャーの個人ストアから証明書を取得し、信頼済みドメインにコピーします。スクリプト1行目の company パラメータを、手順1のドメインに置き換えてください。
NTDSの再起動
NTDSサービスを再起動すると、証明書がインストールされます。
接続の確認
LDP.exe を実行し、SSLを有効にしてポート636でローカルドメインに接続できることを確認します。
本番環境向けLDAPS証明書
本番環境では、KeeperPAMの利用に信頼された認証局(CA)が発行した証明書によるLDAPS接続が必要です。
対応しているLDAPS証明書は以下のとおりです。
エンタープライズ内部認証局(CA)
Microsoft AD CSなどの内部PKIで証明書を発行・管理します。大規模エンタープライズで一般的ですが、独立して管理されるドメインが多い環境では運用負荷が高くなる場合があります。
公開認証局(CA)
DigiCert、GlobalSign、Entrustなどの信頼された公開CAが証明書を発行します。内部PKI基盤が不要で、複数ドメインや分散管理環境で利用しやすい方式です。
サーバー認証
LDAPS接続には、Server Authentication拡張キー用法を含む証明書が必要です。発行元の種類にかかわらず必要となる標準要件です。
ドメインコントローラーのFQDN
TLS検証エラーを防ぐため、証明書はドメインコントローラーのFQDNに対して発行されている必要があります。複数DC環境では、DCごとに証明書が必要になる場合があります。
自己署名証明書はテスト用途に限り使用でき、本番環境での使用は推奨されません。
最終更新