> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/linux-user.md).

# Linuxユーザー

![](/files/WkwWeWjgel6EukzlQzgC)

## 概要 <a href="#overview" id="overview"></a>

本ページでは、Keeperローテーションを使用してローカルネットワーク内のLinuxユーザーアカウントをローテーションする方法を取り扱います。パスワード認証とSSHキー認証の両方に対応しています。ローカルネットワークにおけるローテーションの概要については、こちらの[ページ](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases.md#local-network)をご参照ください。

## 要件 <a href="#prerequisites" id="prerequisites"></a>

以下がすでに完了していることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md#enabling-rotation-on-the-admin-console)でKeeperシークレットマネージャーが有効になっていること
* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md#enabling-rotation-on-the-admin-console)でKeeperローテーションが有効になっていること
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成済みであること
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がインストール済みで稼働しており、[SSH](/keeperpam/jp/privileged-access-manager/references/setting-up-ssh.md)でLinuxマシンと通信できること

## 1. PAMマシンレコードの設定 <a href="#id-1-set-up-a-pam-machine-record" id="id-1-set-up-a-pam-machine-record"></a>

Keeperローテーションでは、管理者認証情報でローカル環境内の他のアカウントをローテーションします。管理者認証情報には、他のアカウントの認証情報を変更する十分な権限が必要です。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下の表は、PAMマシンレコードで入力が必要な**必須**フィールドです。

<table><thead><tr><th width="248">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>レコード名<br>例: <code>Local Linux Admin</code></td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>ゲートウェイ (内部) または <code>localhost</code> からアクセスするマシンのホスト名またはIP</td></tr><tr><td><strong>ポート</strong></td><td>SSHの場合は <code>22</code></td></tr><tr><td><strong>管理者認証情報</strong></td><td>ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みPAMユーザーレコード</td></tr></tbody></table>

{% hint style="info" %}
管理者認証情報を含むリンク済みPAMユーザーレコードは、Keeperゲートウェイからアクセスできる共有フォルダに配置します。
{% endhint %}

## 2. PAM構成の設定 <a href="#id-2-set-up-a-pam-configuration" id="id-2-set-up-a-pam-configuration"></a>

{% hint style="info" icon="pencil-line" %}
環境にPAM構成がすでにある場合は、この手順を省略できます。
{% endhint %}

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左メニューから **\[シークレットマネージャー]** を選択し、**\[PAM構成]** タブで **\[新規構成]** をクリックします。

以下の表は、**PAM構成**レコードの必須フィールドです。

<table><thead><tr><th width="204">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>構成名。例: <code>Linux LAN Configuration</code></td><td></td></tr><tr><td><strong>環境</strong></td><td><code>Local Network</code> を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーアプリケーションに設定され、LinuxデバイスへSSHアクセスできるゲートウェイを選択</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成を格納する共有フォルダを選択。マシンリソースではなく、PAMユーザーレコードと同じ共有フォルダへの配置を推奨</td><td></td></tr></tbody></table>

## 3. PAMユーザーレコードを1件以上設定 <a href="#id-3-set-up-one-or-more-pam-user-records" id="id-3-set-up-one-or-more-pam-user-records"></a>

Keeperローテーションでは、**PAMマシン**レコードの認証情報で、ローカル環境の**PAMユーザー**レコードをローテーションします。**PAMユーザー**認証情報は、前提条件で作成したKeeperシークレットマネージャーアプリケーションと共有する共有フォルダに格納します。

以下の表は、**PAMユーザー**レコードの必須フィールドです。

<table><thead><tr><th width="194.5">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>レコードタイプ</strong></td><td>PAMユーザー</td></tr><tr><td><strong>タイトル</strong></td><td>Keeperレコードのタイトル</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーション対象アカウントのユーザー名 (大文字と小文字を区別)。例: <code>msmith</code></td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプション。空白の場合はローテーション時に設定</td></tr><tr><td><strong>プライベートPEM鍵</strong></td><td>SSH秘密鍵。パスワードではなくPEM鍵をローテーションする場合にのみ必要</td></tr></tbody></table>

## 4. PAMユーザーレコードでローテーションを構成 <a href="#id-4-configure-rotation-on-the-pam-user-records" id="id-4-configure-rotation-on-the-pam-user-records"></a>

手順3の**PAMユーザー**レコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。

* 希望するスケジュールとパスワードの複雑さを選択
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用
* **\[リソースクレデンシャル]** フィールドでは、手順1で設定した**PAMマシン**認証情報を選択
* 保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能

**PAMユーザー**レコードに `edit` 権限を持つユーザーは、そのレコードのローテーションを設定できます。

## SSHキーのローテーションに関する注意事項 <a href="#ssh-key-rotation-notes" id="ssh-key-rotation-notes"></a>

対象マシンまたはユーザーでPEM秘密鍵認証情報をローテーションする場合、Keeperはマシン上の `authorized_keys` ファイルを新しい公開鍵で更新します。初回ローテーション時は、システムのロックアウトを防ぐため、古い公開鍵はそのまま残されます。ファイルに追加される2番目の公開鍵には、以降のローテーションの識別子として機能するコメントが付きます。例:

```
[compute-user@host .ssh]$ cat authorized_keys
ssh-rsa AAAAB3NzaC1...11xZrfOxYXG6RV84mCZ3uldesEyV/ghLxAb7Fcz gcpdemo
ssh-rsa AAAAB3NzaC...un+frl9Q== keeper-security-computeuser
```

デフォルトでは、Keeperは `.ssh/authorized_keys` ファイルから他のキーを削除しません。一部のプロバイダが仮想マシンを制御するために独自のキーを配置するためです (Google Cloud Providerなど)。

初回ローテーションが成功したら、必要に応じて `authorized_keys` ファイル内の古い公開鍵エントリを削除できます。以降のローテーションでは、`keeper-security-xxx` というコメントを含む行が更新されます。

ローテーション時には、以前の `.ssh/authorized_keys` のバックアップも `.ssh` ディレクトリ内に作成されます。

プライベートキーのローテーションでは、新しいプライベートキーは現在のプライベートキーと同じアルゴリズムおよびキーサイズ (ビット) になります。たとえば、現在のプライベートキーが `ecdsa-sha2-nistp256` の場合、新しいプライベートキーも `ecdsa-sha2-nistp256` になります。これを上書きするには、ラベル `Private Key Type` のカスタムテキストフィールドを追加し、以下のいずれかの値を設定します。

* `ssh-rsa` - 4096ビット
* `ecdsa-sha2-nistp256` - ECDSA、256ビット
* `ecdsa-sha2-nistp384` - ECDSA、384ビット
* `ecdsa-sha2-nistp521` - ECDSA、521ビット
* `ssh-ed25519`

現在のプライベートキーのアルゴリズムを検出できない場合にも、このカスタムフィールドを使用できます。

プライベートキーのローテーションを防ぐには、ラベル `Private Key Rotate` のカスタムテキストフィールドをPAMユーザーレコードに追加します。フィールドの値が TRUE、またはフィールドが存在しない場合は、プライベートキーが存在すればローテーションされます。値が FALSE の場合、プライベートキーはローテーションされません。

Linuxユーザーのローテーションでは、パスワードで暗号化されたPEMファイルは現在利用できません。

## 管理者認証情報 (SSHキーのみのアカウント) <a href="#administrative-credential-ssh-key-only-accounts" id="administrative-credential-ssh-key-only-accounts"></a>

マシンリソースの管理者認証情報として、パスワードを持たずPEM秘密鍵のみのPAMユーザーを構成する場合、このユーザーがパスワードローテーションなどのすべての管理操作を実行します。この構成では、管理者アカウントがパスワードの入力なしに `sudo` 操作を実行できる必要があります。

`sudo` コマンドの実行時にパスワードが求められる場合、管理者認証情報にパスワードが含まれないため、そのリソース上の非管理者アカウントのローテーションは失敗します。ローテーションを正常に行うには、PEM鍵のみの管理者アカウントが、パスワードなしで `sudo` コマンドを実行できるように設定してください。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/linux-user.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.