# Linuxユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FYsD7CTVQeECpKIfS6iZg%2Fimage.png?alt=media&#x26;token=fd27c84e-c1f3-4135-9adf-a337a21a15dc" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、Keeperローテーションを使用してローカルネットワーク内のLinuxユーザーアカウントをローテーションする方法を取り扱います。パスワード認証とSSHキー認証の両方に対応しており、さまざまな環境に柔軟に対応できます。ローカルネットワークにおけるローテーションの概要については、こちらの[ページ](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network.md)をご参照ください。

## 要件

以下がすでに実行されていることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperシークレットマネージャーが有効になっていること。
* Keeperローテーションがご利用の[ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対して有効になっていること。
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/references/creating-ksm-app-for-rotation.md)が作成済みであること。
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がすでにインストールされており、[SSH](/keeperpam/jp/privileged-access-manager/references/setting-up-ssh.md)を使用してLinuxマシンと通信できること。

## 1. PAMマシンレコードを設定

Keeperローテーションでは、管理者認証情報を使用して、ローカル環境内の他のアカウントの認証情報がローテーションされます。これらの管理者認証情報には、他のアカウントの認証情報を正常に変更するための十分な権限が求められます。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下は、PAMマシンレコードの**必須**フィールドとなります。

<table><thead><tr><th width="256.4642857142857">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>レコードの名前<br>(例: Local Linux Admin)</td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>ゲートウェイ (内部) または「localhost」がアクセスするマシンのホスト名またはIP</td></tr><tr><td><strong>ポート</strong></td><td>22 (SSHの場合)</td></tr><tr><td><strong>管理者認証情報</strong></td><td>ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みのPAMユーザーレコード。</td></tr></tbody></table>

{% hint style="info" %}
管理者の認証情報を含むリンクされたPAMユーザーレコードは、Keeperゲートウェイからアクセス可能な共有フォルダ内に配置する必要があります。
{% endhint %}

## 2. PAM構成をセットアップ

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左側のメニューから **\[シークレットマネージャー]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。\
\
以下は、**PAM構成**レコードの必須フィールドとなります。

<table><thead><tr><th width="248.55445544554453">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>構成名 (例: <code>Linux LAN Configuration</code>)</td><td></td></tr><tr><td><strong>環境</strong></td><td><code>Local Network</code>を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーのアプリケーションで設定されており、WindowsデバイスへのSSHアクセス権を持つゲートウェイを選択します。</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成を保存する共有フォルダを選択してください。マシンのリソースではなく、PAMユーザーのレコードが保存されている共有フォルダに配置することを推奨します。</td><td></td></tr></tbody></table>

## 3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションにより、**PAMマシン**レコードの認証情報を使用して、ローカル環境の**PAMユーザー**レコードをローテーションします。**PAMユーザー**の認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。

以下は、**PAMユーザー**レコードの必須フィールドとなります。

<table><thead><tr><th width="176.61602404150824">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>レコードタイプ</strong></td><td>PAMユーザー</td></tr><tr><td><strong>タイトル</strong></td><td>Keeperのレコードタイトル</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。例: <code>msmith</code></td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプションです。空白の場合はローテーションで設定されます。</td></tr><tr><td>プライベートPEM鍵</td><td>SSH秘密鍵<br>※パスワードではなくPEM鍵をローテーションする場合にのみ必要です。</td></tr></tbody></table>

## 4. レコードのローテーションを設定 - Linuxユーザー

手順3の**PAMユーザー**レコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。

* 適切なスケジュールとパスワードの複雑さを選択します。
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用する必要があります。
* **\[リソースクレデンシャル]** フィールドで、手順1で設定された**PAMデータベース**認証情報を選択する必要があります。
* 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。

**PAMユーザー**のレコードに対する `edit` 権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

## SSHキーのローテーションに関する注意事項

対象のマシンまたはユーザーでPEM秘密鍵認証情報をローテーションする際、マシンのauthorized\_keysファイルを新しい公開鍵に変更します。ローテーションの初回には、システムにアクセスできなくなることのないように、古い公開鍵がそのまま残されます。ファイルに追加された2番目の公開鍵には、以下のように以後のローテーションの識別子として機能する旨コメントが付加されます。

```
[ec2-user@host .ssh]$ cat authorized_keys
ssh-rsa AAAAB3NzaC1...11xZrfOxYXG6RV84mCZ3uldesEyV/ghLxAb7Fcz awsdemo
ssh-rsa AAAAB3NzaC...un+frl9Q== keeper-security-ec2user
```

デフォルトでは、`.ssh/authorized_keys`ファイルから他のキーは削除されません。これは、一部プロバイダが仮想マシンを制御するために自分のキーを配置するためです (Google Cloud Providerなど)。

最初のローテーションが成功すると、オプションで`authorized_keys`ファイル内の古い公開鍵エントリを削除できます。それ以降のローテーションでは、「keeper-security-xxx」というコメントが含まれている行が更新されます。

ローテーションは、以前の`.ssh/authorized_keys`のバックアップも`.ssh`ディレクトリ内に作成します。

プライベートキーのローテーションでは、新しいプライベートキーは現在のプライベートキーと同じアルゴリズムおよびキーサイズ (ビット) になります。たとえば、現在のプライベートキーが`ecdsa-sha2-nistp256`の場合、新しいプライベートキーも`ecdsa-sha2-nistp256`になります。これを上書きするには、カスタムテキストフィールド (ラベル: Private Key Type) を追加し、以下の対応しているアルゴリズムのいずれかに値を設定します。

* `ssh-rsa` - 4096ビット
* `ecdsa-sha2-nistp256` - ECDSA、256ビット
* `ecdsa-sha2-nistp384` - ECDSA、384ビット
* `ecdsa-sha2-nistp521` - ECDSA、521ビット
* `ssh-ed25519`

このカスタムフィールドは、現在のプライベートキーのアルゴリズムが検出できない場合にも使用できます。

プライベートキーのローテーションを防ぐには、PAMユーザーのレコードに`Private Key Rotate`というラベルのカスタムテキストフィールドを追加します。フィールドの値がTRUEの場合、またはフィールドが存在しない場合は、プライベートキーが存在すればローテーションされます。値がFALSEの場合、プライベートキーはローテーションされません。

Linuxユーザーのローテーションでは、パスワードで暗号化されたPEMファイルは現在サポートされていません。

## 管理者認証情報 – SSHキーのみのアカウントについて

マシンリソースの管理者認証情報として、パスワードを持たず秘密鍵 (PEM形式) のみを使用するPAMユーザーを構成する場合、このアカウントがパスワードローテーションなど、すべての管理操作を実行します。

この構成では、該当の管理者アカウントがパスワードの入力なしにsudo操作を実行できる必要があります。

もしsudoコマンドの実行時にパスワードの入力が求められる設定になっていると、そのリソース上の非管理者アカウントに対するローテーションは失敗します (管理者アカウントがパスワードを持たないためです)。

ローテーションを正常に行うには、PEMキーのみを使用する管理者アカウントが、パスワードなしでsudoコマンドを実行できるように設定してください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/linux-user.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.