Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Windowsユーザー

Keeperローテーションを使用したローカルネットワークのWindowsユーザーアカウントのローテーション

概要

本ページでは、Keeperローテーションを使用してローカルネットワーク内のWindowsユーザーアカウントをローテーションする方法を取り扱います。ローカルネットワークにおけるローテーションの概要については、こちらのページをご参照ください。

要件

以下がすでに完了していることを前提としています。

  • ロールでKeeperシークレットマネージャーが有効になっていること

  • ロールでKeeperローテーションが有効になっていること

  • Keeperシークレットマネージャーアプリケーションが作成済みであること

  • Keeperローテーションゲートウェイがインストール済みでオンラインであること

  • KeeperゲートウェイがWinRMまたはSSH経由で対象マシンと通信できること

    • WinRM: ポート5986で有効かつ稼働中 確認: winrm get winrm/config を実行してWinRMが稼働していることを確認。WinRMの設定をご参照ください。 または

    • SSH: ポート22で有効かつ稼働中 確認: ssh [your-user]@[your-machine] -p 22 を実行してSSHが稼働していることを確認

1. PAMマシンレコードの設定

Keeperローテーションでは、管理者認証情報でローカル環境内の他のアカウントをローテーションします。管理者認証情報には、他のアカウントの認証情報を変更する十分な権限が必要です。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下の表は、PAMマシンレコードで入力が必要な必須フィールドです。

フィールド
説明

タイトル

レコード名 例: Local Windows Admin

ホスト名またはIPアドレス

ゲートウェイ (内部) または localhost からアクセスするマシンのホスト名またはIP

ポート

SSHは 22、WinRMは 5985 (HTTP) または 5986 (HTTPS)

管理者認証情報

ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みPAMユーザーレコード

管理者認証情報を含むリンク済みPAMユーザーレコードは、Keeperゲートウェイからアクセスできる共有フォルダに配置します。

2. PAM構成の設定

pencil-line

環境にPAM構成がすでにある場合は、この手順を省略できます。

新しいPAM構成を作成する場合は、Keeperボルトにログインし、左メニューから [シークレットマネージャー] を選択し、[PAM構成] タブで [新規構成] をクリックします。

以下の表は、PAM構成レコードの必須フィールドです。

フィールド
説明

タイトル

構成名。例: Windows LAN Configuration

環境

Local Network を選択

ゲートウェイ

Keeperシークレットマネージャーアプリケーションに設定され、WindowsデバイスへSSHアクセスできるゲートウェイを選択

アプリケーションフォルダ

PAM構成を格納する共有フォルダを選択。マシンリソースではなく、PAMユーザーレコードと同じ共有フォルダへの配置を推奨

3. PAMユーザーレコードを1件以上設定

Keeperローテーションでは、PAMマシンレコードの認証情報で、ローカル環境のPAMユーザーレコードをローテーションします。PAMユーザー認証情報は、前提条件で作成したKeeperシークレットマネージャーアプリケーションと共有する共有フォルダに格納します。

以下の表は、PAMユーザーレコードの必須フィールドです。

フィールド
説明

レコードタイプ

PAMユーザー

タイトル

Keeperレコードのタイトル

ログイン

ローテーション対象アカウントのユーザー名 (大文字と小文字を区別)。例: msmith

パスワード

アカウントパスワードはオプション。空白の場合はローテーション時に設定

対応ユーザー名形式

Keeperは、指定されたユーザー名をそのまま使用してリモートシステムへのログインを試行します。認証に失敗した場合は、以下の形式で再試行します。

  • ユーザープリンシパル名 (UPN) 形式: admin@company.com

  • ドメインNetBIOS形式: COMPANY\admin

  • 短縮UPN形式 (TLDなし): admin@company

  • ドメインFQDNとバックスラッシュ形式: company.com\admin

4. PAMユーザーレコードでローテーションを構成

手順3のPAMユーザーレコードを選択し、編集して [パスワードローテーション設定] を開きます。

  • 希望するスケジュールとパスワードの複雑さを選択

  • [ローテーション設定] では、以前に設定したPAM構成を使用

  • [リソースクレデンシャル] フィールドでは、手順1で設定したPAMマシン認証情報を選択

  • 保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能

PAMユーザーレコードに edit 権限を持つユーザーは、そのレコードのローテーションを設定できます。

サービス管理

PAMユーザーとして実行されている Windows サービスに対し、「log on as」アカウントの認証情報を自動的に更新し、サービスを再起動することが可能です。さらに、対象マシン上で同じユーザーによって実行されるタスクスケジューラの認証情報も自動で更新されます。

詳細および設定手順は、サービス管理をご参照ください。

前へActive DirectorユーザーまたはOpenLDAPユーザー次へLinuxユーザー

最終更新