サービス管理

Windowsサービス、スケジュールタスク、IISプールの認証情報の管理

概要

KeeperPAMパスワードローテーションで、Windowsサービス、スケジュールタスク、IISプールの「log on」認証情報を自動的に管理できます。

特定のPAMユーザーレコードのローテーションが実行されると、Keeperゲートウェイは関連するPAMマシン上のすべてのサービスおよびスケジュールタスクの認証情報を更新し、サービスを再起動します。1つのPAMユーザーレコードは複数のPAMマシンレコードに関連付けることができ、サーバー群全体のサービスおよびスケジュールタスクを更新できます。

要件

以下のタスクが既に完了していることを前提としています。

ロールに対してローテーションの強制適用が設定されている
Keeperシークレットマネージャーアプリケーションが作成されている
Keeperゲートウェイがオンラインである
KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること
- WinRM: ポート5986で有効で実行中
  - 確認方法: winrm get winrm/config コマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、WinRM設定のページをご参照ください。
- または
- SSH: ポート22で有効で実行中
  - 確認方法: ssh [your-user]@[your-machine] -p 22 コマンドを実行してSSHが実行中であることを確認します。
管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。

セットアップ

サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。

リソース上でサービス、スケジュールタスク、IISプールを管理するには、PAMマシンレコードを使用していることを確認してください。異なる種類のリソース (データベース、ディレクトリなど) を使用している場合は、同じPAMユーザーに関連付けられた別のPAMマシンリソースを作成することができます。

ボルトの使用

ボルト内のPAMユーザーレコードを開き、[レコードタイプ] ドロップダウンから [ユーザー] を選択し、[ローテーション設定] の下にある [編集] をクリックします。

[Windowsシステム上のサービス、スケジュールタスク、IISプールを更新する] のチェックボックスをオンにします。

次に、利用可能な共有フォルダの一覧が表示されます。このユーザーに関連付けるWindowsマシンを含む共有フォルダを選択します。対象のサービスアカウントに必要なマシンを任意の数だけ追加できます。[更新] をクリックして変更を適用します。

保存すると、ユーザーのプロファイルに「サービスアカウント」カードが表示され、このアカウントに関連付けられたWindowsマシンの数が示されます。

[表示] ボタンをクリックすると、このサービスアカウントにリンクされたすべてのマシンの読み取り専用サマリーが開きます。

マシンサマリービューから [すべての依存関係を表示] をクリックすると、ボルトのKeeperシークレットマネージャーセクションにあるサービスアカウント依存関係タブに移動します。左側のナビゲーションメニューから [Keeper Secrets Manager] タブを選択して直接移動することもできます。

この中央ビューでは、すべてのPAMユーザーのサービスアカウント関連付けを一か所で確認できます。ここでは以下の操作が可能です。

特定のユーザー、マシン、または共有フォルダに絞り込んで一覧を表示
各関連付けの追加コンテキストについて、依存関係の詳細パネルを確認

ローテーションの動作

構成が完了すると、PAMユーザーのパスワードローテーションがトリガーされたときに以下が実行されます。

Keeperゲートウェイが、ターゲットマシン上の関連するすべてのWindowsサービス、スケジュールタスク、IISプールの**「log on」認証情報**を更新します。
稼働中のサービスは、新しい認証情報を適用するために自動的に再起動されます。
すでに停止していたサービスは停止したままです。自動的に起動されません。

検出の使用

検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。

検出を使用しない場合は、コマンダーCLIインターフェースを通じて、pam action serviceコマンドを使用して直接管理することができます。

コマンダーCLIの使用

Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。

コマンダーのインストール

Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。

ゲートウェイUIDの取得

pam gateway list コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。

My Vault> pam gateway list

KSM Application Name (UID)   Gateway Name    Gateway UID             Status
--------------------------   ------------    ----------------------  --------
My Application1              East Cost       oVCr3n7qV8uARjwSqBQBBw  ONLINE
My Application2              West Coast      qSiGWa55QVaGEv3_xAO3UA  ONLINE
My Application3              GovCloud        31t78gWKRQeY54l0u1sbMA  ONLINE
My Application4              Tokyo           2XT9aKlYTLOyTnVlpny-dA  ONLINE

PAMマシンとPAMユーザーUIDの取得

PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内においてls -lコマンドを実行するか、search コマンドを使用することで確認できます。

また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。

サービス管理用コマンド

pam action service コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。

My Vault> pam action service
pam command [--options]

Command    Description
---------  ------------------------------------------
list       List all mappings
add        Add a user and machine to the mapping
remove     Remove a user and machine from the mapping

サービス、タスク、IISの追加

特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。

pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t service
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t task
pam action service add -g <Gateway_UID> -m <Machine_UID> -u <User_UID> -t iis

サービス、タスク、IISの削除

マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。

pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t service
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t task
pam action service remove -g <Gateway_UID> -m <Machine_UID> -u <User_UID) -t iis

マッピングの一覧表示

サービスやタスクの管理が必要なゲートウェイ、マシン、ユーザーアカウント間の現在のマッピングを表示するには、pam action service list コマンドを使用します。

My Vault> pam action service list -g oVCr3n7qV8uARjwSqBQBBw

User Mapping
  Local service user - testuser (pEFr_dJn5EAc3MT_v30DQw)
    * Lureydemo.com Server (CrvdntH-f9mIcraY1InGiw) : Services, Scheduled Tasks
    * Windows 2022 Server  (U3fHEK2i7LIkWZAzANz2sA) : Services, Scheduled Tasks

サービス更新の発動

PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから [ローテーション] ボタンをクリックします。

コマンダーから実行する場合は、pam action rotate コマンドを使用します。

My Vault> pam action rotate -r pEFr_dJn5EAc3MT_v30DQw
Scheduled action id: +dXjf690oGKgg==

ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、pam action job-info コマンドを実行してください。

My Vault> pam action job-info +dXjf690oGKgg== --gateway=oVCr3n7qV8uARjwSqBQBBw
Job id to check [+dXjf690oGKgg==]

Execution Details
-------------------------
Status              : finished
Duration            : 0:01:01.923147
Response Message    : Rotation completed for record uid XXX with post-execution

トラブルシューティング

サービスの再起動

Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。

サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。

対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること
KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること
[イベントビューアー] > [Windows ログ] > [アプリケーション] イベントでエラーメッセージを確認してください。
サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること

前へCisco Meraki 次へポストローテーションスクリプト

最終更新 2 日前