このプラグインを使用すると、IT管理者はActive Directoryユーザーアカウントのパスワードをローテーションできます。このプラグインは、 ADサーバーにネットワークでアクセスできるすべてのシステムで実行できます。

前提条件

ldap3モジュールをインストールします

pip3 install ldap3

ローテーション用の記録を準備

ローテーション用の記録を作成

ローテーションは、従来の記録にもタイプ指定された記録にも対応しています。 タイプ指定された記録を使用する場合は、「パスワード」タイプのフィールドが必要です。 ローテーションの種類に応じて、その他のフィールドを追加することもできます。 以下の手順をご参照ください。

パスワードフィールドを設定

Keeperの記録の「パスワード」フィールドにユーザーの現在のパスワードを入力します。

ホスト名とポートを設定

タイプ指定されていない記録を使用する場合は、ホストとポートをカスタムフィールドに設定できます。以下をご参照ください。

以下の必須フィールドを追加

ADローテーションには、以下のフィールドが必要です。ラベルを指定して各フィールドを作成し、必要な情報を入力します。

その他のローテーション設定

ローテーションパラメータをカスタマイズできる値は以下のとおりです。 これらのオプションをテキストフィールドとして記録に追加し、表に示すように、パラメータに相当するラベルを設定します。

記録のローテーション

Active Directoryのパスワードをローテーションするには、Commanderでrotateコマンドを使用します。 コマンドに記録タイトルもしくはUIDを渡します (複数の記録を1度にローテーションさせるには、正規表現で--matchを使用します)。

rotate "AD Password Rotator" --plugin adpasswd

注意事項とトラブルシューティング:

「ADサーバーへの接続中にエラーが発生しました」というエラーが表示された場合は、以下の手順をお試しください。

• ADがTLSを使用した安全なバインドをサポートしていることを確認します。証明書は、必要に応じて自己署名にすることができます。

• 「パスワードの最小有効期間」グループポリシーを無効にします。デフォルトでは1日に設定されています。

• ホストサーバーへの接続を検証し、アクセス可能であることを確認します。Softerra LDAPブラウザなどのツールをダウンロードして、Active Directoryに接続できるかテストします。

• 識別名cmdr:userdnが正しく設定されていることを確認します。完全に正確であることが必要です。正確でないと接続に失敗します。この値は、Softerra LDAPブラウザソフトウェアで確認してもよいですし、ADサーバーで以下のコマンドプロンプトユーティリティを実行してもよいです。

C:\Users\craig>dsquery user -name Craig*
"CN=Craig Lurey,CN=Users,DC=keeper,DC=test,DC=keepersecurity,DC=com"

このシナリオでCraigとして接続する場合は、cmdr:userdnカスタムフィールドにこの正確な文字列（引用符なし）が含まれていることを確認します。

Active Directoryに接続

Microsoft Active Directoryでパスワードを変更するには、SSL接続が必要です。以下のリンクでは、Active Directoryへの安全な接続を設定する方法が説明されています。

https://blogs.msdn.microsoft.com/microsoftrservertigerteam/2017/04/10/step-by-step-guide-to-setup-ldaps-on-windows-server/