macOSユーザー

Keeper Rotationを使用したローカルMacユーザーアカウントのローテーション

概要

このガイドでは、Keeper Rotationを使用して、SSHでMacOSアカウントをリモートからローテーションする方法について説明します。

前提条件

このガイドでは、以下の作業がすでに実行されていることを前提としています。

Keeper Secrets Managerが企業およびロールに対して有効になっていること。
Keeper Rotationがご利用のロールに対して有効になっていること。
Keeper Secrets Managerアプリケーションが作成済みであること。
Keeper Rotationゲートウェイがすでにインストールされて動作しており、SSHを使用してMacOSデバイスと通信できること。

1. PAMマシンのクレデンシャルを設定

Keeper Rotationは、管理者のクレデンシャルを使用して環境内の他のアカウントをローテーションします。このアカウントはドメインに参加している必要も、完全な管理者アカウントである必要もありませんが、他のアカウントのパスワードを正常に変更できる必要があります。

管理者のクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。

PAMディレクトリ記録のフィールド

フィールド説明

フィールド	説明
記録タイプ	PAMマシン
タイトル	Keeperの記録タイトル
ホスト名またはIPアドレス	ディレクトリMacOSデバイスのIPアドレスまたはホスト名。ゲートウェイがデバイスにインストールされている場合は、localhostを使用します。例:`10.10.10.10`、`MarysMacBook`、`localhost`
ポート	SSHポート、通常:`22` - SSHはローテーションに必要です。
SSLの使用	有効にする必要があります
ログイン	LDAPローテーションを実行するアカウントのユーザー名。例: `rotationadmin`
パスワード	管理者アカウントのパスワード
オペレーティングシステム	Mac OSのローテーションでは、次を使用します。`MacOS`
その他のフィールド	これらは空白のままにしておいてください

記録タイプ

PAMマシン

タイトル

Keeperの記録タイトル

ホスト名またはIPアドレス

ディレクトリMacOSデバイスのIPアドレスまたはホスト名。ゲートウェイがデバイスにインストールされている場合は、localhostを使用します。例:10.10.10.10、MarysMacBook、localhost

ポート

SSHポート、通常:22 - SSHはローテーションに必要です。

SSLの使用

有効にする必要があります

ログイン

LDAPローテーションを実行するアカウントのユーザー名。例: rotationadmin

パスワード

管理者アカウントのパスワード

オペレーティングシステム

Mac OSのローテーションでは、次を使用します。MacOS

その他のフィールド

これらは空白のままにしておいてください

2. PAMの設定を指定

注: PAM設定がすでに指定されている場合は、この手順を省略できます。

ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。

以下は、PAM設定記録の必須フィールドとなります。

フィールド説明

フィールド	説明
タイトル	設定名、例:`MAC Rotation`
環境	選択:`Local Network`
ゲートウェイ	MacOSデバイスにSSHでアクセスできるゲートウェイを選択します
アプリケーションフォルダ	上記のPAMマシン記録を含む共有フォルダを選択します。
管理者クレデンシャル記録	管理者の記録を選択します。このリストはアプリケーションフォルダ内の記録にフィルタリングされます
追加リソースクレデンシャル	プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します
デフォルトのローテーションスケジュール	オプション
その他のフィールド	これらは空白のままにしておいてください

タイトル

設定名、例:MAC Rotation

環境

選択:Local Network

ゲートウェイ

MacOSデバイスにSSHでアクセスできるゲートウェイを選択します

アプリケーションフォルダ

上記のPAMマシン記録を含む共有フォルダを選択します。

管理者クレデンシャル記録

管理者の記録を選択します。このリストはアプリケーションフォルダ内の記録にフィルタリングされます

追加リソースクレデンシャル

プライマリクレデンシャルに加えて、試行するオプションクレデンシャルをすべて追加します

デフォルトのローテーションスケジュール

オプション

その他のフィールド

これらは空白のままにしておいてください

3. 1つまたは複数のPAMユーザー記録を設定

Keeper Rotationは、PAMマシン記録のクレデンシャルを使用して、ご利用の環境のPAMユーザー記録をローテーションします。

ユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

PAMユーザーの記録のフィールド

フィールド説明

フィールド	説明
記録タイプ	PAMユーザー
タイトル	Keeperの記録タイトル
ログイン	ローテーションするアカウントの大文字と小文字の区別があるユーザー名。例: `msmith`
パスワード	アカウントパスワードはオプションです。空白の場合はローテーションで設定されます
その他のフィールド	これらは空白のままにしておいてください

記録タイプ

PAMユーザー

タイトル

Keeperの記録タイトル

ログイン

ローテーションするアカウントの大文字と小文字の区別があるユーザー名。例: msmith

パスワード

アカウントパスワードはオプションです。空白の場合はローテーションで設定されます

その他のフィールド

これらは空白のままにしておいてください