PAM360 - よくある質問

1.全般

1. PAM360を使用する前に、前提となるソフトウェアのインストールは必要ですか？
2. PAM360はどのオペレーティングシステムをサポートしていますか？
3. 私が追加したリソースを他人が見ることができますか？
4. PAM360リソースに各自の属性を追加できますか？
5. ユーザーが機密パスワードを人と共有する前に組織を離れたときはどうなりますか？
6. 新しいActive Directory(AD)ドメインをPAM360にどのように追加しますか？
7. ADドメインをPAM360からどのように削除しますか？
8. ADからのインポート中のエラー「グループのリストが大きすぎて表示できない」と「OUのリストが大きすぎて表示できない」はどのように修正しますか？
9. 時間や回数の変更等の既存のスケジュール設定されたタスクのプロパティはどのように編集したらよいですか？
10. AD同期ジョブは、4時間ごと等、1日に複数回行うように設定できますか？
11. 「PAM360がユーザーが入力したデータ中に有害なコンテンツを検出したため作動を中止しました」エラーがcsv/tsvファイルからリソースをインポートしているときに発生しました。どのように修正したらよいですか？
12. ADからのユーザー/リソースのインポートに失敗した場合どのようにトラブルシューティングしたらよいですか？
13. カスタムクエリを実行して他の報告システムとの統合に結果を生成することはできますか？
14. ドメインSSOはファイアウォール/VPN全体で作動しますか？
15. PAM360を各自のロゴと組織情報でリブランディングできますか？
16. PAM360はユーザーによるパスワード表示試行と取り込みを記録しますか？
17. PostgreSQLウォールアーカイブファイルのサイズはなぜ、急速に拡大しているのですか？
18. PAM360は高可用性をサポートしていますか？
19. PAM360は各種syslog形式のどれに準拠していますか？
20. PAM360はWindows CALライセンス番号を変更しますか？
21. グループマネージドサービスアカウント（gMSA）を使ってどのようにPAM360サービスを実行しますか？
22. PostgreSQL Serverの起動の失敗はどのように修正するのですか？
23. PAM360バージョンのアップグレード中に発生する以下の例外はどのように処理しますか？
24. バージョンアップグレードをCLIモードでどのように実行するのですか？
25. ログ、レポートおよびCAPTCHAはバージョンのアップグレード後で可読不可になります。この問題はどのように修正したらよいですか？
26. PAM360のインストール中にウィルス対策除外を推奨しますか？
27. 複数のManageEngineアプリケーションサービスを制限なく同時に利用するにはどうしたらよいですか？
    

2.Webインターフェイスと認証

1. PAM360がリッスンしているデフォルトポート8282は変更できますか？
2. PAM360 WebポータルアクセスURLはどのように変更しますか？
3. PAM360はWebブラウザからアクセス可能なWebベースのアプリケーションです。それはどこからでもアクセスできることを意味しますか？
4. 複数のNICカードとIPがサーバーで利用できるときPAM360アプリケーションがバインディングするIPアドレスを変更できますか？
5. ユーザーにPAM360アカウントについて通知が届かない場合どうしたらよいですか？
6. PAM360で利用可能な認証スキーマは何ですか？
7. PAM360で利用可能なユーザーロールは何ですか？どのアクセスレベルがありますか？
8. PAM360ログインパスワードを忘れた場合はどうなりますか？
9. PAM360コンソールにブラウザからアクセスしているときセキュリティ警告が表示されるのはなぜですか？

3.セキュリティ

1. PAM360のパスワードはどのくらい安全ですか？
2. Password Management APIで行うアプリケーション・ツー・アプリケーションおよびアプリケーション・ツー・データベースのパスワード管理はどの程度安全ですか？
3. 各自のSSL証明書はインストールできますか？
4. 署名付きSSL証明書はどのように生成するのですか？[または]PAM360 ServerがWebブラウザとユーザーに信頼されるにはどうしたらよいですか？
5. SubjectAlternativeName(SAN)でサーバー証明書を作成できますか？

4.パスワード同期化

1. PAM360コンソールからリソースパスワードも変更できますか？
2. パスワード同期化で、エージェントおよびエージェントレスモードはいつ使用しますか？
3. Linuxの他の頒布/Windowsの他のバージョンに各自のリソースの種類を追加する場合、エージェントレスパスワードリセットは有効にできますか？
4. PAM360ですぐに使用しないカスタムリソースタイプにリモートパスワード同期化を実行する方法はありますか？
5. パスワード同期化が行われない場合、どのようにトラブルシューティングしますか？
6. Windows:ドメインパスワードリセットにエラーメッセージが出て失敗した場合ドメインパスワードをどのようにリセットしますか：「認証メカニズムが不明ですか」？
7. Windowsサービスアカウントリセットを有効にする前提条件は何ですか？
8. ドメインSSOはファイアウォール/VPN全体で作動しますか？

5.バックアップと災害復旧

1. PAM360を1つのサーバーから別のサーバーに移動できますか？
2. PAM360データベースに災害復旧をセットアップできますか？
3. バックアップデータはどこに保存されますか？それは暗号化されますか？

6.ライセンシング

1. PAM360によるライセンス付与ポリシーとは何ですか？
2. PAM360の永久ライセンスは購入できますか？どのようなオプションが利用できますか？
3. ライセンスファイルはどのように適用できますか？
4. 複数のサーバーで高可用性セットアップがしたいと考えています。これには1つのライセンスで足りますか？
5. PAM360は1000以上の管理者をサポートできますか？
6. 他の管理者ユーザーを入れて、またはさらに日数を加算して、評価を延長できますか？

7.SSHキー管理

1. SSHユーザーアカウントとSSHサービスアカウントをPAM360を使って管理する方法に違いはありますか？
2. 回転しなかったSSHキーの表示方法はありますか？
3. PAM360はSSHキーとSSL証明書以外のデジタルキーの管理をサポートしていますか？

8.SSL証明書管理

1. PAM360に互換性がない証明書タイプはありますか？
2. PAM360の証明書リポジトリで最新バージョンの証明書を自動的に識別および更新することはできますか？
3. PAM360のLinuxバージョンはActive DirectoryおよびMS証明書ストアの証明書検出をサポートしていますか？
4. PAM360の証明書リポジトリの同じコモンネームの証明書の有効期限を追跡できますか？
5. 証明書の秘密鍵をインポートできますか？
6. 証明書を証明書ストアにし、その証明書を使用するアプリケーションにマッピングするにはどうしたらよいですか？
7. PAM360はサブネットベースの証明書検出をサポートしていますか？
8. PAM360はMS証明書ストアの証明書検出への自動スケジュール設定をサポートしていますか？
9. 証明書関連のアラートメールは証明書のすべてのバージョンに対して生成されます（「証明書履歴に表示されるもの）か、またはPAM360証明書リポジトリに一覧表示されるもののみに対してですか？
10. 証明書は、ライセンシング用にカウントされる社内の認証局(CA)が発行しますか？
11. ルート証明書をPAM360にどのようにインポートしますか？

9.ポリシーベースのアクセス権限 - Zero Trustアプローチ

1. Zero Trustアプローチに関するエージェントタイプは何ですか？
2. エージェントはユーザーデバイスとリソースにどのおゆに機能しますか？
3. 使用タイプ「ユーザーデバイス」のPAM360エージェントでインストールしたデバイスはPAM360にリソースとして追加されますか？
4. ポリシーベースのアクセス権限機能をエージェントレスモードで使用できますか？
5. デフォルトシステムデータをユーザーデバイス/リソースからどのように取り込みますか？
6. 信頼スコア認証についてパラメーターの重み付けをどのように決めますか？
7. ユーザー信頼スコアとリソース信頼スコアはどのように計算しますか？
8. アクセスポリシーの目的は何ですか？
9. ユーザーとリソースはどのくらいのアクセスポリシーと関連づけられますか？
10. ポリシーベースのアクセス権限でコンフリクトはどのように生じますか？
11. 各種のスタティックグループから1つのリソースに関連づけられた複数のアクセスポリシーがある場合、1つのリソースの対象となるアクティブなアクセスポリシーは何ですか？
12. 1つのリソースのアクセスポリシー間のコンフリクトはどのように解決しますか？
13. 操作の優先はアクセスポリシー条件でどのように機能しますか？
14. ユーザー信頼スコアはどこで確認できますか？
15. リソース信頼スコアはどこで確認できますか？
16. セッション終了に考えられる理由は何ですか？

1.全般

1.PAM360を使用する前に、前提となるソフトウェアのインストールは必要ですか？

標準のシステム要件(ハードウェアとソフトウェアの両方)とは別に、PAM360サーバーが適切に機能するには次の要素が不可欠です。

以下は、PAM360のアカウント検出とパスワードリセットプロビジョンを利用する場合に特に必要です。

• PAM360 Serverが機能する、および各種通知をユーザーに送信する外部メールサーバー(SMTP Server)。
• PAM360 Serverおよび管理するターゲットシステムのドメイン管理権またはローカル権があるサービスアカウント［または］gMSA。
• Visual C++ Redistributable for Visual Studio 2015以上(PAM360のアカウント検出およびパスワードリセット機能用。)
• Microsoft .NET framework 4.5.2またはそれ以上が、PAM360がインストールされているサーバーにインストールされている必要があります。

これらのソフトウェア要件が構成されているかチェックするには：

• ［サポート］ » ［ソフトウェア要件］の順に進み、［構成をチェック］をクリックします。

開いたポップアップボックスに、構成ステータスが表示されます。

2.PAM360はどのオペレーティングシステムをサポートしていますか？

PAM360は、WindowsとLinuxオペレーティングシステムの以下の機能をサポートしています：

3.私が追加したリソースを他人が見ることができますか？

スーパー管理者(PAM360セットアップで構成している場合)以外は、管理ユーザーを含むいずれも、あなたが追加したリソースを表示することはできません。これ以外、他の管理者とのリソースの共有を決定する場合、それら管理者が確認できます。

4.PAM360リソースに各自の属性を追加できますか？

PAM360リソースとユーザーアカウントの属性をあなたのニーズに固有の詳細を含めるように拡張することができます。詳細は、この文書を参照してください。

5.ユーザーが機密パスワードを人と共有する前に組織を離れたときはどうなりますか？

管理ユーザーが組織を離れる場合、所有するリソースを他の組織に転送することができます。これにより、同ユーザーは、そのリソースを自身に転送しないかぎり、自身でリソースにアクセスすることはできなくなります。詳細は、この文書を参照してください。

6.新しいActive Directory(AD)ドメインをPAM360にどのように追加しますか？

管理者は、リソース検出とユーザー検出操作の両方に新しいドメインを追加できます。リソース検出については、下の手順に従ってください：

1. リソースタブに進み、検出リソースをクリックします。
2. ここで、ドメイン名を入力フィールドの横の［新しいドメイン］をクリックし、新しいドメイン名を追加できます。

詳細説明は、このヘルプドキュメントを参照してください。

ユーザー検出に新しいドメインを追加するには：

1. 管理者タブに進み、［認証］ >> ［Active Directory］の順にクリックします。
2. ここで、ドメイン名を入力フィールドの横の［新しいドメイン］をクリックし、新しいドメイン名を追加できます。

詳細説明は、このヘルプドキュメントを参照してください。

7.ドメインをPAM360からどのように削除しますか？

ドメインをPAM360から削除するには、初めに、このドメインに属するユーザーを削除する必要があります。ユーザーが削除されたら、下の手順にしたがって、ドメイン情報を削除します：

1. 管理者タブに進み、［認証］ >> ［Active Directory］の順にクリックします。
2. ここで、［同期スケジュールを表示］オプションをクリックします。
3. 左のドメインペインから、必要なドメインを削除します。

8.ADからのインポート中のエラー「グループのリストが大きすぎて表示できない」と「OUのリストが大きすぎて表示できない」はどのように修正しますか？

これらのエラーを修正するには、ADインポート中に許可されるOUとグループの数を増やす必要があります。以下の手順に従ってください：

1. PAM360 Serviceを停止します。
2. 以下の中にあるsystem_properties.confファイルのバックアップを取ります<PAM360-Home>\conf directory。
3. 次に、system_properties.confをWord Padに管理者権限で開き、以下の値を編集します：
   1. domain.ou.limit=2500を検索し、値を25000に変更します。
   2. domain.group.limit=2500を検索し、値を25000に変更します。
4. ファイルを保存し、PAM360サービスを再起動します。

9.時間や回数の変更等の既存のスケジュール設定されたタスクのプロパティはどのように編集したらよいですか？

下の手順にしたがって、AD同期の時間間隔を修正できます。新しいタスクを作成または既存のスケジュール設定されたタスクを作成するには、下の手順に従います：

1. 管理者としてログインし、グループタブに進みます。
2. リソースグループの横にある[操作]アイコンをクリックし、ドロップダウンから[定期的なアカウント検出] を選択します。
3. 開いたポップアップで、AD同期に時間間隔をスケジュール設定または修正します。

10。AD同期ジョブは、4時間ごと等、1日に複数回行うように設定できますか？

OU/グループをADからインポートするときにスケジュールを構成して4時間ごとに実行する必要があります。

インポートするには、［リソース］ >> ［リソースを検出］ >> ［インポート］の順に進みます。ここで、要件にあわせて同期間隔を指定してインポートします。

11。「PAM360がユーザーが入力したデータ中に有害なコンテンツを検出したため作動を中止しました」エラーがcsv/tsvファイルからリソースをインポートしているときに発生しました。どのように修正したらよいですか？

セキュリティ対策として、PAM360は、HTMLタグ(< , >), "URL等の特定文字を制限します：HTTPS://」または「URL: HTTP://"、セキュリティマーク(?)、エンドラインおよび複数のスペース（PAM360の注記または他のフィールド中） で、製品中のセキュリティ違反の発生を避けます。

これらの文字が、パスワードフィールド以外の他のフィールドで使用される場合、違反の原因となりインポートが失敗します。

これを避けるため、CSV/TSVファイルを検証し、インポートが正常になされるようにするため、これらの文字が削除されていることを確認します。

12.ADからのユーザー/リソースのインポートに失敗した場合どのようにトラブルシューティングしたらよいですか？

以下を検証：

• ユーザー認証情報が正しいかチェックします。
• 管理者ユーザーで施行して失敗した場合は、非管理者ユーザーの認証情報の入力を試します。これは、接続が適切に確立できるかを検証するためです。

上の認証に失敗した場合は、pam360-support@manageengine.com.にお問い合わせください。

13。カスタムクエリを実行して他の報告システムとの統合に結果を生成することはできますか？

はい。できます。個別要求について当社サポートにお問い合わせください。当社で、関連のSQLクエリについてサポートし、XML出力を生成します。

14。ドメインSSOはファイアウォール/VPN全体で作動しますか？

ドメインシングルサインオン(Windows統合認証)は、HTTPヘッダーの非標準パラメーターを設定してWindows環境で実現できます。これは通常、ファイアウォール/VPN等のデバイスで外されます。PAM360は、ネットワーク内で使用するように設計されています。そのため、ネットワーク外部から接続するユーザーがある場合、SSOでこれを有効にできません。

15.PAM360を各自のロゴと組織情報でリブランディングできますか？

はい。PAM360には、カスタマイズとリブランディングについて以下のオプションがあります：

• Webインターフェイスモバイルアプリへの自社ロゴの使用。(推奨される画像サイズは210*50ピクセルです)
• 製品にログインページへの説明の設定。
• ユーザーインターフェイスのデフォルト色の変更。
• カスタマイズした法的コンテンツが記載されたバナーの表示。
• 個人情報保護方針のコンテンツのカスタマイズとその承認ボタンの表示。

上の機能を実行するには：

1. ［管理者］ >> ［カスタマイズ］ >> ［リブランディング］の順に移動します。
2. ［ログオンとテーマ］セクションで、カスタマイズロゴとログインページの説明をセットアップし、デフォルトの肌の色調を変更します。
3. ログインページテキスト,で、ログインページに表示するポリシーおよび/または法的条件を追加します。

この構成はいずれかの時点で無効にできますので、注意してください。方法を確認します。

16.PAM360はユーザーによるパスワード表示試行と取り込みを記録しますか？

はい。PAM360は、パスワード表示とコピー操作を含む、ユーザーが実行する可能性があるすべての操作を記録します。監査トレイルから、パスワード取り込みをするユーザーによる操作と試行すべての包括リストを取得できます。詳細情報

17.PostgreSQLウォールアーカイブファイルのサイズはなぜ、急速に拡大しているのですか？

この問題は、PAM360で指定したバックアップ場所がバックアップファイルを保存するのにアクセスできない場合に生じます。簡単にいうと、PostgreSQLデータベースのバックアップに失敗すると必ず、wal_archiveフォルダサイズが大きくなりはじめます。

解決策：

• PAM360ドライブに利用可能な空き容量が十分あるかチェックします。
• 十分ではない場合は、ログディレクトリとディレクトリ内にあるいくつかのファイルを削除します。
• ここには、バックアップが1つか2つのみである必要があります。
• PAM360にログインし、［管理者］ >> ［構成］ >> ［データベースバックアップ］の順に移動します。
• ［今すぐバックアップ］ボタンをクリックします。

これで、即時バックアップがトリガーされ、wal_archiveディレクトリを自動パージします。

18.PAM360は高可用性をサポートしていますか？

はい。詳細は、高可用性ディレクトリを参照してください。

19.PAM360は各種syslog形式のどれに準拠していますか？

以下は、PAM360がsyslogメッセージをsyslogコレクタホスト送信するのに使う3つの異なるタイプのsyslog形式です：

i. リソース監査

operatedName+":"+operatedIp operationType operatedDate statusMess resourceName+":"+accName+":"+reason

ii.ユーザー監査

operatedName+":"+operatedIp operationType operatedDate statusMess auditUserName+":"+reason

iii.キー監査

SSL: <190> Parent_Domain: manageengine.com Included_Domain: kmp.com Days_to_Expire: 100 Expire_Date: 5.08.2020
SSH: <190> Key_Name:172.21.147.130_test123_id Days_Exceeded:0 Modified_On:2016-02-16 17:41:24.008

20。PAM360はWindows CALライセンス番号を変更しますか？

一般的に、RDPセッションは、PAM360 Serverから呼び出され、Sparkゲートウェイと呼ばれるサードパーティコンポーネントからエンドユーザーのブラウザに中継されます。コンポーネントは、PAM360とバンドルされ、Windows CALライセンスには関係ありません。そのため、PAM360は、いずれの場合も、Windows CALライセンスの数に影響を与えることはありません。ユーザーは、Microsoftによる提案にしたがって、多くのCALライセンスを購入する必要があります。

21.グループマネージドサービスアカウント（gMSA）を使ってどのようにPAM360サービスを実行しますか？

グループマネージドサービスアカウント（gMSA）を使って、PAM360サービスを実行することについての詳細は、ここをクリックしてください。

22。PostgreSQL Serverの起動の失敗はどのように修正するのですか？

エラーシナリオ：

• アップグレード中：

PPMファイルを選択した後でコマンドプロンプトに出る「PostgreSQL Serverの起動の試行に失敗しました」エラー。

• HAをセットアップ中：

HASetup.batコマンドを実行した後にコマンドプロンプトに出る「PostgreSQL Serverの起動の試行に失敗しました」エラー。

• サービス起動中：
  1. アップグレード後、PAM360サービスの起動に失敗しました。
  2. サービスコンソールでPAM360サービスアカウントを更新した後、PAM360サービス起動に失敗しました。
  上の2つのケースでは、以下のようにします：
  <PAM360-HOME>\logs\wrapper ファイルをnotepad/Notepad++で開き、ファイルの下部(すなわち、もっとも最近の時間枠)に移動し、「PostgreSQL Serverの起動の試行に失敗しました」エラーが出たかをチェックします。

考えられる原因： 

上のエラーシナリオについては、以下の原因を説明します：

「PostgreSQL Serverの起動の試行に失敗しました」エラーは以下の場合に発生します、

1. PAM360が PAM360内のいくつかのサブフォルダにアクセスできない(すなわち、適切な権限が付与されていない)。
2. 背景プロセスが適切に終了していないためPostgreSQL DBの軌道に失敗する場合。
3. インスタンドDBポートが異なるプロセスに占有されている可能性がある場合。

解決策：

下の解決策は、上のエラーシナリオのすべてに適用されます。この問題を修正するには、下の手順にしたがって、権限を付与し、

1. タスクマネージャを起動して、すべてのPostgresプロセスを停止 ("すべてのユーザーからのプロセスを表示" を選択されていることを確認します - PAM360の場合)。  
2. 特権アカウントがあるPAM360サービスをサービスコンソールで更新します。
3. 管理者でコマンドプロンプトを開き、下のクエリを実行します：
1. icacls "installation path" /q /c /t /grant Users:F
• インストールパス - Manage_Engineフォルダの場所を入力します。 
• ユーザー - PAM360サービスアカウントを以下の形式で入力します：  <DomainName\user name>または<username@domainname>。
• 例：  icacls "C:\ProgramFiles\ManageEngine\PAM360" /q /c /t /grant ManageEngine\svcpam360:F
2. キーがPAM360フォルダの外にある場合は、icaclsココマンドを使って、キーの場所に権限を入力してください。
3. 同じように、<PAM360>\pgsql\dataフォルダにフルコントロール権限を入力します。 
4. <PAM360_Installation_Directory>/pgsql/dataフォルダをチェックし、その権限を継承しているか確認します。
4. <PAM360_Installation_Directory>/pgsql/dataに移動し、pg_hba.confを開き、NULLを検索します。ある場合は、NULLを含むライン全体を削除します。
5. <PAM360_Installation_Directory>内の作成ログフォルダの名前をlogs.oldに変更し、新しいフォルダをログとして作成します。
6. <PAM360_Installation_Directory>内のパッチフォルダの名前をPatch.oldに変更し、新しいフォルダをパッチとして作成します。 
7. <PAM360_Installation_Directory>/binディレクトリに移動し、.lockまたはlockfileの名前のファイルを探します。ある場合は、これらのファイルの両方を他のディレクトリに移動させます。
8. <PAM360_Installation_Directory>/pgsql/dataディレクトリに進み、recovery.confとpostmaster.pidの名前のファイルを探します。ある場合は、このファイルを他のディレクトリに移動させます。
9. 次に、PPMを適用するか、HAを構成、またはサービスの起動を試行します。

問題がまだ解消しない場合は、zip 圧縮し、ログを<PAM360_HOME>および<PAM360-HOME>\pgsql\data\pg_logフォルダも、上のスクリーンショットとあわせて、pam360-support@manageengine.comにメールにて当社に送信してください。

23。PAM360バージョンのアップグレード中に発生する以下の例外はどのように処理しますか？

例外#1：原因： java.lang.OutOfMemoryError: GC上限制限を超えました

1. PAM360 Serviceを停止します。
2. <PAM360_Installation_Directory> or a のバックアップを取るか、VMスナップショットを取ってください。
3. <PAM360 installation directory>\binに移動し、ファイルUpdateManager.bat (UpdateManager.sh for Linux)を開きます
4. このファイルをいずれかのエディタで開き、エントリを差額します： $JAVA -Xmx100m $JAVA_OPTS -Dtier-type=BE -Djava.library.path=./lib/native -Dtier-id=BE1 -cp $CLASSPATH com.adventnet.tools.update.installer.UpdateManager -u conf $*
5. 値を$JAVA -Xmx2048m $JAVA_OPTS -Dtier-type=BE -Djava.library.path=./lib/native -Dtier-id=BE1 -cp $CLASSPATH com.adventnet.tools.update.installer.UpdateManager -u conf $*に変更します
6. ファイルを保存します。PAM360サービスを起動して、もう一度アップグレードを試行します。

問題がまだ解消されない場合は、ログをpam360-support@manageengine.comに送信し、詳細な調査を依頼してください。

例外#2：PostgreSQL Severの起動の試行に失敗しました

1. PAM360サービスを停止します。
2. PostgresまたはPAM360.exeプロセスをタスクマネージャを使って停止します。
3. PAM360トレイアイコンを終了します。
4. 特権アカウントを使って、PAM360サービスアカウントを実行します。また、このアカウント<PAM360_Installation_Directory>にフル管理フォルダ権限を付与します。
5. 特権アカウントでコマンドプロンプトを開きます。
6. アップグレードを継続します。

24.バージョンアップグレードをCLIモードでどのように実行するのですか？

Apple Windows

1. PAM360 Serviceを停止します。
2. 管理者権限でコマンドプロンプトを開きます。
3. <PAM360_Installation_Directory> /binに移動し、- UpdateManager.bat -u conf -c -optionを一行します i .ppmファイルの場所を次のラインに記載します。
4. 入力してアップグレードに進みます。

Apple Linux

1. PAM360 Serviceを停止します。
2. 管理者権限でコマンドプロンプトを開きます。
3. 次に移動します<PAM360_Installation_Directory>/bin and execute - UpdateManager.sh -u conf -c -option i -ppmPath
• <Path_Of_The_ppm_file>例： UpdateManager.sh -u conf -c -option i -ppmPath c:\pam360.ppm.
4. 入力してアップグレードに進みます。

アップグレードパックの詳細説明は、ここをクリックしてください。

25。ログ、レポートおよびCAPTCHAはバージョンのアップグレード後で可読不可になります。この問題はどのように修正したらよいですか？

以下をチェックします：

1. ログをひらき、以下のエラーがあるかチェックします：
   javax.servlet.ServletException： javax.servlet.ServletException：java.lang.Error：致命的な可能性があるエラー：フォントとが見つかりません。
2. dejavuフォントをインストールしたかチェックします。

以下のコマンドを使って、dejavuフォントをインストールします。

i. RHEL / Centosの場合：
sudo yum install fontconfig dejavu-sans-fonts dejavu-serif-fonts
ii.Ubuntu / Debian：
sudo apt install fonts-dejavu fontconfig
iii.SLES:
sudo zypper install dejavu-fonts fontconfig

これで、dejavuフォントがお使いのマシンに性上位インストールされました。
インストール後、以下の手順に従います：

1. <PAM360 Installation Directory>/confフォルダに移動します。
2. wrapper_lin.conf file and add following property:
   wrapper.java.additional.27=-Dsun.java2d.fontpath=<Font Dir Path>を開きます
   [または]
3. すべてのttfファイルをコピーして、<PAM360 Installation Directory>/jre/lib/fontsフォルダに貼り付けます。
4. PAM360サービスを再起動します。

26。PAM360のインストール中にウィルス対策除外を推奨しますか？

はい。「ManageEngine/PAM360」ディレクトリは、製品インストール中は、ウィルス対策、エンドポイント検出と応答(EDR)および拡張検出応答(XDR)スキャンから除外することを強く推奨します - インストールウィザードでそうするように求められます。製品が作動できるようになるための必須コンポーネントは、このディレクトリの中にあり、その中には、リモート接続を開始し、およびメンテナンス操作を実行するときに使用する各種スクリプトが収められています。このディレクトリが除外されない場合、ウィルス対策スキャンがPAM360でのスケジュール設定された操作中にスクリプトファイルをそれぞれスキャンするため、製品動作が遅くなります。また、リモートパスワードリセット等のリセット機能は適切に作動しない場合があります。

27。複数のManageEngineアプリケーションサービスを制限なく同時に利用するにはどうしたらよいですか？

現在、ManageEngine PAM360および他のManageEngine製品の両方では、一部の共通cookie名(JSESSIONIDとJSESSIONIDSSO)を利用しており、ここには ManageEngineアプリケーションサービスの同時セッションが隠れている可能性があります。同様のcookieが in PAM360にある複数のセッションを有効にするには、下の手順にしたがって、PAM360 cookie設定を特定およびカスタマイズします：

1. <PAM360_Installation_Directory>/confに移動します。
   
2. system_properties.confファイルを管理者権限で開き、ラインの終わりに以下を追加して保存します。

   org.apache.catalina.authenticator.Constants.SSO_SESSION_COOKIE_NAME=PAMJSESSIONIDSSO
   org.apache.catalina.SESSION_COOKIE_NAME=PAMSESSIONID

3. 次に、web.xmlファイルを管理者権限で開き、<session-config>セクションを探して、以下のとおり、更新します：

   <session-config>
   <session-timeout>450</session-timeout>
   <cookie-config>
   <name>PAMSESSIONID</name>
   </cookie-config>
   </session-config>
   

4. これで、PAM360サービスを再起動して先に進みます。

2.Webインターフェイスと認証

1.PAM360がリッスンしているデフォルトポート8282は変更できますか？

はい。デフォルトポートは下の説明のとおり、変更できます：

1. PAM360に管理者としてログインします。[管理者] >> [構成] >> [PAM360サーバー]の順に移動します。 
2. サーバーポートフィールドの横の必要なポートを入力し、［保存］をクリックします。
3. この構成が有効になるには、M360を再起動します。

2.PAM360 WebポータルアクセスURLはどのように変更しますか？

1. 管理者としてログインします。［管理者］ >> ［設定］の順に移動し、［メールサーバー設定］をクリックします。
2. 必要なURLをアクセスURLフィールドに入力し、設定を保存します。

これは今後、PAM360のカスタムWeb URLになります。

3.PAM360はWebブラウザからアクセス可能なWebベースのアプリケーションです。それはどこからでもアクセスできることを意味しますか？

PAM360は、物理マシンまたは仮想マシン(VM)にインストールされたオンプレミスツールです。PAM360のWebインターフェイスに同じLANネットワークに接続されたネットワーク上のいずれかのマシンからWebブラウザを使ってアクセスできます。

4.複数のNICカードとIPがサーバーで利用できるときPAM360アプリケーションがバインディングするIPアドレスを変更できますか？

PAM360には、TomCat Webサーバーの個別設定バージョンがバンドルされ、これで、ユーザーはWebページにアクセスでき、製品を動作させるJVMにもアクセスできます。下の手順で、これらのコンポーネントの両方についてバインドIPアドレスを構成できます。

WebサーバーバインドIPをへの変更する手順

1. PAM360 Serviceを停止します。
2. <PAM360インストールフォルダ>/conf ディレクトリに移動し、server.xmlの名前のファイルのバックアップを取ります。
3. Wordpadを管理者として開き、<PAM360インストールフォルダ>/conf ディレクトリのserver.xmlを開きます。
   1. port="8282"を探し、その横のaddress="<アプリケーションサーバーのIPアドレス>"エントリを追加します。
   2. ファイルを保存します。
4. PAM360サービスを開始します。これで、Tomcat Webサーバーは、指定したバインドIPの使用を開始します。

1. PAM360 Serviceを停止します。
   
2. <PAM360インストールフォルダ>/conf ディレクトリに移動し、wrapper.conf.の名前のファイルのバックアップを取ります。
   
3. Wordpadを管理者として開き、<PAM360インストールフォルダ>/confディレクトリのwrapper.confを開きます。
   1. 単語wrapper.app.parameter.1を探し、wrapper.app.parameter.1の下に以下のラインを追加します。
      
      • wrapper.app.parameter.2=-Dspecific.bind.address=<アプリケーションサーバーのIPアドレス>
   2. ファイルを保存します。
4. 次に、<PAM360インストールフォルダ>/logsフォルダの名前をlogs_olderに変更し、PAM360サービスを起動します。
   
5. ログインページに接続し、パスワードリセット等の製品機能の使用を試します。これらの操作のソースIPは、構成したIPアドレスと同じになります。

5.ユーザーにPAM360アカウントについて通知が届かない場合どうしたらよいですか？

一般的に、ユーザーは、メールでPAM360アカウントの通知を受けます。  通知メールが届かない場合は、以下を検証してください：

• お使いの環境のSMTPサーバーの詳細で、メールサーバー設定を適切に構成しているか。
• メールサーバー設定の一部として有効な認証情報が一部のメールサーバーでメールを受信するのに必要となるため、それらを入力しているか。
• 一部のメールサーバーは差出人アドレスなしのメールまたは不明なドメインから着信するメールを拒否するため「送信者メールID」が適切に構成されているか。

6.PAM360で利用可能な認証スキーマは何ですか？

PAM360から以下の3つの認証メカニズムの1つを使用できます:

• Active Directory：有効にした場合、認証要求が構成されたドメインコントローラーに転送され、その結果により、ユーザーは、PAM360へのアクセスを許可または拒否されます。ユーザー名、パスワードおよびドメインをPAM360ログイン画面に入力します。このスキームは、詳細が以前ADからインポートされたユーザーにのみ機能し、PAM360 ＳerverがWindowsシステムにインストールされている場合のみ利用可能です。
• LDAPディレクトリ：入力すると、認証要求は構成されたLDAPディレクトリサーバーに転送され、その結果により、ユーザーは、PAM360へのアクセスを許可または拒否されます。LDAP認証を使うユーザー名、パスワードおよびオプションは、PAM360ログイン画面に入力します。このスキームは、詳細を以前LDAPディレクトリからインポートしたユーザーのみに機能します。
• PAM360ローカル認証: 認証はPAM360 Serverでローカルに実行されます。ADまたはLDAP認証の有効化の有無には関係なく、このスキームはログインページで選択したユーザーは必ず、利用できます。このスキームには、ユーザーの個別パスワードがあり、ADまたはLDAPパスワードがPAM360データベースに保存されることはありません。ただし、セキュリティ上の理由から、AD/LDAP認証を有効にした後のユーザーにはローカル認証を無効にすることを推奨します。
• Azure AD：お使いの環境でPAM360をAzure Active Directory(Azure AD)と統合したら、ユーザーは各自のAzure AD認証情報を使って、WindowsとLinuxプラットフォームの両方でPAM360にログインできます。この認証を使用するには、PAM360は、初めに、Azure ADポータルでネイティブクライアントアプリケーションとして追加されていることが必要です 。 
• スマートカード認証：この機能を有効にするには、ユーザーはスマートカードを所有し、個人識別番号(PIN)を知っている必要があります。スマートカード認証は、AD、LDAPまたはローカル認証等、他の第1要素認証をバイパスしますので、注意してください。
• RADIUS認証：お使いの環境でPAM360をRADIUS Serverと統合し、RADIUS認証を使って、PAM360が提供するローカル認証を交換することができます。PAM360にRADIUS Server認証情報を使ってアクセスするユーザーは、初めに、PAM360にユーザーとして追加されていることが必要です。その場合、PAM360の「ユーザー名」がRADIUS Serverにアクセスするのに使うユーザー名と同じである必要があります。 
• SAML SSO：PAM360は、サービスプロバイダ(SP) の役割を持ち、SAML 2.0を使って、アイデンティティプロバイダ（IdP）と統合されます。統合では、基本的にSPの詳細をIdPに入力したり、IdPの詳細をSPに入力したりする必要があります。PAM360をIdPと統合したら、ユーザーはIdPにログインするだけで、各アイデンティティプロバイダーのGUIからPAM360に自動的にログインできるため、認証情報の再入力は不要です。PAM360は、Okta、AD FS、およびAzure AD SSOとの統合をサポートしています。

メモ：

SAML SSO認証の場合、デフォルトでは、Assertion Consumer URLがサーバーのホスト名です。Assertion URLを更新するには、以下の手順に従います：

1. ［管理者］ >> ［設定］ >> ［メールサーバーの設定］の順に進みます。
2. アクセスURLで、必要なURLを更新し、［保存］をクリックします。

これで、サービスプロバイダー詳細でAssertion Consumer URLが更新されます。

7.PAM360で利用可能なユーザーロールは何ですか？どのアクセスレベルがありますか？

PAM360には、事前定義済ロールが5つ付いています：

• 特権管理者
• 管理者
• パスワード管理者
• パスワード監査担当者
• パスワードユーザー

これらのデフォルトロール以外に、管理者は、すべてのリソースを表示および管理する権限があるスーパー管理者として昇格することができます。デフォルトロールのアクセスレベルについての詳細は、ここをクリックしてください。

8.PAM360ログインパスワードを忘れた場合はどうなりますか？

注記：ログイン画面に「パスワードを忘れた」オプションを表示は、［管理者］ >> ［全般設定］ >> ［ユーザー管理］で有効にする必要があります。

ローカル認証に有効なPAM360アカウントがすでに与えられている場合、

1. ログインページにある［パスワードを忘れましたか？］リンクをクリックして、パスワードをリセットします。
2. 表示されるポップアップで、
   1. ユーザー名と、対応するメールIdを入力します。
   2. ［リセット］をクリックし、パスワードリセっとインクをメール更新に送信します。
3. メールを開き、パスワードリセットリンクが記載されたメールを探して、リンクをクリックします。
4. これで、PAM360は、ワンタイムパスワード(OTP)を構成済メールに送信します。
5. このワンタイムパスワードをユーザー名とあわせて使用し、ドメイン名ドロップダウンメニューで［ローカル認証］を選択してログインします。
6. PAM360は、パスワードをリセットするように求めます。ワンタイムパスワードを古いパスワードに入力し、新しいパスワードを入力します。
7. ［保存］をクリックします。

PAM360パスワードが正常にリセットされました。

9.PAM360コンソールにブラウザからアクセスしているときセキュリティ警告が表示されるのはなぜですか？

PAM360 Webコンソールは常に、HTTPSプロトコルを使って、PAM360 Serverと通信します。PAM360 Serverには、デフォルトで自己署名SSL証明書が付いており、標準Webブラウザは、これに警告を認識および発行しません。本製品のテストまたは評価時は、この警告を無視することができます。ただし、生産を開始している場合、すべての標準的なWebブラウザで認識されるSSL証明書をインストール（正規の認証局 (CA)で購入）することを推奨します。詳細情報

3.セキュリティ

1.PAM360のパスワードはどのくらい安全ですか？

パスワードの安全保存と、侵入に対する強い防護保証は、PAM360の最優先事項です。以下の対策で、パスワードの高レベルのセキュリティが可能です：

• パスワードは、AES（Advanced Encryption Standard)を使って暗号化され、データベースに保存されます。AESは現在、既知の暗号化アルゴリズムの中では最強として、米国政府の暗号化標準に採用されています。
• すべてのパスワードを保存するデータベースは、実行中のホストのみからの接続を承認し、外部には表示されません。
• ロールベースの詳細なユーザーアクセスコントロール目カンズムで、ユーザーは、そこに付与された権限に基づいてのみパスワードを表示およびアクセスできます。
• PAM360コンソールとサーバーの間のすべてのトランザクションはHTTPSで行われます。
• PAM360の組込みパスワードジェネレーターで、強いパスワードを生成することができます。

2.Password Management APIで行うアプリケーション・ツー・アプリケーションおよびアプリケーション・ツー・データベースのパスワード管理はどの程度安全ですか？

PAM360には、RESTful APIとSSHベースのCLI APIが付き、アプリケーション・ツー・アプリケーション/データベースパスワード管理管理に使用できます。アプリケーションは、PAM360と、HTTPSから接続され、相互連絡されます。アプリケーションのアイデンティティは初め、SSL証明書の有効期間を検証し、続いて、それがあるソースIP/ホスト名を検証して、検証を行います。各アプリケーション/データベースは、PAM360でAPIユーザーとして登録する必要があります。この登録中、アプリケーションサーバーのホスト名/IPの入力が必要で、REST APIを使う一意の認証トークンが生成されます。このトークンは、認証のためAPI要求とあわえて送信する必要があります。これらのセキュリティチェックに加え、各アプリケーション/データべースは管理ユーザーが明確に委任する情報のみにアクセスできます。パスワードの共有/委任についての詳細は、この文書を参照してください。

3.各自のSSL証明書はインストールできますか？

はい。各自のSSL証明書をインストールすることができます。下の手順に従ってください：

1. [管理者] >> [構成] >> [PAM360サーバー]の順に移動します。
2. キーストアの種類をJKS、PKCS12または 「PKCS11」のいずれか、CSRを生成するときに選択したものとして選択します。  
3. キーストアを参照およいｂアップロードします。 
4. ＣＳＲを生成したときと同じキーストアパスワードを入力します。
5. 必要な場合、サーバーポートを修正します。
6. ［保存］を押します。証明書の変更が有効になるには、PAM360サービスを一度再起動します。

4.署名付きSSL証明書はどのように生成するのですか？
[または]
PAM360 ServerがWebブラウザとユーザーに信頼されるにはどうしたらよいですか？

PAM360はHTTPSサービスとして実行されます。動作するホスト名前として主要名を持つ有効な認証局署名入りのSSL証明書が必要です。デフォルトでは、初回起動時、ユーザーブラウザでは信頼されない自己署名付き証明書を作成します。そのため、PAM360に接続しているとき、PAM360 Serverの証明書情報とホスト名を手作業で丁寧に検証する必要があり、ブラウザにその証明書を承認させる必要があります。

PAM360 ServerがWebブラウザとユーザーに信頼されるには：

• CAからPAM360ホストの新しい署名付き証明書を取得します。[または]
• CAから取得した既存の証明書をPAM360ホスト用のワイルドカードプリンシパルサポートで構成します。

署名付きSSL証明書を生成する方法は他にもあります：

1. PAM360の［証明書管理］モジュールの使用。.
2. OpenSSLまたはKeytool(Javaに付属)を使って、証明書を作成することで、CAの署名を取得し、それをPAM360で使用します。
3. ワイルドカード証明書をインストールする。

セキュリティ管理者の推奨内容に基づき、署名付きSSL証明書を生成するモードを決定できます。上の方法のそれぞれを使用する詳細手順は、下のリンクにあります。

注記：CAが署名した証明書がすでにある場合は、OpenSSLを使って、PAM360にキーストアを作成および構成することを推奨します(下の説明書の手順4と5）。

1. PAM360の証明書管理モジュールを使った署名付きSSL証明書の生成
2. 署名付きSSL証明書のOpenSSLを使った生成
3. 署名付きSSL証明書のKeytoolを使った生成
4. ワイルドカード証明書のインストールで署名付きSSL証明書の生成

1.PAM360の証明書管理モジュールを使った署名付きSSL証明書の生成

PAM360の証明書管理モジュールから署名付きSSL証明書を生成し、証明書の変更(証明書キーストア)をPAM360コンソールから直接適用することもできます。これには以下の3つのプロセスがあります：

1.1証明書署名要求（CSR）の生成：

証明書をPAM360のローカルCAから要求および取得するには、初めに、証明書署名要求(CSR)を生成する必要があります。これについての手順は以下のとおります：

1. [証明書] >> [CSRを作成]の順に移動します。
2. ［作成］ボタンをクリックします。CSR作成ページが表示されます。
3. 新しいCSRを作成する、またはCSRをすでにある秘密鍵から作成するかにあわせ、それぞれ［CSRを作成］、または［CSRをキーストアから作成］オプションのいずれかを選択します。
   1. ［CSRを作成］を選択した場合、コモンネーム、SAN、組織部門、組織の場所、州、国、キーアルゴリズムおよびキーサイズ等の詳細を入力します。［キーアルゴリズム］と［キーストアの種類］を選択します。［有効期間］と［ストアパスワード］を入力します。
      
   2. ［CSRをキーストアから作成］を選択した場合、秘密鍵パスワードとあわせて、必要な秘密鍵ファイルを参照および添付します。
4. ［作成］ボタンをクリックします。CSRコンテンツが表示されるウィンドウに転送されます。CSRコンテンツをコピーするか、受信箱にエクスポートすることができます。
   • メール ‐ このオプションを選択し、証明書ファイルがメールで指定されたメールIDに送信されます。
   • CSR/秘密鍵をエクスポート - このオプションを選択し、CSRまたは対応する秘密鍵のみを要件にあわせてエクスポートします。
5. ［証明書］ >> ［CSRを作成］で、保存したCSRを表示します。 

注記：各CSRに対応する［パスフレーズを表示］目アイコンで、管理者はCSRファイルのキーストアパスワードを表示できます。

1.2証明書の署名：

PAM360には、Microsoft認証局から、またはお使いの環境内の信頼されるカスタムルートCA証明書を使って、ネットワークのすべてのクライアントに証明書を署名および発行するオプションがあります。

注記: 有効な証明書署名要求(CSR)の生成をローカルCAから署名した証明書を取得する前に、行っておく必要がありますので、注意してください。

下の手順にしたがって、証明書に署名します：

1. [証明書] >> [CSRを作成]の順に移動します。 
2. テーブルから必要なCSRを選択し、トップメニューから[署名]をクリックします。 
3. 表示されたポップアップウインドウで、内部認証局を実行するサーバーの名前、CA名を入力し、要件に基づいて証明書テンプレートを選択します。［証明書に署名］をクリックします。CSRに今すぐ署名し、発行された証明書は[証明書] >> [証明書]から表示できます。

1.3 PAM360 Webサーバーの証明書キーストアへの適用:

証明書キーストアを適用するには、初めにその作成がひつようです。 

1. [証明書] >> [証明書]の順に移動します。見出しコモンネームの署名付き証明書リンクをクリックします。表示された証明書詳細ページで、画面の右端上にある［エクスポート］アイコンをクリックします。証明書ファイルがローカルマシンにダウンロードされます。
2. ［証明書］ >> ［CSRを作成］の順に移動します。 
3. 署名付き証明書のCSRに対応する［証明書をインポート］アイコンをクリックします。ローカルマシンでダウンロードした証明書ファイルを参照および選択し、［インポート］をクリックします。これで、証明書が秘密鍵と結びつきキーストアを生成します。
4. 次に、［証明書］ >> ［証明書］の順で戻り、見出しコモンネームの証明書リンクをクリックします。表示された証明書詳細ページで、スクロールダウンして［エクスポート］リンクをクリックします。これで、証明書キーストアがお使いのローカルマシンにダウンロードされます。
5. 最初の手順では、［管理者］ >> ［構成］ >> ［PAM360 Server］の順に移動し、以下を実行します：
   1. キーストアの種類をJKS、PKCS12またはPKCS11のいずれか、CSRを生成するときに選択したものとして選択します。  
   2. キーストアを参照およいｂアップロードします。 
   3. ＣＳＲを生成したときと同じキーストアパスワードを入力します。
   4. 必要な場合、サーバーポートを修正します。
   5. ［保存］を押します。証明書の変更が有効になるには、PAM360サービスを一度再起動します。

OpenSSLはほとんどの場合、Linux頒布とバンドルになっています。Windowsサーバーを使用していて、OpenSSLがインストールされていない場合は、http://www.slproweb.com/products/Win32OpenSSL.htmlからダウンロードしてください。OpenSSLインストールの下の「bin」フォルダが「PATH」環境変数に含まれていることを確認してください。

2.1 SSLハンドシェイクに使用される公開鍵と秘密鍵のペアを作成

1. コマンドプロンプトを開きます。
2. 「openssl genrsa -des3 -out <privatekey_filename>.key 1024」を実行します

<privatekey_filename>は、秘密鍵を保存するために指定するファイル名です。

3. 秘密鍵のパスフレーズを入力するように求められます。「passtrix」または選択したパスフレーズを入力してください。（文書化はされていませんが、Tomcatには特殊文字を含むパスワードの問題があるため、英字のみを含むパスワードを使用してください）
4. ファイルが <privatekey_filename>.keyの名前で同じフォルダに作成されます。

2.2 前の手順で生成した公開鍵で署名付き証明書を作成する認証局に対して証明書署名要求（CSR）を作成

1. 「openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr」を実行します
   • <privatekey_filename>.keyは前の手順で使用されたものです。
   • <certreq_filename>.csr は、証明書作成要求をCA（認証局）に送信するために指定したファイル名です。
2. PAM360をホスティングしているサーバーの識別名（DN）の一部である一連の値を入力するように求められます。
3. 必要に応じて値を入力します。重要なのは、「コモンネーム」で、PAM360をホスティングするサーバーの完全適格名を入力することです(ブラウザからアクセスするのに使うもの)。
4. ファイルは、同じフォルダに <certreq_filename>.csrの名前で作成されます。

2.3 CA署名付き証明書を取得するには、CSRを認証局（CA）に送信

周知されたCAの一部には、Verisign、Thawte、RapidSSLがあります。CSR提出の詳細については認証局のドキュメント/Webサイトをチェックしてください。認証局に支払われるコストに関する情報も記載されています。このプロセスには通常数日かかり、署名済みのSSL証明書と認証局のルート証明書が.cerファイルとして返されます。手順1と2のファイルが保存されている作業フォルダに両方を保存します

2.4 CAの署名付き証明書をキーストアに追加

1. コマンドプロンプトを開き、同じ作業フォルダに移動します。
2. 「openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name PAM360 -CAfile <root_cert_file>.cer -caname PAM360 -chain」を実行します

   ここでは、

   • cert_file.cerは、拡張子が.cerの署名付きSSL証明書です。
   • privatekey_filename.key は、.key拡張子を持つプライベートキーファイルです。
   • keystore_filename.p12は、.p12拡張子を付けて生成されるキーストアです。
   • root_cert_file.cer は、.cer拡張子を持つCAのルート証明書です。
3. パスワードの入力を求められたら、手順1でプライベートキー秘密鍵に使用したものと同じパスワードを入力します。この要件は、2つの一致するパスワードが必要なtomcatの継承制限によるものです。
4. これで、 <keystore_filename>.p12 名のキーストアファイルが同じフォルダに生成されます。

2.5 PAM360 Serverを構成し、SSL証明書があるキーストアを使用

これは、OpenSSLを使って署名付きSSLを生成する最後の手順です。

1. 手順4で生成した<keystore_filename>.p12を<PAM360_Install_Folder>\confフォルダにコピーします。
2. コマンドプロンプトを開き、<PAM360_Install_Folder>\confフォルダに移動します。
3. server.xmlファイルを開き、以下の変更を行います：
   • エントリ「keystoreFile」を検索します。このデフォルト値は「conf/server.keystore」に設定されています。値を「conf/<keystore_filename>.p12」に変更します。
   • バージョン9700以降、キーストアパスワードは暗号化され、server.xmlファイルで直接更新されます。キーストアパスワードを.xmlファイルで手動で更新するには、初めに、値'keystorePassEncrypted=true'を'keystorePassEncrypted=false'に変更して、暗号化を無効にします。
4. 次に、「keystorePass」の値を「passtrix」またはキーストア作成中に前の手順で指定したパスワードに設定します。
5. keystorePassエントリの横のエントリkeystoreType= PKCS12またはPKCS11 を追加します。
6. server.xmlファイルを保存します。
7. PAM360 Serverを再起動し、Webブラウザから接続します。ブラウザからの警告が表示されずにPAM360ログイン画面が表示できる場合は、SSL証明書がPAM360で正常にインストールされています。

3.署名付きSSL証明書のKeytoolを使った生成

3.1 SSLハンドシェイクに使用される公開鍵と秘密鍵のペアを作成

1. <PMP_Home>/jre/binフォルダに進みます。
2. 次のコマンドを実行します：

   Windowsの場合：
   

   .\keytool -genkey -alias PAM360 -keyalg RSA -sigalg SHA256withRSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keysize 2048 -keystore <keystore_filename>

   Linux の場合：
   

   ./keytool -genkey -alias PAM360 -keyalg RSA -sigalg SHA256withRSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keysize 2048 -keystore <keystore_filename>

   ここで、
   <keystore_password>はキーストアにアクセスするためのパスワードで、<privatekey_password>は秘密鍵を保護するためのパスワードです。2つのパスワードが同じでなければならない、というこの要件はTomcatの固有の制限です。(文書化はされていませんが、Tomcatには、特殊文字を含むパスワードの問題があるため、アルファ文字のみがあるパスワードを使用します）
   <no_of_days>は、作成日からのキーペアの有効期間（日数単位）です

3. 上のコマンドで、あなたとあなたの組織についての詳細を入力するように求められます。

• 「姓名」については、PAM360が実行されているサーバーのFQDNを入力します。
• 他のフィールドには関連情報を入力します。

4. 生成されたキーペアを使用して、同じフォルダに<keystore_filename>という名前のキーストアファイルが作成されます。。

3.2 前の手順で生成した公開鍵で署名付き証明書を作成する認証局に対して証明書署名要求（CSR）を作成

1. <PMP_Home>/jre/binフォルダに進みます。
2. 以下のコマンドを実行します： "keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore <keystore_filename> -ext san=dns:<hostname.domain.com>,dns:<hostname>,dns:<alias.domain.com>".

注記: 選択する<csr_filename>の拡張子は.csrである必要があります。

3. これで <keystore_filename>名のCSRファイルが同じフォルダに生成されます。

3.3 署名付き証明書を取得するためCSRを認証局（CA）に送信

周知されたCAの一部には、Verisign、Thawte、RapidSSLがあります。CSRの提出に関数詳細は、各文書/Webサイトをチェックしてください。これは有料サービスですので、注意してください。このプロセスには通常、数日かかります。数日以内に、署名付きSSL証明書とCAの証明書を.cerファイルとして受け取ります。両方のファイルを <PMP_Home>/jre/binフォルダに保存します。

3.4 CA署名付き証明書をPAM360 Serverにインポート

1. コマンドプロンプトを使って、<PMP_Home>/jre/binフォルダに進みます。
2. 単一ファイルを証明書バンドル(p7b)にする場合、以下のコマンドを実行します：

"keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_bundle.p7b>"

ここでは、

• <boundlessness>はCAから取得した証明書バンドルで、前の手順で保存した.p7bファイルです。<privatekey_password>、 <keystore_password>および<keystore_filename>は、前の手順で使用したものです。
• ファイルがルート、中間、および.cer形式の実際の証明書と3つある場合、以下のコマンドでそのそれぞれをインポートする必要があります。
  • 「keytool -import -alias root -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <rooter>」
  • 「keytool -import -alias inter -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <inter.cer>」
  • "keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_cert.cer>"

3. <keystore_filename>を<PAM360_Home>/confフォルダにコピーします。

3.5 PAM360 Serverを構成し、SSL証明書があるキーストアを使用

これは、Keytoolを使って署名付きSSLを生成する最後の手順です。

1. <PAM360_Home>/confフォルダに進みます。
2. server.xmlファイルを開きます。
3. デフォルト値が「conf/server.keystore」に設定されているエントリ「keystoreFile」を検索します。値を「conf/<keystore_filename>」に変更します。ここでは、「<keystore_filename>」が前の手順で使用したものです。
4. バージョン9700以降では、キーストアパスワードは暗号化されているため、server.xmlファイルで直接更新することはできません。.xmlファイルでキーストアパスワードを手動で更新するには、値「keystorePassEncrypted=true」を「keystorePassEncrypted=false」に変更して、初めに暗号化を無効にします。

注記：この手順は、バージョン9700またはそれ以降を使用している場合のみ適用できます。

5. 「keystorePass」の値を「passtrix」またはキーストア作成中に前の手順で指定したパスワードに設定します。
6. PAM360 Serverを再起動し、Webブラウザから接続します。ブラウザからの警告が表示されずにPAM360ログイン画面が表示できる場合は、SSL証明書がPAM360で正常にインストールされています。

注記：TomcatはデフォルトでJKS（Java Key Store）とPKCS #12形式のキーストアのみを受け付けます。キーストアがPKCS #12形式の場合、server.xmlファイルに以下のオプションを含めますが、あわせて含めるキーストア名は次のとおりです。keystoreType="PKCS12? これにより、形式がPKCS12であることがTomcatに伝えられます。この変更後にサーバーを再起動します。

4.既存のワイルドカードをサポートするSSL証明書のインストールで署名付きSSL証明書の生成：

1. <PAM360_Home>/confフォルダに進みます。
2. server.xmlファイルを開きます。
3. エントリ「keystoreFile」を検索します。ここでは、デフォルト値は「conf/server.keystore」に設定されています。値を「conf/<keystore_filename>」に変更します。ここでは、<keystore_filename>は、既存のワイルドカード証明書に属します。
4. また、デフォルト値が「passtrix」に設定されているエントリ（keystoreFileの隣の）「keystorePass」を検索します。値を「<keystore_password>」に変更します。ここでは、<keystore_password>は既存のワイルドカード証明書キーストアを保護します。
5. PAM360 Serverを再起動し、Webブラウザコンソールから接続します。ブラウザからの警告が表示されずにPAM360ログイン画面が表示できる場合は、SSL証明書がPAM360で正常にインストールされています。

注記：詳細およびトラブルシューティングについては、CAのドキュメントを参照してください。

5.SubjectAlternativeName(SAN)でサーバー証明書を作成できますか？

はい。SANをエイリアス名で使って証明書を作成し、PAM360に適用できます。以下の手順に従ってください：

1.CSRをPAM360のSSL証明書管理モジュールを使って作成し、CAに提出して署名します

1.1 証明書署名要求（CSR）を生成

1. PAM360に管理者としてログインします。
2. [証明書] >> [CSRを作成]の順に移動します。
3. ［作成］ボタンをクリックします。
4. ここで、組織に名前を入力します。
5. コモンネームを入力してそこをクリックすると、サブジェクトの別名(SAN)が自動入力されます。追加のSANをテキストフィールドに含めることができます。
6. 組織詳細、場所、有効期間、およびパスワードを含む、他の詳細を入力します。
7. [作成]をクリックします。
8. 完了したら、証明書と秘密鍵をエクスポートする、またはCSRを、指定するメールアドレスに送信するオプションがあります。

1.2 CA署名付き証明書を取得するには、CSRを認証局（CA）に送信

CSRを作成後、次の手順ではCSRのCAによる検証と署名を取得します。この操作にはオプションが2つあります：

1. CSR ファイルをエクスポートし、サードパーティCAに手動で送信して署名を取得します。
2. Microsoft認証局から、または環境内で信頼されているカスタムルートCA証明書を使用して、ネットワーク内のすべてのクライアントに署名して証明書を発行します。この操作を実行するには、［証明書］ >> ［CSRを作成］の順に移動し、証明書を選択して、［署名］をクリックします。  証明書署名についての詳細は、このドキュメントを参照してください。

署名したら、［証明書］に証明書が表示されます。

1.3 CA署名付き証明書をPAM360 Serverにインポート  

証明書をお使いのネットワークにインポートするには：

1. ［証明書］に移動します。
2. ［追加］をクリックします。
3. 必要なオプションを選択します：

   i. ファイルベースの証明書必要な証明書ファイルをシステムから参照オよびインポートします。

   ii.コンテンツベースの証明書 必要な証明書ファイルのコンテンツをコピーし、テキストボックスに貼り付けます。

   iii.キーストアベース キーストアで利用可能なすべての個別証明書を同時にインポートします。必要なキーストアファイルをアップロードし、対応するパスワード（ある場合）を入力します。

4. ［追加］ボタンをクリックします。

2.SAN付き証明書をMicrosoft内部CAで作成

下の手順にしたがってSubjectAlternativeName付きサーバー証明書をMicrosoft内部CAを使って作成していることを確認します。また、追加属性では、'san:dns=<PAM360にアクセスするのに使うURL>'を指定し、証明書の作成を試行できます。

1. Microsoft Certificate Serviceが稼働しているサーバーに接続します。
2. コマンドプロンプトを開き、certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2を実行します
3. 次に、Microsoft Certificate Service(certsvc)を再起動します。
   下のコマンド、「./keytool -genkey -alias PAM360 -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>」コマンドを使って、秘密鍵を作成します
4. ここでは、姓名が求めあれる場合、PAM360にアクセスするのに使う名前を指定します。
5. 下のコマンドを使って、証明書署名要求(CSR)を作成します：「keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore PAM360.keystore」
   1. CSR要求をMicrosoft内部CAに提出します：
   2. IEを開き、CAの証明書要求ページに移動します。
   3. アドバンスト証明書を要求します。
   4. 証明書要求を提出します。
   5. <csr_filename>.cerファイルのコンテンツをコピーおよび貼り付けます。
   6. 証明書テンプレートは、Webサーバーにします。
   7. 「追加属性」で、「san:dns=passwordmanager&dns=passwordmanager.tcu.ad.local」を入力し、［提出］をクリックします。
   8. 証明書チェーンをbase64形式でPAM360cert.p7bとしてダウンロードします。
6. ダウンロードした'PAM360cert.p7b'ファイルをPAM360.keystore「keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore PAM360.keystore -trustcacerts -file PAM360cert.p7b」にインポートします

注記： 

1. 上のコマンドで、エラーメッセージ「返信からチェーンの確立に失敗しました」を受信した場合、CAのルートと中間証明書はPAM360のトラステッドストアでは利用できないという忌です。そのため、実際の証明書をインポートする前に、異なるエイリアスのルート証明書および続いて、実際の証明書をインポートする必要があります。また、ルート証明書が複数ある場合は、それらを別のエイリアス名で1つずつインポートする必要があります。

   例えば、

   ./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root1.cer
   ./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root2.cer
   

   ルートまたは中間ルート証明書の数に基づいて、異なるエイリアス名で上のコマンドを実行し、続いて、実際の証明書で続行する必要があります。

2.  実際の証明書は、.cerまたは.crt形式になります。

7. 証明書キーストアをPAM360に適用します。
   1. PAM360に管理者としてログインします。
   2. [管理者] >> [構成] >> [PAM360サーバー]の順に移動します。
   3. PKCS12またはPKCS11をキーストアの種類として選択します。
   4. ［参照］をクリックし、FX/P12ファイルを選択します。
   5. 正しいキーストアパスワードを入力し、構成を保存します。
   6. PAM360サービスを再起動い、証明書の変更を有効にします。 

3.GoDaddy、Verisign、Commodo等のサードパーティベンダーが署名したSANで証明書を作成。

下に記載の手順にしたがって、サードパーティベンダーから署名したSAN証明書を取得していることを確認します。

1. 下のコマンドを使って、秘密鍵を作成します、

    './keytool -genkey -alias PAM360 -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>"'

   ここでは、姓名が求めあれる場合、PAM360にアクセスするのに使う名前を指定します。

2. 下のコマンドを使って、証明書署名要求(CSR)を作成します：

    「keytool -certreq -keyalg RSA -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore PAM360.keystore」

3. CSR要求をサードパーティ署名ツールに提出し、SAN名を使って署名した証明書を取得します。証明書チェーンをbase64形式でPAM360cert.p7bとしてダウンロードします
4. ダウンロードした「PAM360cert.p7b' file into the PAM360.keystore keytool -import -alias PAM360 -keypass <privatekey_password> -storepass <keystore_password> -keystore PAM360.keystore -trustcacerts -file PAM360cert.p7b」にインポートします

メモ：上のコマンドで、エラーメッセージ「返信からチェーン確立に失敗しました」を受信する場合。そのため、CAのルートと中間証明書は、PAM360のトラステッドストアでは利用できません。そのため、実際の証明書をインポートする前に、異なるエイリアスのルート証明書および続いて、実際の証明書をインポートする必要があります。また、ルート証明書が複数ある場合は、それらを別のエイリアス名で1つずつインポートする必要があります。

例えば、

./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root1.cer
./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore PAM360.keystore -trustcacerts -file root2.cer

ルートまたは中間ルート証明書の数に基づいて、異なるエイリアス名で上のコマンドを実行し、続いて、実際の証明書で続行する必要があります。

5.証明書キーストアをPAM360に適用します。

1. PAM360に管理者としてログインします。
2. [管理者] >> [構成] >> [PAM360サーバー]の順に移動します。
3. PKCS12またはPKCS11をキーストアの種類として選択します。
4. ［参照］をクリックし、PFX/P12ファイルを選択します。
5. 正しいキーストアパスワードを入力し、構成を保存します。
6. PAM360サービスを再起動い、証明書の変更を有効にします。 

4.パスワード同期化

1.PAM360コンソールからリソースパスワードも変更できますか？

はい。PAM360は、各種のエンドポイントのパスワードをリモートでリセットできます。PAM360は、パスワード変更についてエージェントベースとエージェントレスモードをサポートしています。詳細は、このドキュメントを参照してください。

2.パスワード同期化で、エージェントおよびエージェントレスモードはいつ使用しますか？

初めに、両方のモードの要件をみてみましょう：

エージェントモードでは、各エンドポイントでサービスとしてインストールされ、管理者権限で実行してパスワードリセット操作を実行する必要があります。エージェントは、アウトバウンドトラフィックで一方向通信を使って、PAM360 Serverに到達します。

エージェントレスモードでは、管理者の認証情報を入力して、パスワード変更を行う必要があります。Linuxの場合は、リモートからログインできる2つのアカウント、1つはルート権限、もう1つは通常のユーザー権限で指定する必要があります。TelnetまたはSSHサービスは、リソース上で実行する必要があります。.Windows Domainの場合は、ドメイン管理者の認証情報を入力する必要があります。WindowsとWindows Domainの場合、PAM360は、リモート呼出を使用するため、関連ポートは、リソースでは開いている必要があります。

これにより、お使いの環境にどのモードが必要かを選択できます。以下のヒントをご覧ください：

エージェントモードを選択するのは：

• PAM360の特定リソース用に管理認証情報が保存されていない場合、
• リソース上で実行している必要なサービスがない場合(LinuxはTelnet/SSH、WindowsはRPC)、
• PAM360をLinuxで実行し、パスワード変更をWindowsリソースで行うときです。

他のすべてのケースで、パスワード変更を行うには便利で信頼がより高いエージェントレスモードを選択します。

3.Linuxの他の頒布/Windowsの他のバージョンに各自のリソースの種類を追加する場合、エージェントレスパスワードリセットは有効にできますか？

はい。できます。リソースの種類ラベルに「Linux」または「Windows」の文字列が記載されている場合は、それらのリソースについてはまだ、エージェントレスパスワードリセットを構成することができます。

パスワードリセットを可能にする有効なリソースの種類ラベルの例：

Debian Linux、Linux - Cent OS, SuSE Linux、Windows XP Workstation、Windows 2003 Server

4.PAM360ですぐに使用しないカスタムリソースタイプにリモートパスワード同期化を実行する方法はありますか？

PAM360は、SSHコマンドセット、パスワードリセットプラグイン、およびパスワード リセット リスナーから、カスタムリソースタイプのリモートパスワードリセットをサポートしています。

• SSHコマンドセット：SSHベースのデバイスの場合、PAM360から直接、デフォルトまたはカスタマイズされたコマンドのセットを使って、コマンドベースの実行ファイルを作成できます。次に、これらのコマンドセットを、PAM360ですぐには使わないで、CLI不要でパスワードリセットを実行する各SSHデバイスアカウントと関連づけることができます。 
• パスワードリセットプラグイン：各自の実装クラスを作成し、PAM360から実行して、カスタムリソースタイプの自動パスワードリセットを実行できます。プラグインにより、レガシーアカウントのアクセスコントロールを利用し、使用時に速やかにパスワードを自動リセットすることもできます。このように、これらのアカウントのパスワードには、関連づけられたプラグインにより、使用ごとにリセットされるワンタイムパスワードとしての役割があります。
• パスワード リセット リスナー：リスナーは、ローカルパスワード変更およびリモートパスワードリセットがPAM360によりすぐにサポートされていないカスタムリソースイプのパスワードのリセットに呼び出すことができる、カスタムスクリプトまたは実行ファイルです。カスタムスクリプトを含む、各リソースの種類について個別に、リスナースクリプトを構成することができます。

5.パスワードリセットが行われない場合、どのようにトラブルシューティングしますか？

エージェントモードでは：

• 「PAM360Agent.exe」エントリでは、Windowsアクティブプロセスリスト、またはLinuxではPAM360AgentがLinuxという名前のプロセスにあるかどうかをみて、エージェントが実行されているかチェックします。
• エージェントがインストールされているアカウントにパスワード変更の十分な権限があるかチェックします。

エージェントレスモードでは：

• 管理者認証情報の適切なセットがあるか、およびリモート同期化オプションが有効かチェックします。
• リソース上で実行している必要なサービスがある場合(LinuxはTelnet/SSH、WindowsはRPC)。
• リソースがPAM360 Serverから、所定のDNS名を使って到達可能かチェックします。

6.Windows:ドメインパスワードリセットにエラーメッセージが出て失敗した場合ドメインパスワードをどのようにリセットしますか：「認証メカニズムが不明ですか」？

これは、PAM360をWindowsサービスとして実行し、同サービスの「ログオン」プロパティローカルシステムアカウントに設定されている場合に生じます。ドメインパスワードをリセットできるドメインユーザーアカウントに変更します。下の指示にしたがって、その設定を有効にします：

1. Windows Servicesアプレットに進みます( ［コントロールパネル］ >> ［管理ツール］ >> ［サービス］)。
2. 「ManageEngine PAM360」サービスを選択し、右クリック' >> ［プロパティ］を選択します。
3. ［ログオン］タブをクリックし、［このアカウント］ラジオボタンを選択し、ドメインユーザーのユーザー名とパスワードを<domainname>\<username>形式で入力します。
4. 構成を保存して、サーバーを再起動します。

7.Windowsサービスアカウントリセットを有効にする前提条件は何ですか？

Windowsサービスアカウントリセットを有効にする前に、以下のサービスが、依拠サービスが実行されているサーバーで有効になっているか確認します：

• Windows RPCサービスが有効になっている必要があります。
• WWMI（indows Management Instrumentation)サービスが有効になっている必要があります。

8.ドメインSSOはファイアウォール/VPN全体で作動しますか？

ドメインシングルサインオン(ウインドウ統合認証)は、HTTPヘッダーの非標準パラメーターを設定してWindows環境で実現できます。これは通常、ファイアウォール/VPN等のデバイスで外されます。PAM360は、ネットワーク内で使用するように設計されています。そのため、ネットワーク外部から接続するユーザーがある場合、SSOでこれを有効にできません。

5.バックアップと災害復旧

1.PAM360を1つのサーバーから別のサーバーに移動できますか？

はい。下の手順にしたがって、PAM360を別のサーバーに移行できます：

1. PAM360サービスを停止し、トレイアイコンを終了します。 
2. Postgresプロセスがタスクマネージャで実行されていないことを確認します。 
3. PAM360ディレクトリ全体を新しいサーバーにコピーおよび移動します。 
4. コマンドプロンプトを管理者権限で開き、<PAM360 HOME>\binディレクトリに移動します。コマンドPAM360.bat installを実行します。(これで、PAM360サービスがインストールされます。) 
5. 暗号化キー(PAM360_key.key)を新しいサーバーに移動し、その正しい場所をPAM360/conf/manage_key.confファイルで指定します。暗号化キーについての詳細は、ここをクリックしてください。
6. サービスコンソールに進み、サービスアカウントを入力して、PAM360サービスを起動します。 
7. トレイアイコンが必要な場合は、<PAM360 HOME>に進み、PAM360.exeを右クリックし、［管理者として実行］を選択します。 
   これで、URLの新しいサーバー名を使って、PAM360 Webページにアクセスできます。

2.PAM360データベースに災害復旧をセットアップできますか？

はい。できます。PAM360は、データベースのコンテンツ全体を定期的にバックアップできますが、これはPAM360コンソールから構成できます。詳細は、この文書を参照してください。

3.バックアップデータはどこに保存されますか？それは暗号化されますか？

バックアップファイルのすべての機密データは、7-Zip ユーティリティを使って暗号化されます。ここには、AES256アルゴリズムでデータを暗号化および圧縮するオプションがあります。暗号化されたデータは、'<PAM360_Install_Directory/backUp>'ディレクトリに.zipファイルとしておhゾンされます。バックアップは、災害復旧のため、安全なセカンダリストレージに保存することを推奨します。

6.ライセンシング

1.PAM360によるライセンス付与ポリシーとは何ですか？

3種類のライセンスがあります：

1. 評価ダウンロード / 試用版 - すぐにダウンロードしこの試用版おインストールできます。全機能が備わり、最大5人の管理者をサポートでき、また、全機能を30日間評価できます。
   
2. 無料版 - 1人の管理者がいて、最大10のリソースを管理できるライセンスソフトウェア。永久に有効なバージョンです。
3. 登録版 - エンタープライズエディションを取得し、ライセンス付与は、管理者数に基づいています。特権アカウントの自動検出、チケッティングシステムやSIEMソリューションとの統合、ジャンプサーバーの設定、アプリケーション間のパスワード管理、すぐに使えるコンプライアンスレポート、バックエンドデータベースとしてのSQLサーバー/クラスター等、よりエンタープライズクラスの機能を必要とする場合は、これが適切です。

メモ：PAM360には5つのユーザーロールがあります - 管理者、パスワード管理者、特権管理者、パスワード監査者およびパスワードユーザーです。「管理者」という用語は、管理者、パスワード管理者、および特権管理者を意味します。そのため、ライセンシングにより、管理者、パスワード管理者、特権管理者を含む管理者の数が全体として制限されます。パスワードユーザーとパスワード監査人の数に制限はありません。5つのユーザーロールについての詳細は、当社ヘルプ文書のこのセクションを参照してください。

2.PAM360の永久ライセンスは購入できますか？どのようなオプションが利用できますか？

PAM360の価格は年間購読モデルに従いますが、永久ライセンスオプションも用意しています。永久ライセンスでは、年間購読価格の約3倍かかり、2年目以降は20% AMSとなります。詳細は、sales@manageengine.com にお問い合わせください。

3.ライセンスファイルはどのように適用できますか？

1. PAM360 Webインターフェイスに管理者としてログインします。右端上の［マイアカウント］アイコンをクリックし、ライセンスをドロップダウンから選択します。
2. ライセンスファイルを参照して追加し、［アップグレード］をクリックします。新しいライセンスファイルが追加されます。
3. これで、ライセンスが適用されているか、および同じセクションの他の詳細をチェックして確認できます。

4.複数のサーバーで高可用性セットアップがしたいと考えています。これには1つのライセンスで足りますか？

はい。1つのライセンスを1つ購入する場合、高可用性セットアップの権利が付きます。同じライセンスをプライマリとセカンダリサーバーに適用することができます。以下の手順に従ってください：

1. プライマリサーバーでPAM360サービスを停止します。
2. セカンダリサーバーURLを管理者として使ってPAM360にログインします。
3. コンソールの右端上の［ユーザー］メニューにある［ライセンス］をタップします。
4. プライマリサーバーに適用した同じライセンスファイルを更新します。

5.PAM360は1000以上の管理者をサポートできますか？

はい。できます。1000人以上の管理者ユーザーがあるライセンスが必要な場合は、詳細についてsales@manageengine.comにお問い合わせください。

6.他の管理者ユーザーを入れて、またはさらに日数を加算して、評価を延長できますか？

はい。Webサイトに必要な詳細を入力すると、当社よりライセンスキーを送信します。

7.SSHキー管理

1.SSHユーザーアカウントとSSHサービスアカウントをPAM360を使って管理する方法に違いはありますか？  

いいえ。PAM360は、SSHユーザーアカウントとSSHサービスあかうんとを管理する同じアプローチを採用しています。唯一の違いは、リソース検出中、サービス/ルートアカウント認証情報を入力してリソースとの接続を確立する場合、拡張権限を取得し、リソースのすべてのユーザーアカウントからキーをインポートおよび管理することです。 

また、ユーザーアカウント認証情報を使ってリソースへの接続が確立されたとき、その特定アカウントにあるSSHキーのみのキー管理権限を取得します。 

2.回転しなかったSSHキーの表示方法はありますか？

はい。通知ポリシーに記載のとおり、事前定義した時間に回転しなかったキーの数が表示されるダッシュボードがあります。 

3.PAM360はSSHキーとSSL証明書以外のデジタルキーの管理をサポートしていますか？  

PAM360には、「キーストア」と呼ばれるキーVaultがあり、これで、デジタルキーのいずれかのタイプのストレージと管理を強化します。ただし、検出とインポートオプションは、SSHキーおよびSSL証明書のみに制限され、他の種類のデジタルキーには利用できません。

8.SSL証明書管理

1.PAM360に互換性がない証明書タイプはありますか？

いいえ。PAM360は、すべてのX.509証明書タイプをサポートしています。

2.PAM360の証明書リポジトリで最新バージョンの証明書を自動的に識別および更新することはできますか？

はい。スケジュール設定されたタスクを作成し、自動証明書検出を実行します。ここでは、ターゲットシステムの古い証明書をPAM360の証明書リポジトリの更新されたバージョンとインポートおよび交換できます。スケジュールの作成に関する詳細な説明は、ここをクリックしてください。

3.PAM360のLinuxバージョンはActive DirectoryおよびMS証明書ストアの証明書検出をサポートしていますか？

いいえ。していません。ADユーザー証明書とMS証明書ストアタブは、PAM360のWindowsサーバーにのみ表示されます。

4.PAM360の証明書リポジトリの同じコモンネームの証明書の有効期限を追跡できますか？

PAM360は、コモンネームで証明書を識別し、証明書リポジトリの単一エントリと同じコモンネームの証明書を記録します。PAM360ライセンス付与は、証明書の数に基づき、お客様が同じ証明書の多数のライセンスキーを使用してほしくないため、このような設計になっています。 

ただし、両方の証明書を個別に管理する必要がある場合、PAM360の証明書リポジトリに個別エントリとして一覧表示することで、そのようにできるようにします。表示されたら、新しく追加された証明書は、ライセンシングにカウントされます。

同じコモンネームの証明書を証明書リポジトリに個別エントリとして追加するには、

1. ［証明書］タブに移動し、［証明書］をクリックし、その証明書の横の［証明書履歴］アイコンをクリックします。
2. 証明書の必要なバージョンの横の［証明書設定］アイコンをクリックし、［証明書を管理］をクリックします。
3. 選択したバージョンは、証明書リポジトリの個別証明書に表示されます。
4. 証明書の1つのバージョンのみを管理する場合は、必要なバージョンの横の［証明書設定］アイコンをクリックし、［現在の証明書を設定］オプションを選択します。 

5.証明書の秘密鍵をインポートできますか？

下の手順にしたがって、証明書の秘密鍵をPAM360にインポートします。

1. ［証明書］タブに移動し、［証明書］をクリックします。
2. 秘密鍵のインポートが必要な証明書を選択します。
3. ［キーをインポート］オプションを上部の［その他］ドロップダウンメニューからクリックします。

秘密鍵を含むファイルを参照し、キーストアパスワードを入力して、［インポート］をクリックします。秘密鍵が選択した証明書にインポートおよび添付されます。

6.証明書を証明書ストアに展開し、その証明書を使用するアプリケーションにマッピングするにはどうしたらよいですか？

PAM360は、リポジトリからターゲットサーバーのMicrosoft証明書ストアに証明書を展開できる証明書展開を強化します。  

証明書展開についての手順ごとの説明は、ここをクリックしてください。 

証明書を対応するアプリケーションにマッピングするには、変更を有効にするため、そのアプリケーションが実行されているサーバーを手動で再起動する必要があります。 

7.PAM360はサブネットベースの証明書検出をサポートしていますか？

いいえ。PAM360は現在、サブネットべ―スのSL.証明書検出をサポートしていません。  

8.PAM360はMS証明書ストアの証明書検出への自動スケジュール設定をサポートしていますか？

いいえ。PAM360はMS証明書ストアの証明書検出への自動スケジュール設定をサポートしていません。 

9.証明書関連のアラートメールは証明書のすべてのバージョンに対して生成されます（「証明書履歴に表示されるもの）か、またはPAM360証明書リポジトリに一覧表示されるもののみに対してですか？

メール通知は、PAM360の証明書リポジトリに一覧表示される証明書のみに生成され、「証明書履歴」セクションに表示される異なるば―ジョンの証明書には生成されません。 

10。証明書は、ライセンシング用にカウントされる社内の認証局(CA)が発行しますか？

はい。すべてのタイプのSSL証明書、SSHキーおよびPAM360を使って管理される他のデジタルキー PAM360はライセンス付与の対象にはなりません。ライセンス付与の対象とはならないPAM360を使って管理されるデジタルアイデンティティのタイプと数についてインサイトを提供するダッシュボードウィジェット「ライセンス詳細」があります。 

11。ルート証明書をPAM360にどのようにインポートしますか？

ルート証明書をインポートするには、コマンドプロンプトを開き、<pam360_server_home>\binディレクトリに移動して、以下のコマンドを実行します：

Windows の場合：
importCert.bat    <証明書の絶対パス>

Linuxの場合：
importCert.sh    <証明書の絶対パス>

9.ポリシーベースのアクセス権限 - Zero Trustアプローチ

1.Zero Trustアプローチに関するエージェントタイプは何ですか？

以下の2つのエージェントタイプがzero trustアプローチに適しています：「ユーザーデバイス」と「リソース」。これらのエージェントは、ユーザーデバイスとリソースにそれぞれインストールされ、その操作は、信頼スコア計算用にに取り込むパラメーターのタイプによって異なります。

2.エージェントはユーザーデバイスとリソースにどのおゆに機能しますか？

エージェントは、ファイアウォールステータス、ウィルス対策ステータス、開ポート、実行中のプロセス/サービス、インストールされているアプリケーション/パッケージ等、ユーザー/リソースに信頼スコアを計算するのに使うものからデータを取り込むことで作動します。また、このスコアは、ユーザー/リソースが特権アクセスとアカウント管理に必要な基準を満たしているかどうかを決めるのに試用されます。

3.使用タイプ「ユーザーデバイス」のPAM360エージェントでインストールしたデバイスはPAM360にリソースとして追加されますか？

いいえ。使用タイプ「ユーザーデバイス」のPAM360エージェントでインストールしたデバイスはPAM360にリソースとして追加されません。使用タイプ「リソース」のエージェントでインストールされたデバイスは、PAM360にリソースとしてのみ追加されます。

4.ポリシーベースのアクセス権限機能をエージェントレスモードで使用できますか？

はい。ポリシーベースのアクセス権限機能は、ユーザー向けに定義された認証パラメーターのみで、エージェントレスモードで使用できます。

5.デフォルトシステムデータをユーザーデバイス/リソースからどのように取り込みますか？

デフォルトでは、組織のすべてのデバイス/リソースは、開ポート、ブラウザ、プラグイン/アドオン、アプリケーション/パッケージ、およびプロセスとサービスのセットを使って構成されます。関連するスコアパラメーターを構成するため組織のデバイス/リソースから各詳細を探すには、以下の手順を実行します：

1. このzipファイルをダウンロードし、必要なデバイスのいずれかに抽出します。
2. zipを抽出したペレーティングシステム（OS）にあわせて各フォルダWindowsまたはLinuxを開きます。
3. 管理者実行権限で、bash/ sh/ bat/ ps1ファイル「fetch_configuration_details」を実行します。
4. 実行時、 名前「query_result.txt」の出力ファイルが同じフォルダの場所に生成されます。
5. query_result.txtファイルを開き、各スコアパラメーターを定義するためデフォルトのデバイスデータまたはシステムプロパティをチェックします。検索オプションを使って、下の関連idで、各パラメーターの値を検索します：
   1. Antivirus_status
   2. Application_and_packages
   3. Chrome_extensions
   4. Disk_encryption_status
   5. Firefox_addons
   6. Firewall_status
   7. OS_version
   8. Open_ports
   9. Process_and_services
   10. Secure_boot_status

6.信頼スコア認証についてパラメーターの重み付け値をどのように決めますか？

信頼スコア認証の各パラメーターの重み付け値は、組織の優先度に応じて、0～10の尺度で定義されます。各パラメーターの重要度に応じて、重み付け値を修正できます。例えば、無効なサインイン試行を厳しく監視し、OSバージョンの重要度がない場合、無効なサインイン試行に10の重み付けを与え、OSバージョンに約2～5の値を与えます。

7.ユーザー信頼スコアとリソース信頼スコアはどのように計算しますか？

ユーザー信頼スコアは、ユーザーの認証とユーザーデバイスの状態に基づいて計算されますが、リソース信頼スコアは、リソースの状態に基づいて決定されます。ただ、両方とも、管理者が定義した各パラメーター構成と重み付けを使用します。

8.アクセスポリシーの目的は何ですか？

アクセスポリシーは、ユーザー信頼スコア、リソース信頼スコア、パスワードポリシー、および管理者が定義したクセスコントロール等の基準に基づいて、リソースへのアクセス権限の自動付与/制限時に重要なロールを持ちます。

9.ユーザーとリソースはどのくらいのアクセスポリシーと関連づけられますか？

ユーザーは、複数のリソースに各種条件から、1つ以上のアクセスポリシ－と関連づけられます。リソースは、異なるスタティックリソースグループから、複数のアクセスポリシーと関連づけられます。ただし、最近関連づけられた1つのアクセスポリシーのみ、リソースについてアクティブになります。

10。ポリシーベースのアクセス権限でコンフリクトはどのように生じますか？

コンフリクトは、リソースが異なるスタティックリソースグルーから、複数のアクセスポリシーと関連づけられるときにポリシーベースのアクセス権限で生じます。

11。各種のスタティックグループから1つのリソースに関連づけられた複数のアクセスポリシーがある場合、1つのリソースの対象となるアクティブなアクセスポリシーは何ですか？

このシナリオでは、もっとも最近スタティックリソースグループのリソースと関連づけられたアクセスポリシーは、そのリソースのアクティブアクセスポリシーの対象になります。

12。1つのリソースのアクセスポリシー間のコンフリクトはどのように解決しますか？

1. [グループ]タブに移動します。
2. 各スタティックリソースグループの横の［操作］アイコンをクリックします。
3. ［グループ属性を編集］を選択します。
4. 表示されるポップアップで、リソースグループと関連づけられるアクセスポリシーフィールドで、各アクセスポリシーを選択します。
5. ［保存］をクリックして変更を適用します。

13。操作の優先はアクセスポリシー条件でどのように機能しますか？

同じユーザーに異なる基準と操作を持ち、複数の条件があるアクセスポリシーの場合、そのアクセスポリシーの特権アクセス計算では常に、優先値が高い条件の操作を検討します。例. ユーザーグループを拒否/終了、除外します。

14。ユーザー信頼スコアはどこで確認できますか？

ユーザータブには、PAM360の各ユーザーの信頼スコアが表示されます。パスワードユーザー、パスワード監査者、接続ユーザー、またはパスワード管理者ロールがあるユーザーは、ユーザー信頼スコアを表示またはその通知を受け取ることはできません。特権管理者管理者、およびカスタムユーザーロールがある者のみ、ユーザータブですべてのユーザーの信頼スコアを表示できます。

15。リソース信頼スコアはどこで確認できますか？

リソースタブには、各リソースの横にリソース信頼スコアが表示されます。リソースを所有または管理するユーザーのみ、その信頼スコアを表示できます。ただし、PAM360のスーパー管理者は、すべてのリソースの信頼スコアを表示できます。

16。セッション終了に考えられる理由は何ですか？

セッションの使用中、ユーザーまたはリソースが管理者が設定したいj全定義済パラメーターに違反した場合、ユーザー信頼スコアまたはリソース信頼スコアのいずれかが減少する可能性があります。セッションが終了する場合、管理者に連絡し、終了理由に関する詳細情報を首都kうすることができます。