PAM360をはじめる
PAM360のセットアップが完了したら、PAM360アプリケーションでの作業を開始できます。PAM360コンソールでの作業および必要な設定の構成を開始する前に、 PAM360をはじめるのに役立つ構成セットについて確認する必要があります。
このドキュメントでは以下のことを学習します。:
- PAM360の起動と停止
- 1.1 Windowsの場合
- 1.2Linuxの場合
- PAM360 Webクライアントの起動
- グループマネージドサービスアカウントを使ったPAM360サービスの実行
- PAM360暗号化鍵の管理
- 暗号化鍵のローテーション
- PAM360 Webコンソールを使ったWebサーバー証明書の更新
1. PAM360の起動と停止
1.1 Windowsの場合
スタートメニューの使用 | トレイアイコンの使用 |
---|---|
|
1.2 Linuxの場合
2.PAM360 Webクライアントの起動
PAM360 Webクライアントに接続するには、次の方法があります:
2.1 PAM360サーバーからのWebクライアントへの接続
a. ブラウザの自動起動
PAM360サーバーが起動されたら、ブラウザウインドウにログイン画面が表示されます。サーバー起動時は毎回、ブラウザウインドウが自動的に起動されます。
b. Webクライアントの手動での起動
Windowsの場合:PAM360トレイ アイコンを右クリックし、PAM360
Webコンソールをクリックして、Webクライアントを手動で起動します。PAM360ログイン画面がブラウザ
ウィンドウに表示されます。
Linuxの場合:ブラウザを開き、以下のボックスで指定されたURLに接続します。
https://<hostname>:portnumber/
<hostname> - PAM360サーバーが実行されているホスト
<portnumber>
-
デフォルトポートは8282
例:https://localhost:8282
2.2 リモートホストでのWebクライアントへの接続
リモートマシン(PAM360が実行されているマシンとは別)の PAM360 Webクライアントに接続する場合は、ブラウザを開いて以下のURLに接続します。:
https://<hostname>:portnumber/
ここでは、
<hostname> -
PAM360サーバーが実行されているホスト。
<portnumber> -
デフォルトのポートは8282。
例:https://localhost:8282
2.3 WebクライアントからのPAM360の認証
PAM360は、セキュアHTTPS接続を利用するため、セキュリティ証明書(信頼されるWebサーバー証明書がすでにインストールされていない場合)を承認するプロンプトが届きます。[はい]をクリックし、ユーザー名とパスワードをログイン画面に入力し、[Enter]を押します。
セットアップが構成されていない場合、デフォルトのユーザー名とパスワードは 'admin'になります。初回ログイン後、パスワードを更新するよう求められます。管理者は、必要な場合は、続いて2FA(2段階認証)で、初回認証メカニズムを AD/LDAP/AzureADに変更できます。
より整理され、パスワードレス認証プロセスでは、PAM360モバイルアプリケーションからQRコードでスキャンして利用可能なスマートログイン方法を使用します。 管理者は、スマートログインを有効にするか、[管理] >> [セットアップ] >> [一般設定] >> [ユーザー管理]の順に移動して、希望する初回ログイン方法としてスマートログインを設定できます。
3.グループマネージドサービスアカウントを使ったPAM360サービスの実行
PAM360では、グループマネージドサービスアカウント(gMSA)を使ってサービスを実行/管理できます。gMSAについての詳細は、 Microsoftのドキュメントを参照してください。
グループマネージドサービスアカウントを作成するには、
- 管理者としてPowershell ISEを開きます。
- 以下のコマンドを実行します:
- Import-Module Active Directory
- Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
- New-ADServiceAccount -Name <MSA_AccountName> -DNSHostName <DNSNAme> -PrincipalsAllowedToRetrieveManagedPassword <Machine_Name>$
- Add-ADComputerServiceAccount -Identity <Machine_Name> -ServiceAccount <MSA_AccountName>
- Install -ADServiceAccount -Identity <MSA_AccountName>
- インストールフォルダにフルコントロール権限を付与します。
- ログオンサービスを構成するには、
- [サービス] >> [プロパティ] >> [ログオン]に移動します。
- MSAアカウントを参照します。
- 次に、[パスワード]フィールドを消去して、[適用]をクリックします。
- [OK]をクリックします。
これで、ログオンサービスが正常に構成されました。
トラブルシューティング手順:
サービスアカウントをインストールできない場合は、Installステートメントを実行する前に次のコマンドを実行してください:
Set-ADServiceAccount -Identity <MSA_AccountName> -KerberosEncryptionType AES128,AES256
4.PAM360暗号化鍵の管理
PAM360は、AES-256暗号化を使用して、パスワード データベース内のパスワードおよびその他の機密情報を保護します。暗号化に使用される鍵は自動生成され、すべてのインストールで一意です。デフォルトでは、この暗号化鍵は<pam360_Home>/confフォルダ下のpam360_key.keyという名前のファイルに保存されます。本番環境インスタンスの場合、PAM360では暗号化鍵をインストールフォルダ内に保存できません。これは、ライブデータベースとバックアップデータベースの両方で、暗号化鍵と暗号化されたデータが共存しないようにするために行われます。
この暗号化鍵を、PAM360がインストールされているマシンの外、別のマシンまたは外部ドライブに移動して保存することを強くお勧めします。pam360_key.keyファイルを移動するフォルダのフル パスを指定し、ファイルをその場所に手動で移動して、PAM360サーバーのインストール フォルダ内の参照をすべて削除できます。パスは、マップされたネットワークドライブまたは外部USB(ハードドライブ/サムドライブ)デバイスにすることができます。
PAM360は、pam360_key.key の場所を、<PAM360_HOME>/conf フォルダの下にある manage_key.conf という名前の設定ファイルに保存します。そのファイルを直接編集して、鍵ファイルの場所を変更することもできます。フォルダの場所を構成した後、pam360_key.keyファイルをその場所に移動し、ファイルまたは鍵の値が PAM360インストールフォルダ内のどこにも保存されていないことを確認します。
PAM360には、毎回起動するごとに、pam360_key.keyファイルを読み取るため、<PAM360 installation directory>PAM360\conf パスが必要な権限でアクセスできる必要があります。正常に起動すると、ファイルにアクセスする必要がなくなり、ファイルを含むデバイスをオフラインにすることができます。
重要メモ:
- 暗号化の複数レイヤー(Windowsファイル暗号化を使用するなど)とアクセス制御を使用して、常に鍵を保護してください。
- この鍵にアクセスする必要があるのは PAM360 アプリケーションのみのため、いかなる状況でも他のソフトウェア、スクリプト、または他の人がこの鍵にアクセスできないようにしてください。
- pam360_key.keyファイルを自分で安全にバックアップしてください。この鍵を指定した場合にのみ、PAM360 のバックアップを復元できます。鍵を置き忘れたり紛失したりすると、PAM360 は起動しなくなります。
- Database_params.confファイルを別の場所に保存する場合は、アプリケーションのアップグレードを実行するたびに、ファイルを元の場所(つまり、<PAM360 Installation Folder>/conf/)にコピーして戻す必要があります。
5.暗号化鍵のローテーション
PAM360の外部で暗号化鍵を安全に管理している場合にも、ベストプラクティスの1つは暗号化鍵を定期的に変更することです。PAM360には、暗号化鍵を自動的にローテーションする簡単なオプションが用意されています。
5.1 鍵ローテーションプロセスはどのように機能しますか?
PAM360は、<PAM360_HOME>/confフォルダの下にあるmanage_key.confファイルで指定されたパスにあるpam360_key.keyファイルに存在する現在の暗号化鍵を検索します。指定されたパスに存在する場合にのみ、ローテーションプロセスが続行されます。暗号化鍵をローテーションする前に、PAM360 はデータベース全体のコピーを作成します。これは、ローテーションプロセスで問題が発生した場合に、データの損失を回避するためです。
鍵ローテーションプロセス中に、すべてのパスワードと機密データは、最初に現在の暗号化鍵を使用して復号化され、次に新しい鍵で暗号化されます。後で、新しい鍵は、manage_key.confファイルで指定された場所にあるpam360_key.keyファイルに書き込まれます。鍵のローテーションが正常に完了すると、PAM360 は古い鍵が含まれている同じファイルに新しい暗号化鍵を書き込みます。鍵の書き込み中にエラーが発生した場合、ローテーションプロセスは中止されます。
5.2 暗号化鍵をローテーションする手順(高可用性を使用していない場合)
- 現在の暗号化鍵(pam360_key.keyファイル)がmanage_key.confファイルで指定された場所に存在することを確認してください。また、pam360_key.keyファイルにアクセスするときに、PAM360 が読み取り/書き込み権限を取得していることを確認してください。
- PAM360サーバーを停止します。
- コマンドプロンプトを開き、<PAM360-Installation-Folder>/binディレクトリに移動します。RotateKey.bat(Windowsの場合)またはsh RotateKey.sh(Linuxの場合)を実行します。
- 管理されているパスワードの数やその他のパラメータに基づいて、ローテーションプロセスが完了するまでに数分かかります。
- 確認メッセージが表示されたら、PAM360サーバーを起動します。
5.3 暗号化鍵をローテーションする手順(高可用性を使用している場合)
- PAM360 Web インターフェースで、[管理] >> [設定] >> [高可用性] に移動します。高可用性とレプリケーションステータスが有効であることを確認します。
- 現在の暗号化鍵(pam360_key.keyファイル)がmanage_key.confファイルで指定された場所に存在するかどうかを確認します。また、pam360_key.key ファイルにアクセスするときに、PAM360 が読み取り/書き込み権限を取得していることを確認してください。
- PAM360プライマリサーバーを停止し、PAM360セカンダリサーバーが実行されていることを確認します。
- PAM360
プライマリインストールでコマンドプロンプトを開き、次の場所に移動します
/binディレクトリに移動して、RotateKey.bat(Windowsの場合)またはsh RotateKey.sh(Linuxの場合)を実行します。 - 管理されているパスワードの数やその他のパラメータに基づいて、ローテーションプロセスが完了するまでに数分かかります。ローテーションプロセスが正常に完了すると、確認メッセージが表示されます。
- プライマリインストールから新しい暗号化鍵をコピーし、 manage_key.confファイルで指定されている場所に貼り付けます。これは、スタンバイがpam360_key.keyファイルを取り込む場所です。
- ここで、プライマリサーバーとスタンバイサーバーを起動します。
6.PAM360 Webコンソールを使ったWebサーバー証明書の更新
PAM360 Webコンソールを使用してWebサーバー証明書を更新する場合は、次の手順に従います:
- [管理] >> [設定] >> [サーバー設定]の順に移動します。
- 開いたPAM360サーバーページで、SSL証明書に属する鍵ストアファイルをインストールし、デフォルトのPAM360サーバーポートを必要に応じて変更します。
- SSL証明書を選択するには、鍵ストアファイルの種類(JKS、PKCS12またはPKCS11)を鍵ストアの種類ドロップダウンメニューから選択します。
- システムから鍵ストアファイルを参照し、[鍵ストアファイル名]フィールドにアップロードします。
- [鍵ストアパスワード]フィールドの横に、鍵ストアファイルのパスワードを入力します。
- デフォルトのPAM360サーバーポートを変更する場合は、[サーバーポート]フィールドにポート番号を入力します。
- [保存]をクリックします。
- 変更保存後に、PAM360を再起動します。