PAM360エージェントの使用

注記:

  1. ビルド5711以降、PAM360は、WindowsとWindows Domainシステム用C++の32および64ビットバージョンおよびLinux用Cエージェントはサポートしていません。ただし、CおよびC++エージェントは、この日付以降も、PAM360の古いバージョンではまだ機能します。ただ、パスワード リセット リスナー、ダイナミックアカウントフィルタリングおよびセルフサ―ビス権限昇格等、追加機能をサポートしているため、WindowsおよびWindows DimainマシンにはC#エージェント、LinuxマシンにはGoを使用することを強くお勧めします。サポート終了告知についての詳細は、フォーラムの投稿を参照してください。
  2. Windows GPO 経由で呼び出されるスクリプト ファイルを使用して、エージェントを一括でインストールおよびアンインストールする方法については、ここをクリックしてください。
  3. PAM360エージェントは、Redhatのバージョンで最大7.9、およびCentOSのみで機能します。
  4. Goエージェントでは、ビルド5301以降では、AMD64バージョンは、Ubuntu、CentOs、RedHat、Debian、およびその他Linux 種、およびARM64バージョンは、Redhatdでサポートされています。
  1. 概要
  2. PAM360 ServerとPAM360 Agentエージェントの間の通信
  3. PAM360エージェントをインストールする手順
  4. PAM360エージェントを使ったローカルアカウントの検出
  5. PAM360エージェントによる実行待ちのタスクを探す
  6. PAM360エージェントの関連づけと関連づけ解除
  7. PAM360エージェントの削除
  8. PAM360エージェントの再マッピング
  9. よくある質問

1.概要

PAM360エージェントを展開することで、PAM360 Serverに接続されていない接続をリモートリソースで確立し、PAM360から管理できます。PAM360エージェントは、Windows, Windows Domain、およびLinuxサーバーで利用できます。エージェントパッケージは、PAM360 Webインターフェイスでダウンロードに利用でき、必要な実行ファイル/構成ファイル、およびSSL証明書が含まれ、エージェントとPAM360 Webサーバーとの間でHTTPS通信を確立するのに使用します。インストール中、一意のエージェントキー(PAM360 UIからコピー)をターゲットマシンの各エージェントに入力する必要があります。エージェントキーを指定期間アクティブにし、複数のインストールで使用することもできます。

PAM360エージェントは、以下のケースで役立ちます:
  • PAM360 ServerがLinuxシステムで実行され、パスワードリエットがWindowsマシンについて実行された。
  • ターゲットシステムがDMZまたはPAM360 Serverが直接接続しない別のネットワークにある場合。
  • リモートパスワードリセットを実行するための必要な管理認証情報がPAM360 Serverにローカルに保存されていない。
  • ドメイン コントローラーの管理者の認証情報を使用せずにドメイン アカウントのパスワードを変更する場合。

2.PAM360 ServerとPAM360 Agentエージェントの間の通信

PAM360 Serverとエージェントとの間のすべてのパスワード関連の通信は、HTTPSで安全に実行されます。エージェントが常に接続を開始するため、通信は一方向です。ターゲットマシンにあるエージェントは、PAM360 Webインターフェイスへの接続が必要なため、エージェントには、PAM360 Webサーバーのみ利用できる必要があります。エージェントはアウトバウンドトラフィックを使って、PAM360のログインページに到達するため、ファイアウォールホールを空ける、またはVPNパスを作成して、インバウンドトラフィックがサーバーがすべての展開されたエージェントに到達できるようにする必要はありません。

エージェントがPAM360 WebサーバーをHTTPSから定期的にpingして、実行の動作が保留になっているかチェックします。デフォルトでは、エージェントは 60 秒ごとにサーバーに ping を送信しますが、この間隔は要件に応じて変更できます。エージェントがPAM360 Webサーバーに問い合わせたら、サーバーは、そのエージェントがリモートリソースで実行するタスクのリストをトリガーします。タスクが実行されたら、エージェントは、結果をPAM360 Webサーバーに通知します。

メモ:エージェントからの問い合わせによってのみWebサーバーによりタスクがトリガーされるため、 タスク実行の成功に要した時間は、エージェントがPAM360 Webサーバーとどのくらい速く接続できるかによって異なります。

3.PAM360エージェントをインストールする手順

3.1 前提条件

エージェントをインストールする前に、リモート ホストにエージェントをインストールするために使用するアカウントに、パスワードを変更するための十分な権限があることを確認してください。

3.2 PAM360エージェントのダウンロード

  1. [管理者] >> [PAM360エージェント]の順に移動します。
  2. エージェントパッケージには、以下のオペレーティングシステムの32ビットと64ビットバージョンの両方で利用できます:
    • Apple Windows
    • Windows Domain
    • Apple Linux
  3. 必要なエージェント パッケージをクリックします。
    pmp-agent
  4. 表示されるポップアップで、その横にあるコピー アイコンを使用してエージェント キーをコピーします。このエージェントキーは、PAM360エージェントをターゲットシステムにインストールするのに必要で、一回限り使用できます。インストール用にエージェント キーを指定すると、そのキーは無効になります。
  5. 単一キーを指定時間長アクティブに保つには、オプションキーを以下の期間アクティブにすることを許可:X時間を選択し、時間数を指定します。今後は、指定された期間内であれば、同じエージェント キーを任意の数のエージェントのインストールに使用できるようになります。

    注記:

    1. エージェントが不正に使用される可能性があるため、このキーを共有しないでください。
    2. <PAM360インストールフォルダ>/conf/system_properties.confディレクトリに移動し、以下のコマンドを記載し、キーの有効期間を最長999時間に延長します。
      • agent.gpo.time=999
  6. [エージェントのダウンロード]をクリックします。エージェントパッケージzipファイルをダウンロードしたら、コンテンツを解凍します。

3.3 Windows エージェント/Windows ドメイン エージェントのインストール - 32 ビット、64 ビット、および C#

WindowsとWindows Domainエージェントのターゲットシステムで実行されるコマンドは以下のとおりです。

  1. インストール
  2. 開始
  3. 更新
  4. 停止

メモ:上記のコマンドを実行するには、ターゲット システムの管理者権限が必要です。

3.3.1 コマンドプロンプトの使用
(C#エージェントはビルド5301以降のみで適用可能)

以下の手順は、Windowsエージェント/Windows Domainエージェント - 32ビット、64ビット、およびC#に適用できます。

1.リソースエージェントをWindowsまたはWindows Domainのサービスとしてインストールするには

  1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
  2. 以下のコマンドをエージェントインストール要件にあわせて実行します:
    1. エージェントをパスワード管理、セルフサービス権限昇格およびZero Trust実装のサービスとしてインストールするには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー> 1,2,3を実行します。
    2. エージェントをパスワード管理のサービスとしてインストールするには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー> 1を実行します。
    3. エージェントをセルフサービス権限昇格のサービスとしてインストールするには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー>2を実行します。Windowsでのセルフサービス権限昇格の構成についての詳細は、ここをクリックしてください。
    4. エージェントをZero Trust実装のサービスとしてインストールするには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー>3を実行します。PAM360でのZero Trust実装についての詳細は、ここをクリックしてください。
  3. 各操作時、Windowsエージェントがインストールされ、PAM360エージェントサービスが自動的に起動します。

2.ユーザーデバイスエージェントをWindowsまたはWindows Domainのサービスとしてインストールするには

  1. コマンドAgentInstaller.exe install <PAM360からコピーしたエージェントキー> userdevice <PAM360ユーザー名>を実行します。

    メモ:エージェントをWindowsまたはWindows Domainで、ユーザーデバイスのサービスとしてインストールする場合、ユーザーの信頼スコアを計算するデバイス上でデータを取り込むのに利用されます。ただし、エージェントがこのように構成されたデバイスはPAM360のリソースには追加されません。そのため、セルフサービス権限昇格パスワード管理は、それらのデバイスには適用されません。

3.エージェントをサービスとして起動するには

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. [AgentInstaller.exe start]コマンドを実行します。
    3. これで、以前インストールされたPAM360エージェントサービスが起動します。

4.WindowsまたはWindows Domainでリソースエージェントを更新するには

PAM360エージェントが以前別の管理者ユーザーによりインストールされている場合、このコマンドを使って、エージェントサーバーがリソースとして追加されるユーザーアカウントを更新します。エージェント サーバーは、エージェントをアンインストールして再インストールする必要がなく、新しい管理者ユーザーの下にリソースとして追加されます。ただし、新しい管理者は、以前にエージェント サーバーの下にあったアカウントにはアクセスできません。アカウントにアクセスするには、前の管理者がリソースの所有権を新しい管理者に譲渡する必要があります。

  1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
  2. エージェント更新要件にしたがって、如何おコマンドを実行します:
    1. エージェントをパスワード管理、セルフサービス権限昇格およびZero Trust実装のサービスとして更新するには、コマンド AgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー>1、2、3を実行します。
    2. エージェントをパスワード管理のサービスとして更新するには、コマンド AgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー> 1を実行します。
    3. エージェントをセルフサービス権限昇格のサービスとして更新するには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー>2を実行します。Windowsでのセルフサービス権限昇格の構成についての詳細は、ここをクリックしてください。
    4. エージェントをZero Trust実装のサービスとして更新するには、コマンドAgentInstaller.exe install <PAM360 UIからコピーしたエージェントキー>3を実行します。PAM360でのZero Trust実装についての詳細は、ここをクリックしてください。
  3. 各操作時、Windowsエージェントが更新され、PAM360エージェントサービスが自動的に起動します。

5.エージェントサービスを停止するには

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. [AgentInstaller.exe stop]コマンドを実行します。
    3. これで、PAM360エージェントサービスが停止し、アンインストールされます。

3.3.2 PAM360エージェントインストーラーの使用
(C#エージェントはビルド5301以降のみ適用可能です)

以下の手順は、Windowsエージェント/Windows Domainエージェント - C#のみに適用できます。

前提条件:エージェントがインストールされたフォルダに特権アカウントとユーザーアカウント両方の完全許可があることを確認します。.

C#エージェントをダウンロードした後、フォルダを展開し、PAM360Agent >> binに移動します。

1.WindowsまたはWindows ンDomainでエージェントをアンインストールするには:

  1. AgentInstaller.exeを右クリックし、[管理者として実行]を選択します。
  2. PAM360エージェントインストーラーウィザードが画面に表示されます。
  3. [インストール]オプションを選択します。
  4. インストールキーインストールパスを記載します。[次へ]をクリックします。
    pmp-agent
  5. 開いた構成ページで:
    1. エージェントインストール要件にあわせて、リソースタイプ、サーバー名、ポート、スケジュール間隔、リソース所有者等のフィールドを入力/修正します。
    2. 使用タイプ.を選択します。PAM360エージェントをユーザーデバイスにインストールしてユーザーの信頼スコア計算にデバイスデータを取り込むには、使用タイプユーザーデバイスとして選択し、ユーザーデバイスを関連づける先のPAM360ユーザー名を入力します。PAM360エージェントを組織のリソースにインストールしてリソースの信頼スコア計算にデバイスデータを取り込むには、 使用タイプリソースとして選択します。

      メモ:ユーザーデバイス使用タイプとして選択する場合、モジュールセクションは、デフォルトでは、自動的にZero Trustを選択します。PAM360エージェントが使用タイプでインストールされているデバイス - ユーザーデバイスは、PAM360にリソースとして追加されません。セルフサービス権限昇格、およびパスワード管理等の操作は、これらのデバイスには適用されません。

    3. [パスワードを管理][セルフサービス権限昇格]、および/または[Zero Trust]の対応するチェックボックスをモジュールセクションで有効にして、要件に必要なモジュールをPAM360エージェントから選択します。
      1. パスワードを管理を有効にする場合、サーバーにアカウントのパスワードを定期的に検証および/またはリセットすることを要求するサービスが追加されます。
      2. セルフサービス権限昇格を有効にする場合、セルフサービス権限昇格モジュールが追加されます。セルフdサービス権限昇格の構成についての詳細は、ここをクリックしてください。
      3. Zero Trustを有効にする場合、信頼スコアパラメーター認証の使用タイプで、上で定義したとおり、ユーザーデバイスまたはリソースのシステムデータを定期的に要求するサービスが追加されます。組織のZero Trustアプローチについての詳細は、ここをクリックしてください。
      pmp-agent
    1. デフォルトでは、[SSL 証明書がインストールされている]フィールドには[はい]が選択されています。有効なSSL証明書がPAM360にインストールされていない場合、このSSL証明書インストール済フィールドを[いいえ]に変更します。

      2. 注記:テストサーバー接続ステータスは、有効なSSL証明書がPAM360 Serverにインストールされていない状態で、[はい]SSL証明書インストール済フィールドで選択された場合は、失敗します。

  6. 操作ページで、最初2つの条件が満たされている場合は、 [インストール]をクリックします。
    pmp-agent

これで、C# エージェントが正常にインストールされました。

注記:

  1. デフォルトでは、すべてのファイル/アプリケーション(.exe、.msc、.msi、.cmdおよび.bat)には、[PAM360特権アカウント]が右クリックメニューにあります。ただし、権限昇格は、PAM360で構成されたファイル/アプリケーションにのみ機能します。
  2. セルフサービス権限昇格がインストールされた場合、エージェント情報は、サービスコンソールには表示されません。

2.エージェントを Windows サービスとして開始するには:

  1. AgentInstaller.exeを右クリックし、[管理者として実行]を選択します。
  2. PAM360エージェントインストーラーウィザードが画面に表示されます。
  3. [操作]アイコンをクリックします。
  4. エージェントサービスステータスの横の3つのドットを右クリックし、[開始]をクリックします。
  5. ここから、エージェントを停止、再起動でき、サービスコンソールに進むこともできます。
    pmp-agent

3.Windows または Windows ドメインでエージェントを更新するには:

  1. AgentInstaller.exeを右クリックし、[管理者として実行]を選択します。
  2. PAM360エージェントインストーラーウィザードが画面に表示されます。
  3. [再インストール]オプションを選択します。
  4. インストールキーインストールパスを記載します。[次へ]をクリックします。
    pmp-agent
  5. 開いた構成ページで:
    1. エージェントインストール要件にあわせて、リソースタイプ、サーバー名、ポート、スケジュール間隔、リソース所有者等のフィールドを入力/修正します。
    2. 使用タイプ.を選択します。PAM360エージェントを更新しユーザーの信頼スコア計算にデバイスデータを取り込む場合、使用タイプまたはユーザーデバイスを選択し、ユーザーデバイスを関連づける先のPAM360ユーザー名を入力します。PAM360エージェントを組織のリソースで更新し、リソースの信頼スコア計算にデータを取り込む場合、使用タイプリソースとして選択します。

      メモ:ユーザーデバイス使用タイプとして選択する場合、モジュールセクションは、デフォルトでは、自動的にZero Trustを選択します。PAM360エージェントが使用タイプでインストールされているデバイス - ユーザーデバイスは、PAM360にリソースとして追加されません。セルフサービス権限昇格、およびパスワード管理等の操作は、これらのデバイスには適用されません。

    3. モジュールセクションの[パスワードを管理][セルフサービス権限昇格]および/または[Zero Trust]を有効にして、PAM360エージェントから更新要件に必要なモジュールを選択します。
      1. パスワードを管理を有効にする場合、サーバーにアカウントのパスワードを定期的に検証および/またはリセットすることを要求するサービスが追加されます。
      2. セルフサービス権限昇格を有効にする場合、セルフサービス権限昇格モジュールが追加されます。セルフdサービス権限昇格の構成についての詳細は、ここをクリックしてください。
      3. Zero Trustを有効にする場合、信頼スコアパラメーター認証の使用タイプで、上で定義したとおり、ユーザーデバイスまたはリソースのシステムデータを定期的に要求するサービスが追加されます。組織のZero Trustアプローチについての詳細は、ここをクリックしてください。
      pmp-agent
    1. デフォルトでは、[SSL 証明書がインストールされている]フィールドには[はい]が選択されています。有効なSSL証明書がPAM360にインストールされていない場合、このSSL証明書インストール済フィールドを[いいえ]に変更します。

      2. 注記:テストサーバー接続ステータスは、有効なSSL証明書がPAM360 Serverにインストールされていない状態で、[はい]SSL証明書インストール済フィールドで選択された場合は、失敗します。

  6. 操作ページで、最初の2つの条件が満たされているかチェックし、[次へ]をクリックして、エージェントを再インストールします。
    pmp-agent

これで、C# エージェントが正常に再インストールされました。

4.Windows または Windows ドメインでエージェントをアンインストールするには:

  1. AgentInstaller.exeを右クリックし、[管理者として実行]を選択します。
  2. 表示されるウィザードで、[アンインストール]を選択し、[次へ]をクリックします。
    pmp-agent
  3. 構成ページで、アンインストールするモジュール(パスワードを管理、および/まあはセルフサービス権限昇格)選択し、[次へ]をクリックします。
  4. 操作ページで、最初の2つの条件が満たされているかチェックします。[アンインストール]をクリックします。
    pmp-agent

これで、C# エージェントが正常にアンインストールされました。

3.4 Linuxエージェントのインストール - 32ビット、64ビットおよびGo
(Goエージェントはビルド5301以降のみに適用可能です)

Linux エージェントのターゲット システムで実行されるコマンドは次のとおりです。

  1. インストール
  2. 開始
  3. 更新
  4. 停止
  5. 削除

注記:

  1. 上記のコマンドを実行するには、ターゲット システムの root 権限が必要です。
  2. PAM360エージェント(32ビット、64ビット)は、デフォルトOpenSSLライブラリのみのLinux種をサポートします。
  3. Go Agent はすべての Linux フレーバーをサポートしています。

1.リソースエージェントをLinuxのサービスとしてインストールするには

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. 下の手順を参照に、要件にあわせてエージェントをインストールします(bashコマンドはGoエージェントのみで適用可能です):
      1. エージェントをパスワード管理、セルフサービス権限昇格およびZero Trust実装のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install<PAM360 UIからコピーしたエージェントキー>1、2、3を実行します。
      2. エージェントをセルフサービス権限昇格のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <Agent Key copied from the PAM360 UIからコピーしたエージェントキー> 1を実行します。.
      3. エージェントをセルフサービス権限昇格のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>2を実行します。.セルフサービス権限昇格のwLinuxで構成する詳細は、ここをクリックしてください。
      4. エージェントをZero Trust実装のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>3を実行します。.PAM360でのZero Trust実装についての詳細は、ここをクリックしてください。
    3. Linuxエージェントがインストールされ、PAM360エージェントサービスが自動的に起動します。

2.ユーザーデバイスエージェントをLinuxのサービスとしてインストールするには

  1. コマンド - installAgent-service.sh install <key> userdevice <PAM360ユーザー名>を実行します。

    メモ:エージェントをユーザーデバイスのLinuxサービスとしてインストールする場合、ユーザーの信頼スコアの計算にデバイスでデータを取り込むのに利用されます。ただし、エージェントがこのように構成されたデバイスはPAM360のリソースには追加されません。そのため、セルフサービス権限昇格パスワード管理は、それらのデバイスには適用されません。

3.エージェントを Linux サービスとして開始する方法

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. コマンドsh installAgent-service.sh/bash installAgent-service.bash start (bashコマンドはGoエージェントのみに適用可能です)を実行します。
    3. これで、以前インストールされたPAM360エージェントサービスが起動します。

4.リソースエージェントをLinuxのサービスとして更新するには

PAM360エージェントが以前別の管理者ユーザーによりインストールされている場合、このコマンドを使って、エージェントサーバーがリソースとして追加されるユーザーアカウントを更新します。エージェント サーバーは、エージェントをアンインストールして再インストールする必要がなく、新しい管理者ユーザーの下に追加されます。ただし、新しい管理者は、以前にエージェント サーバーの下にあったアカウントにはアクセスできません。アカウントにアクセスするには、前の管理者がリソースの所有権を新しい管理者に譲渡する必要があります。

  1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
  2. 下の手順を参照に、要件にあわせてエージェントを更新します(bashコマンドはGoエージェントのみで適用可能です):
    1. エージェントをパスワード管理、セルフサービス権限昇格およびZero Trust実装のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>1、2、3を実行します。
    2. エージェントをパスワード管理のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>1を実行します。
    3. エージェントをセルフサービス権限昇格のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>2を実行します。セルフサービス権限昇格のwLinuxで構成する詳細は、ここをクリックしてください。
    4. エージェントをZero Trust実装のサービスとして更新するには、コマンド sh installAgent-service.sh/bash installAgent-service.bash install <PAM360 UIからコピーしたエージェントキー>3を実行します。PAM360でのZero Trust実装についての詳細は、ここをクリックしてください。
  3. Linuxエージェントがインストールされ、PAM360エージェントサービスが自動的に起動します。

5.Linuxサービスとして実行されているエージェントを止するには

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. コマンドsh installAgent-service.sh/bash installAgent-service.bash stop を実行します(bashコマンドはGoエージェントのみに適用可能です)。
    3. Linuxエージェントサービスが停止します。

6.エージェントをLinuxサービスとしてアンインストールするには:

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. コマンド sh installAgent-service.sh/bash installAgent-service.bash removeを実行します(bashコマンドはGoエージェントにのみ適用可能です)。
    3. エージェントは餡インストールおよび削除されます。

3.5 エージェント設定の構成

ダウンロードしたエージェント パッケージにあるagent.confファイルを開きます。以下は、構成ファイルに一覧表示されるパラメーターです。一部はニーズに合うように修正できます:

  • AgentType:agentType: agentTypeは、エージェントのタイプ、すなわち、PAM360機能があるエージェントを示します。
  • サーバー名:これは、PAM360エージェントがPAM360 Serverへの問い合わせを試行するサーバー/IPアドレスです。
  • サーバーポート:これは、PAM360 Serverが実行されているポートを示します。PAM360のデフォルトポートを443等の他のポートに変更した場合、同じポート番号をここで更新する必要があります。
  • ScheduleInterval: デフォルトでは、エージェントは 60 秒ごとにサーバーに ping を送信します。エージェントがPAM360 Webサーバーをpingする必要がある時間間隔を構成するには、時間間隔値を秒単位で修正します。
  • ユーザー名: これは、エージェント サーバーがリソースとして追加される管理者ユーザー アカウントです。
  • OSタイプ: エージェントが属する OS (Windows/Windows ドメイン/Linux) を示します。
  • TrustedCertifcate: デフォルトでは、この値は[yes]になります。有効なSSL証明書がPAM360 Serverにインストールされていない場合、この値を「いいえ」に編集します。

PAM360では、アカウント検出中に、正規表現パターンを使ってエージェント(C#およびGo)から追加されるユーザーを制限できます。この同じことを実行するには、下のUserQuery  accountFilter コマンドを使用します:

  • UserQuery: Linux でアカウントをフィルタリングするには (Go Agent).

    UserQuery = "awk -F: '$1 ~ /&#94;admin.*/ {print$1}' /etc/passwd"

    // [admin]で始まるアカウントを検出します。


  • accountFilter: Windows/Windows ドメイン (C# エージェント) のアカウントをフィルタリングします。

    accountFilter = &#94;admin.*

    // [admin]で始まるアカウントを検出します。

    注記:アカウント フィルターでパターンを指定しない限り、Windows ドメイン エージェントはユーザー アカウントを自動的に追加しません。
  • fetchDisabledAccount: Windows/Windows ドメインで無効なアカウントを取得します (C# エージェント)。

    fetchDisabledAccount = True

コマンドUserQuery, accountFilterfetchDisabledAccountは、ビルド5301以降でのみ適用可能です。

上記のパラメータのいずれかを変更したら、エージェント サービスを再起動します。

4.PAM360エージェントを使ったローカルアカウントの検出

エージェントをターゲットマシンで初めて起動すると、マシンがPAM360でリソースとして自動追加され、ローカルアカウントが自動検出されます。検出後、ローカルアカウントのパスワードをリセットできます。PAM360エージェント使ったパスワードのリセットについての詳細は、ここをクリックしてください。

5.PAM360エージェントによる実行待ちのタスクを探す

下の手順にしたがって、タスクがユーザーにより検出されても、PAM360エージェントにより実行待ちとなっているタスクを探します。

  1. 通知を表示するには、インターフェイスの上部パネルにあるベルのアイコンをクリックします。
  2. エージェントアラートに、エージェント関連のステータスがあります:
    • トリガーされたパスワード リセットおよびパスワード検証アクションの数。
    • 以前にトリガーされたパスワード リセット アクションのステータス。
    • 以前にトリガーされたパスワード検証アクションのステータス。
    pmp-agent
    pmp-agent
  3. 通知はユーザー固有です。つまり、ユーザーには、自分がトリガーしたタスクのみが通知されます。

6.PAM360エージェントの関連づけと関連づけ解除
(この機能は、C#およびGoエージェント用のAM360ビルド5710にのみ適用可能です)

PAM360で、ユーザーは、エージェントをリソース/ユーザーに関連づけ/関連づけ解除できます。エージェントを関連づけると、エージェントは、リソース上でリモート操作を実行、またはユーザーデバイスからデータを取り込むことができ、また、エージェントを関連づけ解除すると、そこで実行したすべての操作は一時停止します。

  1. [管理者] >> [PAM360エージェント] >> [エージェントを管理]の順に移動します。ここで、リソース/ユーザーにマッピングされたエージェントのリストを表示できます。
  2. リソース/ユーザーをエージェントから関連づけ解除するには、
    1. 目的のリソース名の横にあるエージェント アクション アイコンをクリックし、[関連づけ解除] をクリックします。
      pmp-agent
    2. 表示されるポップアップで、エージェントがステータスを確認する時間間隔 (分単位) を指定します。
    3. [関連づけを解除]をクリックして、選択したエージェントの関連づけを解除します。リソース/ユーザーがエージェントから正常に関連づけ解除されました。
      4. pmp-agent
  3. エージェントの関連づけを一括で解除するには、
    1. 関連づけ解除に必要なリソース/ユーザーを選択し、上部ペインの[関連づけ解除]ボタンをクリックします。
    2. エージェントがステータスを確認する時間間隔 (分単位) を指定します
    3. [関連づけを解除]をクリックして、選択したエージェントの関連づけを解除します。リソース/ユーザーがエージェントから正常に関連づけ解除されました。
      pmp-agent
  4. リソースをエージェントに関連づけるには、
    1. 目的のリソース/ユーザーの横にある[エージェント操作]アイコンをクリックし、[関連づけ]をクリックします。リソース/ユーザーがエージェントと正常に関連づけられました。
      pmp-agent

7.PAM360エージェントの削除
(この機能は、AM360ビルド5710以降で利用できます)

  1. [リソース]タブに移動し、エージェントを削除するリソース/ユーザーをさ駆除します。
  2. 次に、[管理者] >> [PAM360 エージェント] >> [エージェントを管理]の順に移動します。

    メモ:リソースを削除するエージェントの[リソース名/ユーザー名]が「該当なし」と表示されます。

  3. リソース/ユーザーを削除したエージェントの横の [エージェント操作]アイコンをクリックし、[エージェントを削除]をクリックします。
    pmp-agent
  4. 表示されるポップアップで、[削除]をクリックします。

エージェントが正常に削除されました。

注記:

  1. リソースはエージェントとともに削除されるため、リソース所有者はエージェントを削除する前にリソースのコピーを作成することをお勧めします。
  2. この操作では、PAM360 Serverからのみエージェントが削除され、リソースからエージェントはアンインストールされません。
  3. 削除したエージェントをM360 Serverに追加するには、エージェントをターゲットマシンに再インストールします。

8.PAM360エージェントの再マッピング
(この機能は、C#およびGoエージェント用のAM360ビルド5710にのみ適用可能です)

[エージェントの再マップ]オプションは、エージェントのリソースが誤って削除された場合に使用されます。管理者は、次の手順を使用して、エージェントをそのリソースに再マップできます:

  1. [リソース]タブに移動し、エージェントと同じ DNS 名のリソースを追加します。
  2. 次に、[管理者] >> [PAM360エージェント] >> [エージェントを管理] >> [リソース]の順に移動します。
  3. 追加したリソースに属するエージェントの横にあるリソース アクション アイコンをクリックし、[エージェントの再マップ] をクリックします。
    pmp-agent
  4. 表示されるポップアップで、エージェントを再マップするリソースを選択し、[エージェントの再マップ]をクリックします。
    pmp-agent

エージェントをリソースに正常に再マップしました。

9.よくある質問

  1. エージェントを管理するためのカスタム役割を作成するにはどうすればよいですか?

    エージェントを管理するには、ユーザーは、リソースへの追加編集許可と、[PAM360エージェントをダウンロード]への許可が必要です。以下の手順に従ってください:

    1. [管理] >> [カスタマイズ] >> [役割]に移動します。
    2. [役割の追加]をクリックします。表示されるポップアップで、
      1. 名前説明を記載します。
      2. [パスワード]をクリックします。
        1. [リソース]タブをクリックし、[追加][編集]を有効にします。
        2. [パスワードリセット]タブをクリック、[パスワードリセット]を有効にします。
      3. [カスタム設定]をクリックし、[PAM360エージェントをダウンロード]を有効にします。
    3. エージェントを管理するための役割が正常に作成されました。

      4. 注記:ユーザーは、エージェントがインストールされているリソースの所有者である必要があります。

  2. エージェントの管理に関するレポートはありますか?

    [レポート] >> [クエリ レポート] >> [リソース] に移動し、[インストールされているエージェント]を検索します。このレポートには、それぞれのリソースにインストールされているエージェントのリストが含まれます。

  3. 5710 にアップグレードすると、既存のエージェントはどうなりますか?また、どの機能が適用可能ですか?
    • PAM360をビルド5710にアップグレードすると、古いビルドのすべての既存エージェントは [管理者] >> [PAM360エージェント] >> [エージェントを管理]に追加されます。
      [エージェントの管理]ウィンドウからのみ古いエージェントを表示および削除できます。
    • 関連づけ、関連づけ解除再マップなどの他の機能を使用するには、ターゲット マシンに最新のエージェントを再インストールすることをお勧めします。
  4. エージェントがターゲット マシンから削除またはアンインストールされた場合、[エージェントの管理] ウィンドウではどうなりますか?

    エージェントのステータスは、デフォルトでは 30 分ごとに更新されます。エージェントがその期間非アクティブである場合、そのエージェントのステータスは非アクティブとしてマークされます。

  5. リソースがフルアクセスを持つ管理者と共有されている場合、エージェントは [エージェントの管理] ウィンドウに表示されますか?

    いいえ、エージェントの詳細は、リソースの所有権が別の管理者権限を持つユーザーに譲渡された場合にのみ、[エージェントの管理]ページに表示されます。

  6. エージェントがインストールしたリソースの所有権が別の管理者権限を持つユーザーに譲渡されるとどうなりますか?

    リソースにインストールされたエージェントは、リソースの所有権が譲渡されたユーザーの[エージェントの管理]ウィンドウに表示されます。

関連項目:

セルフサービスの権限昇格