アカウントとパスワードの管理

本書では、アカウントの表示、編集、コピー、移動等、ユーザーがPAM360のアカウントを管理し、パスワードを変更、パスワード履歴を表示、および PAM360に保存されているオあスワードの整合性をチェックすることができるさまざまな方法について説明します。

  1. アカウントの表示
  2. パスワードのコピー
  3. パスワードの変更
  4. PAM360に保存されているパスワードの検証
  5. パスワード履歴の表示
  6. パスカードリンクのコピー
  7. アカウントの編集
  8. アカウントのコピー
  9. アカウントの移動

1.アカウントの表示

下の手順にしたがって、リソースの一部となるアカウントを表示します。

  1. [リソース]タブに移動します。
  2. アカウント詳細の表示対象の特定リソース名をクリックします。
  3. 各リソースのアカウントは、新しいダイアログボックスで開きます。
  4. デフォルトでは、パスワードは、アスタリスクの後ろに隠れて表示されます。パスワードを平文で表示するには、各アスタリスクをクリックするだけです。パスワードは、10秒間のみ表示されます。その後、自動的に非表示にされます。アスタリスクをもう一度クリックすると、パスワードを再表示できます。
    5. viewing_account_details

デフォルトの10秒は全般設定ページから修正することができます。

1.1 ユーザーによるパスワード表示理由の入力の実行

デフォルトでは、ユーザーがアスタリスクをクリックして、リソースのパスワードを取り込もうとしたとき、パスワードは平文で表示されます。ユーザーにパスワードへのアクセスが必要な理由を強制的に入力させる場合、全般設定の「パスワードの取り込み時にユーザーに理由の入力を実行させる」オプションを有効にできます。以下の手順に従ってください:

  1. [管理者] >> [設定] >> [全般設定]の順に移動します。
  2. オプションのリストとあわせて開いたUIで、パスワード取り込みを選択します。.
  3. 「パスワード取り込み時ユーザーが理由入力を実行」チェックボックスをクリックします。
  4. [保存]をクリックします。
    5. viewing_account_details
  5. このオプションを有効にした後、アスタリスクをクリックすると、ポップアップウインドウが開きます。そのポップアップウインドウで、取り込みの理由を入力し、 [継続]をクリックします。
    6. viewing_account_details

1.2 パスワードユーザーと監査担当者に自動ログオンを構成するパスワードの取り込みを許可

自動ログイン機能では、PAM360には、リソースへの直接接続を確立するオプションがあるため、パスワードのコピーと貼り付けは不要です。デフォルトでは、パスワードユーザーと監査担当者は、共有しているパスワードを取り込むことができます。ただし、自動ログオンを構成する場合、パスワードへのアクセスは必要なくなる可能性があります。そのような場合、パスワードへのアクセスを許可または制限し、全般設定の「パスワードユーザーと監査担当者に自動ログオンを構成するパスワードの取り込みを許可」オプションで同操作を実行するように決定できます。

このオプションを有効にするには、
  1. [管理者] >> [設定] >> [全般設定]の順に移動します。
  2. オプションのリストとあわせて開いたUIで、パスワード取り込みを選択します。.
  3. 「パスワード取り込み時ユーザーが理由入力を実行」チェックボックスをクリックします。
  4. [保存]をクリックします。
    5. viewing_account_details

2.パスワードのコピー

PAM360は、ブラウザのクリップボードユーティリティを利用して、パスワードのコピーと貼り付けが必要な時に、パスワードをコピーします。

下の手順にしたがって、パスワードをコピーします:
  1. [リソース]タブに移動します。
  2. パスワードリンクに切り替え、コピーを希望するパスワードのところにある[コピー]アイコンをクリックします。
  3. コピーしたパスワードは、30秒間貼り付けができます。
    4. viewing_account_details

3.パスワードの変更

ユーザーアカウントのパスワードを変更するには、

  1. [リソース]タブに移動し、[パスワード]タブに切り替えるか、[リソース]タブから、必要なリソース名をクリックして、[アカウント詳細]ダイアログボックスを開きます。
  2. パスワードを変更するリソースで[アカウント操作]アイコンをクリックし、[パスワードを変更]をドロップダウンリストから選択します。
    3. viewing_account_details
  3. 表示されるポップアップで、新しいパスワードを入力し、同内容を確認します。
  4. [保存]をクリックします。
    5. viewing_account_details

注記:

  • 新しいパスワードを入力するとき、管理者がこのリソースに設定したパスワードポリシーがある場合は実行します。
  • お使いのアカウントが次の種類のいずれか - Windows、Windows Domain、Linux、IBM AIX、HP UNIX、Solaris、Mac OS、MS SQLサーバーおよびCiscoデバイス(IOS、CatOS、PIX)に属する場合、リモートリソースでも、新しいパスワードを同期化するオプションがあります。リモート同期化の場合、リソースでパスワード更新に失敗すると、パスワードの変更はローカルでも保存されなくなります。

4.PAM360に保存されているパスワードの検証

サーバー、データベース、ネットワークデバイスおよびその他のアプリケーション等のリソースのパスワードはPAM360に保存されます。これらのリソースへの管理アクセス権を持つ者がリソースに直接アクセスし、管理者アカウントのパスワードを変更する可能性があります。そのような場合、PAM360に保存されているパスワードは古くなり、パスワードのためPAM360にアクセスするユーザーには使えなくなります。このような可能性に対処するため、PAM360には、要求があったときと、定期間隔の両方で、随時、パスワードの有効期間をチェックするオプションがあります。要求があったときのパスワード有効期間の検証は、単一アカウントまたはPAM360アプリケーションに保存されているすべてのリソース/アカウントで実行できます。

4.1 個別パスワードの検証

下の手順にしたがって、単一アカウントのパスワードの整合性を検証します:

  1. [リソース]タブに移動し、[パスワード]タブに切り替えるか、[リソース]タブから、必要なリソース名をクリックして、[アカウント詳細]ダイアログボックスを開きます。
  2. パスワードの同期化を検証するリソースで[アカウント操作]アイコンをクリックし、[パスワードを検証]をドロップダウンリストから選択します。
    3. viewing_account_details
  3. PAM360は、ターゲットシステムと接続の確立を試行します。接続が確立されたら、PAM360に保存されている認証情報でログインを試行します。ログインに成功しない場合、PAM360は、パスワードが同期されていない結論を出します。

注記:

1.パスワード検証は、リモートパスワードリセットが有効になっているアカウントにのみ機能します。

2.PAM360がネットワーク問題等でシステムに接続を確立できない場合、パスワードが同期されていないとはみなされません。

4.2 パスワードの一括検証

PAM360に保存されているパスワードがリソースの実際のパスワードと同期化されているか、このチェックを実行して、チェックします。

下の手順にしたがって、パスワードの整合性を一括検証します:

  1. [グループ] >> [グループ操作] >> [同期外パスワードを検索]の順に移動します。ウインドウが表示されます。
  2. [今すぐ開始]をクリックします。成功メッセージ「整合性チェックが正常にスケジュール設定されました」が表示されます。これで、選択したグループのすべてのパスワードがちぇっくされ、メール通知が管理者に送信されます。

4.3 パスワードのスケジュール設定された一括検証

PAM360に保存されているパスワードの整合性をチェックするようにスケジュール設定できます。次の手順に従ってください:

  1. [グループ] >> [グループ操作] >> [定期的な整合性チェック]の順に移動します。選択したグループのスケジュールの現在および今後のステータスが記載されたウインドウが表示されます。
viewing_account_details
  1. 整合性チェックをスケジュール設定するか、下のオプションのいずれかを選択して、既存のスケジュールを修正します:
    1. 一度、個別日および時間
    2. 指定日に基づいた間隔で、個別日と時間から
    3. 毎月、個別日と時間に
    4. しない
  2. [スケジュール]をクリックします。

これで、整合性チェックは、構成されたスケジュールに基づくようになり、PAM360は、リモートパスワードリセットを有効にした、選択したグループのすべてのアカウントについて、ターゲットシステムと接続確立を試行します。接続が確立されると、PAM360に保存されている認証情報でログインを試行します。ログインに成功しない場合、PAM360は、パスワードが同期されていないと結論づけます。統合された通知がすべての管理者と監査人にメールで送信されます。

メモ:PAM360がネットワーク問題等でシステムに接続を確立できない場合、パスワードが同期されていないとはみなされません。

 

4.4 PAM360に保存されているすべてのパスワードの検証

このオプションでは、PAM360に保存されているすべてのパスワードの整合性チェックを実行します。完了したら、メールが管理者に送信されます。以下の手順に従ってください:

  1. [レポート] >> [パスワード同期外]の順に移動します
  2. そのレポートで、[同期から パスワードを探す]リンクをクリックします。開いたダイアログボックスで、[今すぐ開始]をクリックします。
  3. チェックをスケジュール設定したら、PAM360は、リモートパスワードリセットを有効にしたすべてのアカウントについて、ターゲットシステムとの接続確立を試行します。接続が確立されると、PAM360に保存されている認証情報で、各リソースにそれぞれログインを試行します。ログインに成功しない場合、PAM360は、パスワードが同期されていない結論を出します。PAM360がネットワーク問題等によりシステムと接続を確立さえできない場合、同期からパスワードを取得されることはありません。統合された通知がすべての管理者と監査人に電子メールで送信されます。

5.パスワード履歴の表示

パスワードへの変更履歴は、パスワード履歴の形でキャプチャされます。古いパスワード、修正者、修正した機種および修正時間等の情報はすべて、履歴でキャプチャされます。

アカウントのパスワード履歴を表示するには、

  1. [リソース]タブに移動し、[パスワード]タブに切り替えるか、[リソース]タブから、必要なリソース名をクリックして、[アカウント詳細]ダイアログボックスを開きます。
  2. パスワード履歴を表示するリソースで[アカウント操作]アイコンをクリックし、[パスワード履歴]をドロップダウンリストから選択します。
  3. 表示されるポップアップボックスに、パスワード履歴が表示されます。

6.パスカードリンクのコピー

パスカードには通常、リソース名、アカウント名、同アカウントのパスワード、リソースの所有者とDNS名が追加可能性のある追加リソースまたはアカウント属性とあわせて含まれています。アカウントのパスカードを表示するには、PAM360にログインし、対応するリソースをあなたが所有するか、共有している必要があります。パスカードリンクには、PAM360の個別アカウントの連結された詳細が共有可能なリンクになります。リンクは、パスカードを関連する権限と共有する者のみアクセスできます(読取専用、読取・書込み、または管理)。

下の手順にしたがって、アカウントのパスカードをコピーします:

  1. [リソース]タブに移動し、[パスワード]タブに切り替えるか、[リソース]タブから、必要なリソース名をクリックして、[アカウント詳細]ダイアログボックスを開きます。
  2. 必要なアカウント名の横にある[アカウント操作]アイコンをクリックし、ドロップダウンから[パスカードリンクをコピー] を選択します。
  3. パスカードはクリップボードにコピーされ、[ここをクリックしてクリップボードを消去]オプションをクリックして消去するまで、そこに保存されます。パスカードリンクをコピーするとすぐ、ここをクリックしてクリップボードを消去オプションがページの右端上に表示されます。
  4. コピーしたパスカードURLを新しいブラウザウインドウに貼り付け、コンテンツを表示します。パスカードには、QRコードも含まれ、そこからURLをスキャンして抽出できます。
    5. viewing_account_details
    viewing_account_details

7.アカウントの編集

いつでも、アカウントのいずれかの詳細を編集できます。

アカウントを編集するには、

  1. [リソース]タブに移動し、[パスワード]タブに切り替えるか、[リソース]タブから、必要なリソース名をクリックして、[アカウント詳細]ダイアログボックスを開きます。
  2. パスワードを編集するリソースの横の[アカウント操作]iアイコンをクリックし、[アカウントを編集]をドロップダウンリストから選択します。
    3. viewing_account_details
  3. 表示されるポップアップフォームで、アカウントの必要なプロパティを編集します。
  4. チェックボックス「ログインに秘密鍵を使う」を選択し、アカウント認証情報ではなく、SSHキーを使って、リモート接続の認証を行います。SSHキーを使用したリモート接続の詳細については、ここをクリックしてください。
  5. 完了したら、[保存]をクリックします。必要な変更がビューに反映されます。
    6. viewing_account_details

8.アカウントのコピー

1つ以上のリソースにアカウントをコピーおよび追加します。次に、複製したアカウントを要件に合うように編集することができます。アカウントをコピー機能は、異なるりしおーすの同一アカウントを取り扱う場合に便利です。コピー操作では、コピーしたアカウントに変更は作成されません。

下の手順にしたがって、1つ以上のアカウントをコピーします:
  1. [リソース]タブに移動し、[パスワード]タブに切り替えます。コピーするアカウントを選択します。
  2. 単一アカウントをコピーするには、[リソース]タブに進み、必要なリソース名をクリックしてアカウント詳細ダイアログ僕スを開きます。
  3. 次に、必要なアカウントについて[ユーザー操作]アイコンをクリックし、[アカウントをコピー]をドロップダウンリストから選択します。
  4. アカウントをコピーダイアログボックスで、アカウントのコピー先のリソースを選択します。必要なリソースを矢印を使って、宛先リソースペインに移動します。
  5. 新しいコピーの共有権限を継承オプションを選択し、選択したアカウントの共有権限を継承します。すなわち、新しいアカウントも、親アカウントを表示する権限があるすべてと共有されます。
  6. アクセスコントロール設定オプションを選択し、コピー操作中に選択したアカウントで完了したアクセスコントロール構成を保持します。このコピー操作では、アカウントレベルのアクセスコントロール構成のみが保持されますので、注意してください。コピー操作中にこのオプションのチェックを外す、(または)選択したアカウントに個別のアクセスコントロール設定が構成されていない場合、宛先リソースのリソースレベルアクセスコントロール設定がこのアカウントにも適用されます。
  7. パスワード履歴をコピーオプションを選択し、選択したアカウントパスワード履歴を保持します。パスワード履歴についての詳細は、ここをクリックしてください。
  8. また、必要なコピー数も指定できます。[保存]をクリックします。アカウントは、選択したリソースに表示されます。
    9. viewing_account_details
    viewing_account_details

9.アカウントの移動

1つのリソースの一部である1つ以上のアカウントを別のリソースに移動します。移動するとき、選択したアカウントは親リソースから削除されます。

下の手順にしたがって、1つ以上のアカウントを移動します:

  1. [リソース]タブに移動し、[パスワード]タブに切り替えます。移動するアカウントを選択します。
  2. 単一アカウントを移動するには、[リソース]タブに進み、必要なリソース名をクリックし、アカウント詳細ダイアログボックスを開きます。
  3. 次に、[アカウント操作]アイコンをクリックし、[アカウントを移動]をドロップダウンリストから選択します。
  4. アカウントを移動ダイアログボックスで、[選択したアカウントの移動先]ドロップダウンからリソースを選択します。
  5. 共有権限を継承オプションを選択し、選択したアカウントの共有権限を継承します。すなわち、新しいアカウントも、親アカウントを表示する権限があるすべてと共有されます。
  6. アクセスコントロール設定オプションを選択し、移動操作中に選択したアカウントで完了したアクセスコントロール構成を保持します。この移動操作では、アカウントレベルのアクセスコントロール構成のみが保持されますので、注意してください。移動操作中にこのオプションのチェックを外す、(または)選択したアカウントに個別のアクセスコントロール設定が構成されていない場合、宛先リソースのリソースレベルアクセスコントロール設定がこのアカウントにも適用されます。
  7. パスワード履歴を移動オプションを選択し、選択したアカウントのパスワード履歴を保持します。パスワード履歴についての詳細は、ここをクリックしてください。
  8. [保存]をクリックします。アカウントが親リソースから削除され、選択したリソースに表示されます。
    9. viewing_account_details
    viewing_account_details