Password Manager Pro Agents
(Premium Edition と Enterprise Edition でのみ利用可能な機能)(ビルド 10302 以降にのみ適用される手順)
バージョン 10301 以前においてエージェントをインストールする手順については、ここをクリックしてください。
注記:
- ビルド 12122 以降、Password Manager Pro は、Windows および Windows ドメイン システム用の C++ エージェントの 32 ビット バージョンと 64 ビット バージョンの両方、および Linux 用の C エージェントをサポートしなくなります。C および C++ エージェントは、この日付以降も古いバージョンの Password Manager Pro で機能する可能性があります。ただし、Windows および Windows ドメイン マシンには C# エージェントを使用し、Linux マシンには Go エージェントを使用することをお勧めします。サポート終了の発表の詳細については、フォーラムの投稿を参照してください。
- Windows GPO 経由で呼び出されるスクリプト ファイルを使用して、エージェントを一括でインストールおよびアンインストールする方法については、ここをクリックしてください。
- Password Manager Pro エージェントは、Redhat バージョン 7.9 までおよび CentOS (ビルド 11300 まで) でのみ動作します。
- Go エージェントの場合、ビルド 11301 以降、AMD64 バージョンは Ubuntu、Centos、RedHat、Debian、およびその他の Linux フレーバーでサポートされ、ARM64 バージョンは Redhat でサポートされます。
- 概要
- Password Manager ProサーバーとPassword Manager Proエージェント間の通信
-
Password Manager Pro Agentをインストールする手順
3.1 前提条件
3.2 Password Manager Pro Agentsのダウンロード
3.3 Windows エージェント/Windows ドメイン エージェントのインストール - 32 ビット、64 ビット、および C#
3.4 Linux エージェントのインストール - 32 ビット、64 ビット、および Go
3.5 エージェント設定の構成
- Password Manager Pro Agentを使用したローカルアカウントの検出
- Password Manager Pro Agentによる実行を待機しているタスクの検索
- Password Manager Pro Agentsの関連付けと関連付け解除
- Password Manager Pro Agentの削除
- Password Manager Pro Agentの再マッピング
- よくある質問
1.概要
Password Manager Pro エージェントを展開すると、Password Manager Pro サーバーに接続されていないリモート リソースとの接続を確立し、Password Manager Pro から管理できるようになります。Password Manager Pro エージェントは、Windows、Windows ドメイン、および Linux サーバーで使用できます。Password Manager Pro Web インターフェイスでダウンロードできるエージェント パッケージには、必要な実行可能ファイル/構成ファイルと、エージェントと Password Manager Pro Web サーバー間の HTTPS 通信に使用される SSL 証明書が含まれています。ターゲット マシンに展開されると、エージェントは Password Manager Pro と通信し、パスワードを変更します。このオプションを使用すると、Password Manager Pro Web インターフェイスからリモート リソースのパスワードを直接変更できます。
Password Manager Pro エージェントは、次の場合に役立ちます。
- Password Manager ProサーバーがLinuxシステムで実行されており、Windowsマシンのパスワードのリセットを実行する必要がある場合。
- ターゲット システムが非武装地帯 (DMZ) または Password Manager Pro サーバーが直接接続できない別のネットワークにある場合。
- リモートパスワードリセットを実行するために必要な管理資格情報が Password Manager Pro サーバーにローカルに保存されていない場合。
- ドメイン コントローラーの管理者の資格情報を使用せずにドメインアカウントのパスワードを変更する場合。
2.Password Manager ProサーバーとPassword Manager Proエージェント間の通信
Password Manager Pro サーバーとエージェント間のパスワード関連の通信はすべて、HTTPS 経由で安全に実行されます。エージェントが常に接続を開始するため、通信は一方向です。ターゲット マシンに常駐するエージェントは、Password Manager Pro Web インターフェイスへのアクセスのみが必要であるため、エージェントが使用できる必要があるのは Password Manager Pro Web サーバーのみです。エージェントはアウトバウンド トラフィックを使用して Password Manager Pro のログイン ページに到達するため、サーバーへのインバウンド トラフィックが展開されているすべてのエージェントに到達できるようにするためにファイアウォールの穴を開けたり、VPN パスを作成したりする必要はありません。
エージェントは、HTTPS 経由で Password Manager Pro Web サーバーに定期的に ping を送信し、実行が保留されている操作があるかどうかを確認します。デフォルトでは、エージェントは 60 秒ごとにサーバーに ping を送信しますが、この間隔は要件に応じて変更できます。エージェントが Password Manager Pro Web サーバーに接続すると、サーバーはリモート リソース内のエージェントによって実行されるタスクのリストをトリガーします。タスクが実行されると、エージェントは結果を Password Manager Pro Web サーバーに通知します。
注:タスクはエージェントからの接続時にのみ Web サーバーによってトリガーされるため、タスクの正常な実行にかかる時間は、エージェントが Password Manager Pro Web サーバーにどれだけ速く接続できるかによって異なります。
3.Password Manager Pro Agentをインストールする手順
3.1 前提条件
エージェントをインストールする前に、リモート ホストにエージェントをインストールするために使用するアカウントに、パスワードを変更するための十分な権限があることを確認してください。
3.2 Password Manager Pro Agentsのダウンロード
- [管理] >> [PMP Agents] に移動します。
- 次のオペレーティング システムの 32 ビット バージョンと 64 ビット バージョンの両方のエージェント パッケージが表示されます。
- Windows
- Windowsドメイン
- Linux
- 必要なエージェント パッケージをクリックします。
- 表示されるポップアップで、その横にあるコピー アイコンを使用してエージェント キーをコピーします。このエージェント キーは、Password Manager Pro エージェントをターゲット システムにインストールするために必要であり、使用できるのは 1 回だけです。インストール用にエージェント キーを指定すると、そのキーは無効になります。(エージェント キーの提供はビルド 10302 以降のみに適用されます)
- 単一のキーを指定した時間アクティブにしておくには、[キを有効化する: X 時間] オプションを選択し、時間数 (最大 24) を指定します。今後は、指定された期間内であれば、同じエージェント キーを任意の数のエージェントのインストールに使用できるようになります。
- [エージェントをダウンロード]をクリックします。エージェント パッケージの .zip ファイルをダウンロードしたら、内容を解凍します。
3.3 Windows エージェント/Windows ドメイン エージェントのインストール - 32 ビット、64 ビット、および C#
Windows エージェントおよび Windows ドメイン エージェントのターゲット システムで実行されるコマンドは次のとおりです。
- インストール
- 開始
- 更新
- 停止
注:
- 上記のコマンドを実行するには、ターゲット システムの管理者権限が必要です。
- インストール手順は似ていますが、Windows と Windows ドメインのエージェントには互換性がありません。つまり、Windows エージェントをドメイン コントローラ マシンにインストールしたり、その逆を行ったりすることはできません。その理由は次のとおりです。
- Windows エージェントがマシンにインストールされると、そのマシンで使用可能なすべてのローカル アカウントが検出されて一覧表示され、それらのアカウントのパスワードをリセットできるようになります。
- 一方、Windows ドメイン エージェントはドメイン コントローラー マシン用であり、Windows ドメイン エージェントがインストールされているマシンからはアカウントを検出しません。
3.3.1 コマンド プロンプトの使用
(C# エージェントはビルド 11301 以降のみ適用可能)
次の手順は、Windows エージェント/Windows ドメイン エージェント - 32 ビット、64 ビット、および C# に適用されます。
I. エージェントをインストールして Windows サービスとして開始するには:
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [AgentInstaller.exe install <PMP UIからコピーされたエージェントキー>]のコマンドを実行します。
- これで、エージェントがマシンに正常にインストールされます。
ii.エージェントを Windows サービスとして開始するには:
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [AgentInstaller.exe start]コマンドを実行してエージェントを起動します。
iii.Windows エージェントを更新するには:
Password Manager Proエージェントが別の管理者ユーザーによって以前にインストールされていた場合は、このコマンドを使用して、エージェント・サーバーがリソースとして追加されるユーザー・アカウントを更新します。エージェント サーバーは、エージェントをアンインストールして再インストールする必要がなく、新しい管理者ユーザーの下にリソースとして追加されます。ただし、新しい管理者は、以前にエージェント サーバーの下にあったアカウントにはアクセスできません。アカウントにアクセスするには、前の管理者がリソースの所有権を新しい管理者に譲渡する必要があります。
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [AgentInstaller.exe update <PMP UIからコピーされたエージェントキー>]コマンドを実行します。
- エージェントはサーバー内のリソースとして追加されます。
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [AgentInstaller.exe stop]コマンドを実行してエージェントを停止します。
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [AgentInstaller.exe remove]コマンドを実行します。
- これで、エージェントがマシンからアンインストールされます。
3.3.2 Password Manager Pro Agent インストーラーの使用
(C# Agent はビルド 11301 以降のみ適用可能)
次の手順は、Windows エージェント/Windows ドメイン エージェント - C# にのみ適用されます。
C# エージェントをダウンロードした後、フォルダを解凍し、[PMPAgent >> bin.] に移動します。
I. Windows または Windows ドメインにエージェントをインストールするには:
- AgentInstaller.exe を右クリックし、[管理者として実行]を選択します。
- PMP Agents インストーラー ウィザードが画面に表示されます。
- [インストール]オプションを選択します。
- インストール キーとインストール パスを記載します。[次へ]をクリックします。
- [構成]ページで、必要な詳細を入力し、[次へ]をクリックします。
- デフォルトでは、[SSL 証明書がインストールされている]フィールドには[はい]が選択されています。Password Manager Proサーバーに有効なSSL証明書がインストールされていない場合は、この[SSL証明書がインストールされている]フィールドを[いいえ]に変更します。
注記:Password Manager Proサーバーに有効なSSL証明書がインストールされていない状態で、[SSL証明書がインストールされている]フィールドで[はい]を選択した場合、[サーバー接続のテスト]ステータスは失敗します。
- [操作]ページで、最初の 2 つの条件が満たされているかどうかを確認し、[インストール]をクリックします。
これで、C# エージェントが正常にインストールされました。
ii.エージェントを Windows サービスとして開始するには:
- AgentInstaller.exe を右クリックし、[管理者として実行]を選択します。
- PMP Agents インストーラー ウィザードが画面に表示されます。
- [操作]アイコンをクリックします。
- [エージェント サービス ステータス] の横にある 3 つのドットを右クリックし、[開始] をクリックします。
- ここから、エージェントを停止、再起動し、サービス コンソールに移動することもできます。
iii.Windows または Windows ドメインでエージェントを更新するには:
- AgentInstaller.exe を右クリックし、[管理者として実行]を選択します。
- PMP Agents インストーラー ウィザードが画面に表示されます。
- [再インストール] オプションを選択します。
- インストール キーとインストール パスを記載します。[次へ]をクリックします。
- [構成]ページで、必要な詳細を入力し、[次へ]をクリックします。
- デフォルトでは、[SSL 証明書がインストールされている]フィールドには[はい]が選択されています。Password Manager Proサーバーに有効なSSL証明書がインストールされていない場合は、この[SSL証明書がインストールされている]フィールドを[いいえ]に変更します。
注:Password Manager Proサーバーに有効なSSL証明書がインストールされていない状態で、[SSL証明書がインストールされている]フィールドで[はい]を選択した場合、[サーバー接続のテスト]ステータスは失敗します。
- [操作]ページで、最初の 2 つの条件が満たされているかどうかを確認し、[次へ]をクリックしてエージェントを再インストールします。
これで、C# エージェントが正常に再インストールされました。
iv.Windows または Windows ドメインでエージェントをアンインストールするには:
- AgentInstaller.exe を右クリックし、[管理者として実行]を選択します。
- 表示されるウィザードで、[アンインストール]を選択し、[次へ]をクリックします。
- [操作]ページで、最初の 2 つの条件が満たされているかどうかを確認します。[アンインストール]をクリックします。
これで、C# エージェントが正常にアンインストールされました。
3.4 Linux エージェントのインストール - 32 ビット、64 ビット、および Go
(Go エージェントはビルド 11301 以降のみ適用可能)
Linux エージェントのターゲット システムで実行されるコマンドは次のとおりです。
- インストール
- 開始
- 更新
- 停止
- 削除
注:
- 上記のコマンドを実行するには、ターゲット システムの root 権限が必要です。
- Password Manager Pro Agent は、デフォルトの OpenSSL ライブラリを使用する Linux フレーバーのみをサポートします。
- Go Agent はすべての Linux フレーバーをサポートしています。
I. Linux エージェントをインストールするには:
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [sh installAgent-service.sh/bash installAgent-service.bash install <PMP UIからコピーされたエージェントキー>]コマンドを実行します。(Bash コマンドは Go Agent のみに適用されます)
- これで、エージェントがマシンに正常にインストールされます。
ii.エージェントを Linux サービスとして開始するには:
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- コマンド[sh installAgent-service.sh/bash installAgent-service.bash start]を実行してエージェントを起動します。(Bash コマンドは Go Agent のみに適用されます)
iii.Linux エージェントを更新するには:
Password Manager Proエージェントが別の管理者ユーザーによって以前にインストールされていた場合は、このコマンドを使用して、エージェント・サーバーがリソースとして追加されるユーザー・アカウントを更新します。エージェント サーバーは、エージェントをアンインストールして再インストールする必要がなく、新しい管理者ユーザーの下に追加されます。ただし、新しい管理者は、以前にエージェント サーバーの下にあったアカウントにはアクセスできません。アカウントにアクセスするには、前の管理者がリソースの所有権を新しい管理者に譲渡する必要があります。
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [sh installAgent-service.sh/bash installAgent-service.bash update <PMP UIからコピーされたエージェントキー>]コマンドを実行します。(Bash コマンドは Go Agent のみに適用されます)
iv.Linux サービスとして実行中のエージェントを停止するには:
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- コマンド[sh installAgent-service.sh/bash installAgent-service.bash stop]を実行してエージェントを停止します。(Bash コマンドは Go Agent のみに適用されます)
- コマンド プロンプトを開き、Password Manager Pro エージェントのインストール ディレクトリに移動します。
- [sh installAgent-service.sh/bash installAgent-service.bash remove]コマンドを実行します。(Bash コマンドは Go Agent のみに適用されます)
- これで、エージェントがマシンからアンインストールされます。
3.5 エージェント設定の構成
ダウンロードしたエージェント パッケージにあるagent.confファイルを開きます。.conf ファイルにリストされているパラメータは次のとおりです。
- AgentType: これは、それが Password Manager Pro エージェントであることを示します。
- ServerName: これは、Password Manager Pro エージェントが Password Manager Pro サーバーに接続するために到達しようとするサーバー/IP アドレスです。
- ServerPort: これは、Password Manager Pro サーバーが実行されているポートを示します。Password Manager Proのデフォルトのポートを443などの他のポートに変更した場合は、ここで同じポート番号を更新する必要があります。
- ScheduleInterval: デフォルトでは、エージェントは 60 秒ごとにサーバーに ping を送信します。エージェントが Password Manager Pro Web サーバーに ping を実行する時間間隔を構成するには、時間間隔の値を秒単位で変更します。
- UserName: これは、エージェント サーバーがリソースとして追加される管理者ユーザー アカウントです。
- OSType: エージェントが属する OS (Windows/Windows ドメイン/Linux) を示します。
- TrustedCertifcate: デフォルトでは、この値は[yes]になります。Password Manager Pro サーバーに有効な SSL 証明書がインストールされていない場合は、この値を[no]に編集します。
Password Manager Pro では、正規表現パターンを使用して、アカウント検出中にエージェント (C# および Go) 経由で追加されるユーザー アカウントを制限できます。同じことを行うには、以下の UserQuery および accountFilter コマンドを使用します。
- UserQuery: Linux でアカウントをフィルタリングするには (Go Agent):
UserQuery = awk -F: '$1 ~ /^ *admin/ {print$1}' /etc/passwd
// [admin]で始まるアカウントを検出します。
- accountFilter: Windows/Windows ドメイン (C# エージェント) のアカウントをフィルタリングします。
accountFilter = ^*admin
// [admin]で始まるアカウントを検出します。
注:アカウント フィルターでパターンを指定しない限り、Windows ドメイン エージェントはユーザー アカウントを自動的に追加しません。
- fetchDisabledAccount: Windows/Windows ドメインで無効なアカウントを取得します (C# エージェント)。
fetchDisabledAccount = True
コマンド UserQuery、accountFilter、および fetchDisabledAccount は、ビルド 11301 以降のみに適用されます。
上記のパラメータのいずれかを変更したら、エージェント サービスを再起動します。
4.Password Manager Pro Agentを使用したローカルアカウントの検出
エージェントがターゲット マシンで初めて起動されると、そのマシンが自動的に Password Manager Pro のリソースとして追加され、ローカル アカウントが検出されます。検出後、ローカル アカウントのパスワードをリセットできます。Password Manager Pro エージェントを使用したパスワードのリセットの詳細については、ここをクリックしてください。
5.Password Manager Pro Agentによる実行を待機しているタスクの検索
以下の手順に従って、ユーザーによってトリガーされたが、Password Manager Pro エージェントによる実行を待っているタスクを見つけます。
- 通知を表示するには、インターフェイスの上部パネルにあるベルのアイコンをクリックします。
- [エージェント アラート] の下に、エージェントのさまざまなステータスが表示されます。
- トリガーされたパスワード リセットおよびパスワード検証アクションの数。
- 以前にトリガーされたパスワード リセット アクションのステータス。
- 以前にトリガーされたパスワード検証アクションのステータス。
- 通知はユーザー固有です。つまり、ユーザーには、自分がトリガーしたタスクのみが通知されます。
6.PMP Agentsの関連付けと関連付け解除
(この機能は、C# および Go エージェントの PMP ビルド 12300 以降でのみ利用可能です)
Password Manager Pro を使用すると、ユーザーはエージェントをリソースに関連付けたり、リソースから関連付けを解除したりできます。エージェントを関連付けると、エージェントはリソースに対してリモート操作を実行できるようになりますが、エージェントの関連付けを解除すると、エージェントによって実行されたすべての操作が一時停止されます。
- [管理] >> [PMP Agents] >> [エージェント管理] に移動します。ここでは、リソースにマップされたエージェントのリストを表示できます。
- リソースとエージェントの関連付けを解除するには、
- 目的のリソース名の横にあるエージェント アクション アイコンをクリックし、[関連付け解除] をクリックします。
- 表示されるポップアップで、エージェントがステータスを確認する時間間隔 (分単位) を指定します。
- [関連付けを解除]をクリックして、選択したエージェントの関連付けを解除します。エージェントからリソースの関連付けが正常に解除されました。
- エージェントの関連付けを一括で解除するには、
- 関連付けを解除する必要なリソースを選択し、上部パネルから [関連付け解除] ボタンをクリックします。
- エージェントがステータスを確認する時間間隔 (分単位) を指定します。
- [関連付けを解除]をクリックして、選択したエージェントの関連付けを解除します。エージェントからリソースの関連付けが正常に解除されました。
- リソースをエージェントに関連付けるには、
7.Password Manager Pro Agent の削除
(この機能は PMP ビルド 12300 から利用可能です)
- [リソース]タブに移動し、エージェントを削除するリソースを削除します。
- 次に、[管理]>>[PMP Agents]>>[エージェント管理]に移動します。
注:リソースが削除されたエージェントの[リソース名]は[N/A]と表示されます。
- リソースを削除したエージェントの横にあるエージェント アクション アイコンをクリックし、[エージェントの削除] をクリックします。
- 表示されるポップアップで、[削除]をクリックします。
エージェントが正常に削除されました。
8.Password Manager Pro Agent の再マッピング
(この機能は、C# および Go Agent に対してのみ PMP ビルド 12300 から利用可能です)
[エージェントの再マップ]オプションは、エージェントのリソースが誤って削除された場合に使用されます。管理者は、次の手順を使用して、エージェントをそのリソースに再マップできます。
- [リソース]タブに移動し、エージェントと同じ DNS 名のリソースを追加します。
- 次に、[管理]>>[PMP Agents]>>[エージェント管理]に移動します。
- 追加したリソースに属するエージェントの横にあるエージェントアクション アイコンをクリックし、[エージェントの再マップ] をクリックします。
- 表示されるポップアップで、エージェントを再マップするリソースを選択し、[エージェントの再マップ]をクリックします。
エージェントをリソースに正常に再マップしました。
9.よくある質問
- エージェントを管理するためのカスタム役割を作成するにはどうすればよいですか?
エージェントを管理するには、ユーザーはリソースに対する追加および編集権限と、PMP Agentsをダウンロードする権限を持っている必要があります。以下の手順に従ってください。
- [管理] >> [カスタマイズ] >> [役割]に移動します。
- [役割を追加]をクリックします。表示されるポップアップで、
- 名前と説明を記載します。
- [パスワード] >> [リソース] をクリックし、[追加]と[編集] を有効にします。
- [カスタム設定] をクリックし、[PMP Agentのダウンロード] を有効にします。
- エージェントを管理するための役割が正常に作成されました。
注:ユーザーは、エージェントがインストールされているリソースの所有者である必要があります。
- エージェントの管理に関するレポートはありますか?
[レポート] >> [クエリレポート] >> [Resources] に移動し、[インストールされているエージェント]を検索します。このレポートには、それぞれのリソースにインストールされているエージェントのリストが含まれます。
- 12300 にアップグレードすると、既存のエージェントはどうなりますか?また、どの機能が適用可能ですか?
- PMP がビルド 12300 にアップグレードされると、古いビルドのすべての既存のエージェントが [管理] >> [PMP Agents] >> [エージェント管理] に追加されます。
[エージェント管理]ウィンドウからのみ古いエージェントを表示および削除できます。 - 関連付け、関連付け解除、再マップなどの他の機能を使用するには、ターゲット マシンに最新のエージェントを再インストールすることをお勧めします。
- エージェントがターゲット マシンから削除またはアンインストールされた場合、[エージェント管理] ウィンドウではどうなりますか?
エージェントのステータスは、デフォルトでは 30 分ごとに更新されます。エージェントがその期間非アクティブである場合、そのエージェントのステータスは非アクティブとしてマークされます。
- リソースがフルアクセスを持つ管理者と共有されている場合、エージェントは [エージェント管理] ウィンドウに表示されますか?
いいえ、エージェントの詳細は、リソースの所有権が別の管理者権限を持つユーザーに譲渡された場合にのみ、[エージェント管理]ページに表示されます。
- エージェントがインストールしたリソースの所有権が別の管理者権限を持つユーザーに譲渡されるとどうなりますか?
リソースにインストールされたエージェントは、リソースの所有権が譲渡されたユーザーの[エージェント管理]ウィンドウに表示されます。