SSH鍵と鍵グループの管理

  1. 概要
  2. 検出された鍵をPassword Manager Proにインポート
  3. 新しい鍵を作成して展開
  4. 既存の鍵をユーザーに関連付けたり、その逆を行う。鍵とユーザーの関係を表示する
  5. 鍵管理操作(編集、ローテーション、関連付けの解除、削除)を実行し、端末の直接接続を有効化
  6. 一括管理のためにSSH鍵グループを整理
  7. 詳細の操作

1.概要

Password Manager Proを使用すると、SSH鍵のライフサイクル全体を管理できます。このプロセスは、実際にはネットワーク内のSSHリソースのPMP検出から始まり、以下に詳述するフローに従います。

上記の手順は、Password Manager Proでのイベントの流れを示しています。上で説明したのと同じ順序でそれらに従う必要はありません。

resource_1

2.検出された鍵をPassword Manager Proにインポート

Password Manager Proでは、SSH鍵管理のためにSSHユーザー資格情報が必要です。資格情報が設定されている場合は、すでに検出されているSSH鍵をインポートできます。検出されたSSHリソースから鍵ファイルをインポートするには:

  1. GUIの[SSH鍵] >> [SSH鍵] タブに移動します。
  2. SSH鍵が詳細とともに一覧表示されます。インポートする鍵を選択します。
  3. [インポート]ボタンをクリックします。

インポートされた鍵は、[SSH鍵] >> [SSH鍵]から表示できます。

注記:鍵がパスフレーズで保護されている場合、インポート操作は正常に実行されても、ユーザーアカウントとの関連付けの際に、鍵を使用するためにパスフレーズを入力する必要があります。

2.1 システムからの鍵のインポート

SSHサーバーからの鍵ファイルの自動検出に加えて、場所を指定し、任意のシステムに存在する鍵をインポートすることもできます。システムから鍵ファイルをインポートするには:

  1. GUIの[SSH鍵] >> [SSH鍵] タブに移動します。
  2. ウィンドウの右上隅、テーブルの上にある[鍵のインポート]アイコンをクリックします。
  3. [参照]ボタンをクリックして、システム内の鍵ファイルを選択します。
  4. 鍵の名前とパスフレーズを入力します。
  5. 参考のために鍵のコメントを入力してください。
  6. [追加]ボタンをクリックして、鍵をリポジトリに含めます。

注記:鍵がパスフレーズで保護されている場合、鍵を正常にインポートするには、パスフレーズを入力する必要があります。


インポート済みの鍵の鍵のコメントを編集するには、次の手順に従います。

  1. [SSH鍵] >> [SSH鍵]タブに移動します。
  2. リポジトリから必要な鍵を選択します。
  3. トップメニューから[詳細]ドロップダウンをクリックし、[編集]を選択して、必要なコメントを入力します。
  4. 更新された鍵のコメントを関連付けられたエンドサーバーにも適用するには、 [関連付けられたサーバーでコメントを更新する]チェックボックスをオンにします。このオプションにより、エンドサーバーのauthorized_keysファイルの鍵のコメントを手動で更新する必要がなくなります。

注記:鍵のコメントは、一度に1つの鍵に対してのみ編集できます。

3.新しい鍵を作成して展開

Password Manager Proでは、新しい鍵ペアを作成し、それらをターゲットシステムに展開することもできます。Password Manager Proの作成および展開機能は、鍵のワンクリック生成および展開に使用できます。ユーザーアカウントごとに一意の鍵ペアが生成され、対応する鍵がターゲットサーバーのユーザーアカウントに自動的に展開されます。

SSH鍵ペアは、以下の詳細に従ってRSA / DSAアルゴリズムを使用して生成できます。

RSA – 1024、2048、または4096ビット鍵

DSA – 1024ビット鍵。

鍵を作成するには:

  1. [SSH鍵] >> [SSH鍵] >> [作成]に移動します。
  2. [SSH鍵の作成]ウィンドウで、鍵の詳細を入力し、[鍵の種別][長さ]を選択します。
  3. [鍵を作成]をクリックして、鍵ペアを生成します。
    resource_2

新しい鍵が作成されたことを確認できます。作成されたすべての鍵は、Password Manager Proの一元化されたリポジトリに自動的に追加されます。これらの鍵は、ユーザーインターフェイスの[SSH鍵] >> [SSH鍵] タブから表示できます。Password Manager Proを使用すると、鍵名、鍵種別、鍵の長さ、指紋、作成者、年、および詳細のフィールドを使用してSSH鍵を検索できます。

3.1 鍵パスフレーズの表示

管理者は、鍵の右端にあるパスワードの表示アイコン()をクリックして、鍵のパスフレーズを表示できます。

検出されたリソース内のすべてのユーザーアカウントに鍵を作成して関連付けるには、次の手順に従います。

  1. [リソース] >> [パスワード]に移動します。
  2. 必要なアカウントを選択し、[鍵アクション] >> [作成と展開]を選択して、列挙されているすべてのユーザーアカウントに鍵を展開します。
  3. 鍵のコメントを入力し、鍵種別鍵の長さを選択します。
  4. チェックボックスを選択して、「root」ユーザーに昇格します。

    注記:セキュリティ上の理由から、サーバー/マシンのrootユーザーログインが無効になっている可能性があります。このオプションを有効にすると、ユーザーログインがroot以外のユーザーからrootユーザーに昇格し、サーバー内の他のすべてのユーザーに鍵を関連付けることができます。ユーザーは、rootユーザーに昇格するには、rootユーザーとroot以外のユーザーの資格情報をPassword Manager Proに提供する必要があります。

  5. [展開]をクリックして鍵ペアを作成し、資格情報が利用可能なリソースのすべてのユーザーアカウントに一斉に展開します。
    6. resource_3

4.作成した鍵や既存の鍵をユーザーに関連付けたり、その逆を行ったりすることができます。鍵とユーザーの関係を表示。

鍵をインポート/作成した後、鍵をSSHユーザーに関連付けることができます。

注記:  Rootユーザーまたは管理者の資格情報がリソースに提供されている場合、鍵はリソースのすべての列挙されたユーザーアカウントに関連付けることができます。Password Manager Proデータベースに使用可能な鍵がない場合は、関連付け中に鍵を作成するように求められます。鍵ペアを作成し、これらの手順に戻ります。

4.1 作成またはインポートされた鍵を単一のリソースのユーザーアカウントに関連付ける

  1. [リソース] >> [パスワード]に移動します 
  2. 関連付けるユーザーアカウントを選択します。
  3. [鍵アクション]の下にある[関連付け]ボタンをクリックします。 
  4. 鍵を選択して、もう一度[関連付け]をクリックします。
    5. resource_4

4.2 特定のSSH鍵をユーザーアカウントに関連付ける

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 表示されたリストから鍵を選択します。
  3. [関連付け]ボタンをクリックします。
  4. [公開鍵の関連付け]ウィンドウで、関連付けるユーザーアカウントを選択します。
  5. チェックボックスを選択して、 「root」ユーザーに昇格します。

    注記:セキュリティ上の理由から、サーバー/マシンのrootユーザーログインが無効になっている可能性があります。このオプションを有効にすると、ユーザーログインがroot以外のユーザーからrootユーザーに昇格し、サーバー内の他のすべてのユーザーに鍵を関連付けることができます。ユーザーは、rootユーザーに昇格するには、rootユーザーとroot以外のユーザーの資格情報をPassword Manager Proに提供する必要があります。

  6. 関連付けをクリックします。
    7. resource_5

これで、特定のSSH鍵をユーザーアカウントに正常に関連付けることができます。

4.3 ユーザーへの鍵のトレース

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 目的の鍵名をクリックします。
  3. ウィンドウの右上隅にある関連グラフアイコンをクリックします。

鍵とリソースの関係を図で表したものが地図の形で表示されます。リソース名をクリックすると、リソースのユーザーアカウントが表示され、選択した鍵に関連付けられているユーザーアカウントに接続できます。

5.鍵管理操作(編集、ローテーション、関連付けの解除、削除)を実行し、端末への直接接続を有効にします。

5.1 SSH鍵のローテーション

SSH鍵を定期的に自動的にローテーションするようにPassword Manager Proを構成できます。ワンクリックで、展開されたすべての鍵を置き換えることができます。鍵は、スケジュールに基づいて、または必要に応じていつでもローテーションできます。

5.2 手動鍵ローテーション

鍵を手動でローテートさせるには:

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. ローテーションさせる鍵を選択します。
  3. [ローテート]ボタンをクリックします。

確認メッセージが表示され、ローテーションのステータスが更新される鍵ローテーション監査ページにリダイレクトされます。

注記:ローテーションできるのは、リソースのユーザーアカウントにすでに関連付けられている鍵のみです。

5.3 スケジュールされた鍵ローテーション

鍵のローテーションをスケジュールするには:

  1. [管理] >> [SSH / SSL変換] >> [SSH / SSLスケジュール]に移動します
  2. [スケジュールを追加]ボタンをクリックします。
  3. [スケジュールを追加]ウィンドウで、スケジュールの名前を入力し、スケジューラー種別のドロップダウンリストから[鍵のローテーション]を選択します。
  4. ローテーションさせる鍵を選択します。
  5. ローテーションの日時を選択します。通知するユーザーのメールアドレスを入力します。
  6. [保存]をクリックします。

スケジュール実行の結果はスケジュール監査で更新され、鍵のローテーションの結果は鍵ローテーション監査で更新されます。

5.4 SSHユーザーから鍵を関連付け解除

SSHユーザーが組織を離れるとき、または一時的な特権アクセスが提供されるときは、ユーザーに関連付けられている鍵の関連付けを解除して、アクセスを中止できます。すべてのSSH鍵の関連付けを解除するまで、ユーザーアカウントもリソースも削除できません。

鍵を選択してユーザーアカウントから関連付け解除するには:

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 関連付け解除する必要がある鍵を一つ選択します。
  3. [詳細]プルダウンリストから[関連付けを解除]ボタンをクリックします。
  4. 鍵が単一のユーザーアカウントに関連付けられている場合は、このチェックボックスを選択して、リモートでの関連付けの解除に失敗した場合に鍵をローカルで関連付けを解除し、確認ダイアログボックスで[OK]をクリックして鍵を関連付けを解除します。
  5. 鍵が複数のユーザーアカウントに関連付けられている場合は、鍵の関連付けを解除する必要のあるユーザーアカウントを選択し、このチェックボックスを選択して、リモートの関連付けが失敗した場合に鍵をローカルで関連付けを解除し、[ユーザーの関連付けの解除]ウィンドウの[関連付けの解除]ボタンをクリックします。

5.4.1 選択したユーザーアカウントからの鍵の関連付け解除

  1. [リソース] >> [パスワード]タブに移動します。
  2. 鍵の関連付けを解除するユーザーアカウントを選択し、[鍵アクション]オプションから[関連付けを解除]をクリックします
  3. ユーザーアカウントが単一の鍵に関連付けられている場合は、ポップアップウィンドウで[OK]を選択します。
  4. 選択したユーザーに複数の鍵が関連付けられている場合は、関連付けを解除する必要のある鍵を選択し、[鍵の関連付けを解除]ウィンドウの[関連付けを解除]ボタンをクリックします。

注記:Password Manager Proに列挙されているユーザーアカウントを選択して削除すると、それらに関連付けられているSSH鍵が自動的に関連付け解除されます。

5.5 リモートユーザーアカウントへの鍵のプッシュ

展開に加えて、Password Manager Proを使用すると、秘密鍵または公開鍵、あるいはその両方を関連するユーザーにプッシュできます。

鍵ファイルをリモートユーザーアカウントにプッシュするには、

  1. 選択した鍵の右端にある[鍵をユーザーにプッシュ]アイコン()をクリックします。
  2. プッシュする必要のある鍵(プライベート、パブリック、またはその両方)を選択し、適切な鍵名を入力し、必要な関連ユーザーを選択して、[プッシュ]をクリックします。
  3. 鍵ファイルは、選択したユーザーにプッシュされます。

この機能は、鍵ローテーションスケジュールの一部としても利用できます。スケジュールされた鍵のローテーションが実行され、新しい鍵ペアが作成されて展開された後、毎回のローテーション後に鍵ファイルを手動でプッシュする代わりに、「ユーザーに鍵をプッシュ」オプションを有効にすることで、秘密鍵または秘密鍵と公開鍵の両方を選択した関連ユーザーに自動的にプッシュすることができます。

resource_6

コマンドを追加し、鍵ごとにホストを制限

特定のユーザーアカウントにコマンドを追加して、ホストとの接続を確立するときにのみコマンドを実行できるようにする追加の制限レイヤーを提供できます。また、ユーザーのIPアドレスを適切な形式(以下で指定)で指定することにより、適切な鍵とユーザーの関係を事前に定義することもできます。

公開鍵にコマンドを追加するには、

  1. [リソース] >> [パスワード]に移動します 
  2. コマンドを追加するユーザーアカウントを選択し、[鍵アクション]オプションから[コマンドの追加]をクリックします。
  3. [コマンドの追加]ダイアログボックスが開き、以下の形式(例)で実行するコマンドを追加できます:(command="usr/local/bin/script.sh")。

鍵のホストを制限するには、[コマンドの追加]をクリックして、ホストの名前またはIPアドレスを次の形式で入力します。例:(from="host1/ip1,host2/ip2")

5.6 Authorized_keysファイルの編集

さまざまなユーザーアカウントからauthorized_keysファイルをフェッチし、鍵コンテンツを編集して、Password Manager Proからそれぞれのユーザーアカウントにプッシュできます。

そのためには、

  1. [リソース] >> [パスワード]タブに移動します
  2. 必要なユーザーアカウントを選択し、[鍵アクション]オプションから[承認済み鍵の編集]をクリックします
  3. ウィンドウが開き、それぞれのユーザーのauthorized_keysファイルにある公開鍵のリストが表示されます。Password Manager Proを使用して管理されている鍵が強調表示されます。
  4. これで、表示された鍵の内容を編集し、[プッシュ]ボタンをクリックしてそれぞれのユーザーアカウントに展開することができます。
    5. resource_7

5.7 鍵の削除

Password Manager ProリポジトリからSSH鍵を削除しようとすると、最初にユーザーアカウントからSSH鍵が自動的に関連付け解除されます。すべてのユーザーアカウントから関連付けが解除されていないSSH鍵の場合、鍵の削除は失敗します。

SSH鍵を削除するには:

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 削除する鍵を選択します。
  3. [詳細]ドロップダウンリストから[削除]ボタンをクリックします。
  4. 確認ウィンドウで[OK]をクリックします。

6.一括管理用のSSH鍵グループを整理

Password Manager Proは、リソースのグループを作成して整理しやすく、操作をまとめて実行するためのプロビジョニングを提供します。単一のリソースでの作業と同様に、グループを割り当て、削除、または変更できます。

グループで使用可能なアイテムのリストは、それぞれのタブに列挙されています。グループの名前をクリックすると、個々のアイテムにドリルダウンできます。

6.1 SSH鍵グループ管理:鍵グループを作成

SSH鍵のグループを作成するには:

  1. [SSH鍵] >> [鍵グループ]に移動します。
  2. [グループ追加]ボタンをクリックします。[鍵グループ追加]ウィンドウにリダイレクトされます。
  3. グループの名前を入力します。後で編集することはできませんので、名前の選択には注意してください。
  4. グループに追加するリソースは、次の2つの方法で選択できます。
    • 鍵を選択 – グループに追加する鍵を個別に選択します。
    • 条件 – これは動的な鍵のグループ化として機能します。グループを作成する基準となる正確な条件を指定します。ここでは、選択できる多くのオプションがあります。 名前、タイプ、長さ、または作成者に基づいて特定の鍵を検索できます。 「含む」、「含まない」、「等しい」、「等しくない」、「で始まる」、「で終わる」などの基準に基づいて、検索をきめ細かくフィルタリングすることもできます。ウィンドウの右下隅にある[鍵の検索]ボタンをクリックして、対応する鍵を表示します。

      • 注記:[条件]オプションを選択した場合、指定された条件は、後で検出される鍵にも適用されます。これらの鍵のいずれかが基準に一致する場合、それらは自動的に新しいグループに追加されます。

  5. [保存]をクリックします。

さらに、[SSH鍵] >> [SSH鍵] タブから個々の鍵を直接選択し、[グループの作成]ボタンをクリックして、グループをすばやく作成することもできます。

resource_8

6.2 鍵グループの編集

既存の鍵グループに変更を加えるには:

  1. [SSH鍵] >> [鍵グループ]に移動します。
  2. テーブルビューの右隅にある[編集]アイコンをクリックします。
  3. 鍵選択種別を変更して、グループで使用可能な鍵を編集したり、グループに適用可能なフィルターを追加、変更、または削除したりできます。

グループに変更を加えて保存すると、変更の更新を確認するメッセージが表示されます。

注記:グループの名前は変更できません。ただし、説明とそこで使用可能な鍵のリストを追加または変更することは可能です。

6.3 鍵グループの鍵をローテーション

鍵グループのすべての鍵をローテーションするには:

  1. [SSH鍵] >> [鍵グループ]に移動します
  2. 鍵グループを選択し、[ローテート]ボタンをクリックします。

鍵ローテーションのステータスが更新され、鍵ローテーション監査ウィンドウにリダイレクトされます。

6.4 鍵グループの削除

鍵グループを削除するには:

  1. [SSH鍵] >> [鍵グループ]に移動します
  2. 鍵グループを選択し、[削除]をクリックします。

選択したグループを削除することを確認するポップアップウィンドウが表示されます。[OK]をクリックしてグループを削除します。

7.詳細の操作

7.1 ユーザーのホームディレクトリをカスタマイズ

ユーザーのホームディレクトリ、つまり公開鍵が展開される場所をカスタマイズできます。これをするには:

[リソース] >> [パスワード]に移動します

  1. [鍵アクション]ドロップダウンから[ユーザーパスの編集]をクリックします。
  2. 変更したパスを入力し、[保存]をクリックします。

7.2 SSH鍵のエクスポート

関連付けられているリソースから鍵ファイルを選択してエクスポートするには、次の手順に従います。

  1. GUIの[リソース] >> [パスワード]タブに移動します
  2. 鍵が展開されているリソースの名前をクリックし、[エクスポート]ボタンをクリックします。

各鍵を選択して鍵ファイルをエクスポートするには:

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 必要な鍵に対応するテーブルビューの右隅にある[SSH鍵のエクスポート]アイコンをクリックします。
  3. 保存先のフォルダとファイル名を選択し、[保存]をクリックします。

注記:エクスポート中であっても、鍵を保護するために使用されるパスフレーズは引き続き有効です。つまり、鍵を他の場所で使用する場合は、パスフレーズを提供する必要があります。

7.3 SSH鍵の監査

監査は、SSH鍵がPassword Manager Proを使用して関連付けまたはローテーションされるときに生成されます。これらのレポートは、[SSH鍵] タブで利用できます。

  1. 鍵関連付け監査 – Password Manager Proを使用して実行された自発的でスケジュールされた鍵関連付け操作の結果を表示します。
  2. 鍵ローテーション監査 – Password Manager Proを使用して実行された自発的およびスケジュールされた鍵ローテーション操作のステータスを表示します。

7.4 SSH鍵の履歴の表示

Password Manager Proを使用すると、各SSH鍵が作成またはインポートされた瞬間からの履歴、およびその後のローテーションとタイムスタンプを表示できます。

鍵の履歴を表示するには:

  1. [SSH鍵] >> [SSH鍵] タブに移動します。
  2. 単一の鍵を選択し、[鍵の履歴]をクリックします。

7.5 検出された鍵のエクスポートレポート

検出された鍵のレポートは、PDFまたは電子メールIDとしてエクスポートできます。レポートをエクスポートするには:

  1. GUIの[SSH鍵] >> [検出された鍵]タブに移動します。
  2. 単一の鍵を選択します。
  3. [エクスポート]ボタンをクリックします。レポートをPDFファイルとしてシステムにエクスポートすることも、目的の電子メールアドレスにエクスポートすることもできます。
    • PDF – 検出された鍵のレポートをPDFとしてシステムにエクスポートして保存します。
    • 電子メール – 検出されたSSH鍵のレポートのエクスポート先の電子メールアドレスを指定します。