デバイスの設定
capam40
HID_ManagedDevicePanel
このトピックでは、
[デバイス管理]
画面を使用してデバイスを追加する方法について説明します。 2
デバイスを追加するための前提条件
デバイスを設定する前にアクセス タイプの設定が必要な場合があります。タイプには以下のものが含まれます。
- アクセス方法は、Privileged Access Managerからローカル クライアント コンピュータにダウンロードされた独自の Java アプレットを呼び出します。詳細については、「アクセス方法」を参照してください。
- TCP/UDP サービス:詳細については、「TCP/UDP サービスの作成」を参照してください。
- ネイティブ サービスは、ローカル クライアント コンピュータの常駐アプリケーションを呼び出します。
- Web ポータルは、HTTP/HTTPS Web サイトを呼び出します。詳細については、「Web ポータルへの自動ログインの設定」を参照してください。
- RDP アプリケーションは、ターゲット RDP デバイスの常駐アプリケーションを呼び出します。詳細については、「RDP アプリケーションの設定」を参照してください。
基本情報の設定
以下の手順に従います。
- UI にログインします。
- [デバイス]-[デバイス管理]を選択します。
- 新しいデバイスを指定するには、[追加]を選択します。
- [基本情報]タブのフィールドに入力します。必須フィールドは赤色のアスタリスクで強調表示されます。名前:このフィールドには、[アクセス]ページに表示される名前を指定します。ダブル バイト文字を入力することができます。PAM SC デバイス名は更新または変更できません。作成後、PAM SC デバイス名は読み取り専用となります。アドレス:デバイスの IP アドレスまたは FQDN。
- FQDN の場合、DNS は、[設定]、[ネットワーク]、[ネットワーク設定]ページで適切にセットアップされる必要があります。
- 指定された FQDN は 255 文字以内にすることができます。
- AWS、Azure、または VMware からインポートされるデバイスを更新している場合は、[アドレスのオーバーライド]チェックボックスが表示されます。たとえば、プライベート IP アドレスを使用するようにアドレスを編集するには、[アドレスのオーバーライド]チェックボックスをオンにします。
スキャン:このオプションを選択してポート スキャンを実行します。スキャンでは、設定されているサービスを検出します。検出されたサービスは[アクセス方法]および[サービス]のタブに表示されます。説明:説明を任意で入力します。場所:場所を任意で入力します。デバイス リストの整理に役立つように、この列のエントリを並べ替えることができます。オペレーティング システム:プルダウン メニューからデバイスのオペレーティング システムを選択します。デバイス リストの整理に役立つように、この列のエントリを並べ替えることができます。PAM SC ユーティリティ アプライアンス用のデバイスを追加する場合は、プルダウン メニューから[ユーティリティ アプライアンス]を選択します。詳細については、「ユーティリティ アプライアンスと通信するための PAM の設定」を参照してください。バージョン:[バージョン]フィールドは PAM SC デバイスの場合にのみ表示されます。[バージョン]フィールドは、PAM SC 以外のデバイスの場合は表示されません。デバイス タイプ:デバイスに適用する機能を選択します。- アクセス: リモート システムにアクセスします。
- パスワード管理: 認証情報管理のターゲット デバイスとしてデバイスを指定します。
- A2A:A2A (Application-to-Application)認証情報管理を行います。A2A クライアントはリモート システムにインストールする必要があります。以下の他の A2A フィールドが必要です。
- アクティブ:A2A クライアントが認証情報を受け取れるようにするには、[アクティブ]を選択します。
- ホスト名を保持:このボックスをオンにすると、A2A クライアントが登録されるたびにリクエスト サーバのホスト名が上書きされることを防ぎます。このオプションを選択しない場合、既存のホスト名を上書きできます。
- [OK]を選択します。
タグの作成と割り当て
デバイス タグは、デバイスのグループ化および検索に使用できる任意のフォームおよび長さのテキスト文字列です。タグは、それらのデバイスの他の特性には依存しません。デバイス タグは、特定のデバイス レコード内に作成します。作成したタグは、他のデバイスにコピーできます。デバイスには複数のタグを割り当てることができるため、さまざまなグループ化ができます。
タグは、デバイス レコードに適用されます。タグを適用する方法はタグが既に存在するか、タグを作成するかによります。
- 既存のタグは、タグのドロップダウン リストから選択します。既存のタグを少なくとも 1 つのデバイス レコードで使用する必要があります。入力を始めると、ドロップダウン リストに使用可能なタグのリストが表示されます。
- 新しいタグには、タグ名を入力します。
タグを表示および編集するには、「タグ管理」を参照してください。
デバイスおよびデバイス グループにタグ付けする場合は、以下のガイドラインが適用されます。
- デバイス グループのデバイスは、デバイス グループに割り当てられているタグを継承しません。
- デバイスとデバイス グループに同じタグが付いている場合、PAMは単一のデバイスをデバイス グループの一部として扱います。単一のデバイスにデバイス グループと同じタグが付いている場合、デバイス グループに適用されるすべてのポリシーは、そのデバイスにも適用されます。
タグの使用例:
多くのデバイスが Windows オペレーティング システムを使用していますが、使用しないものもあります。ネットワーク メンテナンス目的で、すべての Windows デバイスをグループ化したいとします。すべてのデバイスに Windows
のタグを付けます。そうすることで、[デバイス管理]および[アクセス]ページで、「windows」と検索してすべてのインスタンスを集めることができるようになります。アクセス方法の指定
[
アクセス方法
]タブで、デバイスへのアクセスを取得するメソッドを指定します。デフォルトの方法は、RDP、SSH、Telnet、および VNC です。メインフレーム ライセンスも、TN3270、TN3270SSL、TN5250 TN5250SSL の各方法を備えています 以下の手順に従います。
- [アクセス方法]オプションを選択します。
- プラス記号を選択して、メソッドを追加します。
- [名前]フィールドのプルダウン メニューからアクセス メソッドを選択します。[SSH]アクセス メソッドは、SSH を使用して X11 転送を行うことができます。X11 転送を有効にするには、[X11]チェックボックスをオンにします。転送が機能するように、クライアント コンピュータに OpenText Exceed などの X11 サーバを設定する必要があります。X11 では以下の制限事項に注意してください。
- この製品では、SSH アプレット内で行われるすべてのアクティビティに対するキーストローク ログおよびコマンド フィルタをサポートしています。ただし、X11 サーバはローカル クライアント上で実行されているため、転送されるグラフィカル アプリケーションに対してグラフィカル セッション記録やコマンド フィルタはサポートされていません。
- X11 機能は、デバイス グループには現在適用できません。
RDPには、デバイス コンソール インターフェースを介してアクセスすることを指定するための[コンソール]チェックボックスがあります。 - 必要に応じて、カスタム名を指定します。デフォルト名は、アクセス方法(SSH など)です。デバイスが 2 つの異なるポートで同じアクセス方法を使用している場合には、カスタム名が必要です。たとえば、デバイスがポート 22 およびポート 2200 で SSH 接続をリスンする場合は、それぞれのポートに対して SSH アクセス方法を定義します。両方のアクセス方法を同じ名前にすることはできないため、少なくとも 1 つをカスタム名にする必要があります。また、カスタム名を使用すると、非標準の名前をこのデバイスのこのメソッド用の[アクセス]ページに表示できます。
- [ポート]フィールドで、デフォルトのポートを使用するか、別のポート番号を指定します。
- 各メソッドを追加するには、前の手順を繰り返します。
- [OK]を選択して選択内容を保存するか、次のタブに進みます。
サービスの選択
デバイスへのアクセスをカスタマイズするサービスを選択します。
以下の手順に従います。
- [サービス]オプションを選択します。
- 目的の各サービスで、チェック ボックスを選択します。
- 矢印を選択して、サービスを[選択されたサービス]リストに移動します。
- [OK]を選択して選択内容を保存するか、次のタブに進みます。
デバイスへの端末アクセスのカスタマイズ
デバイスへの端末アクセスを設定して、すべてのユーザに対して管理者の推奨する画面が表示されるように指定することができます。端末の外観の設定は、推奨される設定が不明なユーザに役立ちます。
ユーザは、ユーザ指定の端末設定を指定することにより、このカスタム設定をオーバーライドすることができます。
以下の手順に従います。
- [端末]オプションを選択します。
- プルダウン リストを使用して各フィールドを設定します。ほとんどのフィールドは自明です。[[End] キーで選択操作]チェック ボックス機能は廃止されました。
トランスペアレント ログイン
トランスペアレント ログインを使用すると、ユーザは、パスワードがユーザにとって不明なパスワード適用コマンドを発行できます。トランスペアレント ログインを使用するには、ユーザはターゲット デバイスにログオンしている必要があります。
RDP および SSH サービスでは、トランスペアレント ログインをサポートしています。Windows マシンでのグラフィカル RDP トランスペアレント ログイン機能のサポートについては、「サービス」ページを参照してください。SSH アプレットおよび SSH プロキシのサポートも、[サービス]ページで定義します。
pbrun
または sudo
という UNIX/Linux アプリケーションのいずれかまたは両方を指定します。これらのアプリケーションは、呼び出されるとサイレント モードで表示されます。管理される認証情報が有効になっていて、これは自動トランスペアレント ログインに影響を与えます。実行時に sudo/pbrun を使用するには、このデバイス用のポリシーの自動接続の認証情報を指定し、[トランスペアレント ログイン]チェック ボックスを選択します。
以下の手順に従います。
- [トランスペアレント ログイン]タブを選択します。
- ドロップダウン リストで、sudo/pbrun を選択します。[sudo/pbrun]フィールドが表示されます。
- [フル パス]フィールドに、アプリケーション実行可能ファイルが存在しているターゲット デバイス上でパスを入力します。例: /usr/bin
- [パスワード プロンプト]フィールドで、ユーザに対して表示されるテキストのサブストリングを指定します。指定した文字列一致を厳密にするほど、セキュリティが高くなります。たとえば、ユーザへのフル プロンプトはユーザの sudo パスワードである可能性があります。ここで、ユーザに動的に適用されるユーザ名が表示されます。適用可能な最大のリテラルは「[sudo] password for」になります。
トランスペアレント ログインのコマンド文字列
一連のコマンド文字列およびプロンプトも指定できます。セキュリティ上の理由から、この機能はデフォルトでは無効です。有効にするには、
[構成]
-[セキュリティ]
-[アクセス]
に移動し、[コマンド文字列]
に対して[有効]
を選択します。コマンド文字列機能を使用するには、以下の手順に従います。
- [構成]-[セキュリティ]-[アクセス]ページ上で[コマンド文字列]を有効にします。
- [トランスペアレント ログイン]タブを選択します。
- ドロップダウン リストで[コマンド文字列]を選択します。[コマンド文字列]フィールドが表示されます。
- [認証のプロンプト]フィールドに、ユーザに対して表示されるテキストのサブストリングを指定します。指定した文字列一致を厳密にするほど、セキュリティが高くなります。たとえば、ユーザへのフル プロンプトはユーザのパスワードある可能性があります。ここで、ユーザに動的に適用されるユーザ名が表示されます。適用可能な最大のリテラルが「password for」になります。
- プラス アイコンを選択して、実際のコマンド文字列を追加します。ユーザは、コマンド文字列と正確に一致する必要があります。コマンド文字列の省略バージョンをサポートするには、それらを個別のコマンド文字列として追加します。たとえば、"ENABLE" は 1 つのコマンド文字列、"EN" は別のコマンド文字列になります。
- [OK]を選択して設定を保存します。
- トランスペアレント ログイン機能を使用するデバイスおよびアカウント用のポリシーをセットアップします。Sudo/pbrun とは異なり、自動接続設定はコマンド文字列のトランスペアレント ログインの必要はありません。以下の条件下で、指定されたターゲット アカウントのパスワードが送信されます。
- 指定されたコマンド文字列に一致する文字列を入力する
- SSH アプレットまたは SSH プロキシのどちらを使用している場合でも、指定されたプロンプトが SSH によって返される
PAM SC Server Control ポリシーの確認
[Server Control]
タブは、PAM SC デバイスの場合にのみ表示されます。このタブには 2 つのセクションがあります。- 割り当て済みポリシー: デバイスに割り当てられているポリシーのリストが表示されます。
- デプロイ済みポリシー: デバイスにデプロイされたポリシーのリストが表示されます。
Server Control デバイスに Server Control ポリシーを割り当てた場合、Server Control デバイスがこのデプロイメント情報を取得するまでに時間がかかる場合があります。割り当て済み(キュー内)ポリシーはすべて、割り当てられたテーブルに表示されます。Server Control がこのデプロイメント情報を受信すると、ポリシーが
[デプロイ済みポリシー]
リストに表示されます。 以下の手順に従います。
- デバイス エージェントのポリシー デプロイメント ステータスを表示するには、[デバイス] - [管理] - [デバイス]に移動します。
- デバイスを選択し、[更新]を選択します。
- [Server Control ]タブを選択します。
エージェントのステータスの確認
PAM Integrated Server Control を使用してエージェント(エンドポイント デバイス)のステータス間隔を確認するには、以下の手順に従います。
以下の手順に従います。
- デバイス エージェント ステータスを表示するには、[デバイス] - [管理] - [デバイス]に移動します。Server Control、UNAB、および PUPM デバイスのリストが表示されます。
- デバイスを選択し、[更新]を選択します。
- [エージェント ステータス]タブを選択します。
- [エージェント]のタイプ、[バージョン]、[アクティブ化日]、ポリシーの[最終更新]、および[ユーティリティ アプライアンス]のアドレスが表示されます。
- [OK]または[キャンセル]選択してこの画面を終了します。
デバイスへの UNAB 設定トークンの追加
以下の手順に従います。
- PAM UI で、[デバイス] - [デバイス管理]を選択します。すべてのデバイスのリストが表示されます。
- UNAB デバイスを選択し、[更新]を選択します。[デバイスの更新]ページが表示されます。
- [UNAB]タブを選択します。[現在の UNAB 設定トークン更新数]ページが表示されます。
- [+]アイコンを選択します。新しい空白行が表示されます。
- プルダウン メニューから適切なセクション、トークン、および値を選択します。
- [OK]を選択します。
ポリシーからのデバイスの編集
管理者は、[ポリシー管理]ページからデバイスを編集できます。
- [ポリシー]-[ポリシー管理]ページを開きます。
- 指定されたデバイスについて更新するポリシーを選択します。
- [ポリシー]ウィンドウの[デバイス管理]ボタンを選択します。対応する[デバイス]ウィンドウが表示されます。
[デバイス管理]ページからターゲットを編集
管理者は、[デバイス管理]ページからターゲット アプリケーションを追加できます。
- リストからデバイスを選択し、[ターゲット アプリケーションの管理]ボタンを選択します。デバイス レコードがすでに開いている場合は、デバイス ウィンドウ下部にある[ターゲット アプリケーションの保存と追加]を選択します。
- [ターゲット アプリケーションの追加]ウィンドウが[ターゲットアプリケーション]リストの前面に表示されます。[ターゲット]-[ターゲット アプリケーション]に移動すると、GUI コントロールが表示されます。
- 完了したら、[OK]を選択します。
CSV ファイルを使用したデバイスのインポートについて、また、AWS デバイスおよび VMware デバイスのインポートについては「デバイスのインポートおよびエクスポート」を参照してください。