アカウント ディスカバリを使用してターゲット アカウントを追加
以下のアプリケーション タイプでは、アカウント ディスカバリが使用できます。
capam322
HID_accountDiscovery
以下のアプリケーション タイプでは、アカウント ディスカバリが使用できます。
Amazon AWS の統合を使用して、アカウントを検出する場合、デバイスの
アドレス
フィールドに完全修飾ドメイン名または IP アドレスが含まれている必要があります。AWS の統合を使用してデバイスがすでに検出されている場合は、デバイスを再作成します。 アカウント ディスカバリの前提条件
アカウント ディスカバリを使用するには、アプライアンスが検出するターゲットを設定する必要があります。管理対象のターゲットでは、以下の項目を設定します。
- ターゲット サーバ。「デバイス ディスカバリ」を参照してください。
- ターゲット アプリケーション。アカウント ディスカバリをサポートするターゲット アプリケーションのいずれかを設定します。
- アカウント ディスカバリをサポートする各ターゲット アプリケーションのターゲット アカウント。ターゲット アカウントを追加する場合は、[許可されたディスカバリ]オプションが使用できます。このオプションを選択すると、このアカウントではディスカバリが使用できることを示します。ディスカバリでスキャンするアカウントのみでこのオプションを選択します。アカウントを使用して、同じターゲット アプリケーションをサポートする他のアカウントのみをスキャンできます。たとえば、Active Directory アプリケーション タイプを使用する他のアカウントをスキャンするには、Active Directory ターゲット アプリケーションで設定されている Windows ドメイン アカウントを使用します。Windows ドメイン アカウントを使用して、Windows プロキシ ターゲット アプリケーションで設定されているローカル アカウントをスキャンすることはできません。UNIX アカウントの場合は、[許可されたディスカバリ]を選択すると、[このタイプのアプリケーションに複数のサーバ ディスカバリを許可する]チェック ボックスも追加されます。このチェック ボックスは、アカウントはこのタイプの任意のサーバおよびアプリケーションのディスカバリ アカウントであることを示します。たとえば、共通のアカウントおよびパスワードを使用している 20 台のサーバがある場合は、1 つのアカウントを使用して、このチェックボックスをオンにします。このアプリケーション タイプが選択されているディスカバリ ジョブでは、ディスカバリの認証情報としてこのアカウントが使用されます。
スキャンを使用したアカウントの検出
アカウントを検出するには、以下の手順に従います。
- [認証情報]-[ディスカバリ]に移動します。
- [ターゲット]メニューから[ディスカバリ]を選択します。
- 以下の手順で、スキャン プロファイルを作成します。
- [スキャン プロファイル]タブで、[追加]を選択します。
- [プロファイル]タブで、フィールドを入力します。
- [サーバ]タブで、矢印ボタンを使用して[利用可能サーバ]を[選択済みサーバ]に移動します。表示される利用可能サーバは、管理対象デバイスです。
- [パージ間隔]フィールドで、デバイスが他のプロファイルで検出されない場合、検出されたデバイスを削除するまでの日数を設定します。デフォルトのパージ間隔は、[全体設定]ページの[基本設定]で[スキャン パージ間隔]として設定されています。
- スキャンを実行します。
- スキャンの実行スケジュールを作成するか、スキャンをオンデマンドで実行します。
- [スケジュール]タブで任意のスケジュールを作成できます。頻度を選択すると、その他のフィールドが表示されます。適切な時間間隔を選択します。[OK]を選択してスキャン プロファイルを保存します。
- スケジュールではなくオンデマンドでスキャンを実行するには、[OK]をクリックしてスキャン プロファイルを保存します。[スキャン プロファイル]リストからスキャン プロファイルを選択して、リストの上にある[実行]ボタンをクリックします。
- スキャンが開始されたら、[スキャン プロファイル ジョブ]タブでスキャンの進捗をモニタします。このパネルで[ジョブのキャンセル]をクリックして、ジョブをキャンセルすることもできます。ジョブが完了したら、[スキャン プロファイル履歴]タブでジョブ結果のサマリを表示します。[スキャン プロファイル ジョブ]とその他のテーブルは、[全体設定]ページのデフォルト設定に従ってリフレッシュされます。[テーブル リフレッシュ間隔]は[基本設定]セクションにあり、デフォルトは 60 秒です。強調表示されているプロファイルの[削除]を選択すると、そのスキャン プロファイルが[スキャン プロファイル履歴]から削除されます。そのプロファイルに関連付けられているアカウントも、別のプロファイルに関連付けられていなければ、[削除]によって削除されます。
スキャンが完了すると、以下を実行できます。
スキャン結果の表示
[スキャン プロファイル履歴]タブを選択して、アカウント ディスカバリ スキャンの結果を確認します。各行には、スキャン プロファイル、最新のディスカバリ時刻、スキャン結果のサマリが表示されます。[サマリ]には、検出されたアカウントの数、新規アカウントの数、見つからないアカウントの数が示されます。「見つからない」アカウントとは、同じスキャン プロファイルの前回の実行で発見されながら、今回の実行で見つからなかったアカウントです。[サマリ]には、SSH キーに関する同じ情報が表示されます。詳細については、「SSH キー ディスカバリ」を参照してください。[サマリ]には、発生したエラーの数も表示されます。これらの数字は、このスキャン プロファイルの最新の実行のみを表してます。
ページの表示をフィルタするには、
[フィルタ]
ボタンを使用します。アスタリスクとパーセント記号を複数文字のワイルドカードとして使用できます。サマリの詳細の表示
[サマリの詳細の表示]ボタンを押すと、[スキャン結果]ウィンドウが表示されます。[スキャン情報]タブには、スキャン プロファイル名とジョブ時間が表示されます。[検出されたアカウント]タブ、[新規アカウント]タブ、[見つからないアカウント]タブには、各カテゴリのアカウント名が表示されます。検出されたキー、新規キー、見つからないキーについては、「SSH キー ディスカバリ」を参照してください。[ログ]タブのテーブルには、このスキャンに関して実行された各アクションが表示されます。
特定のプロファイルに対して実行されたすべてのスキャンを表示するには、サマリの上にある[スキャンを表示]ボタンをクリックします。サマリ番号をクリックすると、検出されたアカウントまたはキーが[サマリの詳細の表示]と同じパネルに表示されます。このパネルを表示するには、[サマリの詳細の表示]ボタンをクリックすることもできます。
アカウント スキャン結果を表示
検出されたアカウントに関する情報を表示するには、[スキャン プロファイル履歴]パネルに移動し、
[スキャン プロファイル]-[アカウント スキャン結果を表示]
を選択します。アカウント名、デバイスの検出場所、アプリケーション、およびタイムスタンプが表示されます。チェック ボックスは、認証情報マネージャがこのアカウントを管理しているかどうかを示します。履歴パネルには、以下のコントロールがあります。
- フィルタ:列の値でページの表示をフィルタします。アスタリスクとパーセント記号を複数文字のワイルドカードとして使用できます。
- エクスポート:各[検出されたアカウント]が 1 行に表示される CSV ファイルを作成します。
- 表示:[アカウント名]チェック ボックスがオンになっている行のデータが表示されます。[ログ]タブには、[アカウント スキャン]結果パネルに表示されないログ情報が表示されます。
- 管理:アカウントが管理対象になります。アカウントを管理するのには、1 つまたは複数のアカウント名を選択します。次に[管理]を選択します。[検出されたアカウントの管理]ウィンドウが開きます。
すべてのスキャンを表示
特定のスキャンのアカウントではなく、検出されたアカウントをすべて表示するには、[
検出されたアカウント
]タブを選択します。表示されるテーブルには、アカウント名、デバイス名、アプリケーション名、最終ディスカバリ時刻、および管理対象かどうかが表示されます。このタブには、以下のコントロールがあります。
- フィルタ:列の値でページの表示をフィルタします。アスタリスクとパーセント記号を複数文字のワイルドカードとして使用できます。
- エクスポート:各[検出されたアカウント]が 1 行に表示される CSV ファイルを作成します。
- 表示:[アカウント名]チェック ボックスがオンになっている行のデータが表示されます。[ログ]タブには、[アカウント スキャン]結果パネルに表示されないログ情報が表示されます。
- 管理:アカウントが管理対象になります。アカウントを管理するには、1 つまたは複数のアカウント名を選択し、[管理]を選択します。[検出されたアカウントの管理]ウィンドウが開きます。
検出されたアカウントを管理対象にする
[検出されたアカウント]ウィンドウからアカウントを管理するには、以下の手順に従います。
- [検出されたアカウント]タブで[管理]を選択します。[検出されたアカウントの管理]ウィンドウが開きます。
- 同期オプションを選択します。アプリケーション タイプがGenericの場合は、このオプションは使用できません。
- パスワード権限サーバのみを更新する。パスワードは認証情報マネージャのみで更新されます。認証情報マネージャとターゲットシステムのパスワードが異なることがあります。
- パスワード権限サーバとターゲット システムの両方を更新する。整合性を保つために、認証情報マネージャとターゲット システムの両方でパスワード更新が実行されます。Windows プロキシおよび Windows リモート アプリケーション タイプの場合、検出されたアカウントでは[強制パスワード変更]オプションが自動的に有効になります。
- ほとんどのターゲット アカウント タイプで、[パスワード変更プロセス]オプションを使用できます。このオプションは、管理対象アカウントは自分のパスワードを変更できるのか、または別の上位の特権アカウントによる変更が必要なのかを選択できます。[以下のアカウントを使用して、パスワードの変更を行ってください]を選択すると、凡例の下にフィールドが表示されますので、パスワード変更アカウントを選択できます。アプリケーション タイプによっては、別のアカウント(たとえば root)によるアカウント パスワードの更新が許可されます。この場合には、そのアカウントを選択します。パスワード変更に使用されるアカウントは、認証情報マネージャにすでに登録されている必要があります。
- 各アカウントにランダム パスワードを生成するには、[各アカウントの認証情報の生成]チェック ボックスを選択します。
- アカウント タイプが特権アカウントか A2A アカウントかを選択します(A2A にはライセンスが必要です)。A2A を選択すると、フィールドがさらに表示されます。[キャッシュの動作]で、キャッシュまたはサーバを先に使用するように設定するか、あるいはキャッシュを使用しないように設定できます。キャッシュ有効期限を日数で指定することもできます。
- [パスワード表示ポリシー]では、デフォルト ポリシーを含めて、ポリシーを選択できます。[ワークフロー]メニューから[パスワード表示ポリシー]にアクセスします。
- パスワードを入力します。[アカウント詳細]ページ([ターゲット]メニューの[アカウント]オプション)には、ここでは取り上げないその他のオプションがあります。管理対象になったアカウントには[アカウント]ページからアクセスできます。
- (オプション)お客様の便宜のために、[アクセス タイプ]に値を入力して、動的ターゲット グループを定義します。このフィールドは参照専用で、認証情報マネージャでは使用されません。
- (オプション)ターゲットのグループ化を使用している場合は、記述子を入力します。
- [OK]を選択して保存します。
検出されたアカウントの更新(Windows プロキシまたは Windows リモート アカウントのみ)
Windows プロキシまたは Windows リモートのアカウントに新しいタスクおよびサービスを追加するには、以下の手順に従います。
- [認証情報]-[ディスカバリ]を選択します。
- [スキャン プロファイル]タブで、更新するアカウントを含むプロファイルの[実行]を選択します。プロファイルが存在しない場合は、[追加]を選択します。名前を付けます。[サーバ]タブで、プロキシまたはリモート アカウントに関連付けられているサーバを選択します。[実行]を選択します。
- [検出されたアカウント]タブを選択します。利用可能な更新がある Windows プロキシまたは Windows リモート アカウントには、[Updates Available]列の下に緑色のチェックボックスが表示されています。
- 利用可能な更新がある Windows プロキシまたは Windows リモート アカウントの[更新]ボタンをクリックします。[検出されたアカウントの更新]ウィンドウが表示されます。[Available Services (利用可能なサービス)]および[スケジュール済みタスク]がそれぞれのタブに表示されます。
- [OK]を選択します。
- [選択したアカウントの更新]の確認を求められたら、[はい]を選択します。管理対象のサービスおよびスケジュール済みタスクは、[認証情報]-[ターゲットの管理]-[アカウント]のアカウントのタブに表示されます。
Windows プロキシまたは Windows リモートのターゲット アカウントからタスクおよびサービスを削除するには、以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- 変更するアカウントを選択します。
- [更新]を選択します。
- [サービス]タブまたは[タスク]タブを選択します。
- 削除するサービスまたはタスクを選択します。[削除]アイコンを選択します。
- 監査のための Linux または UNIX SSH キーの検出: 詳細については、「SSH キー ディスカバリ」を参照してください。
- AD アカウントの Windows サービスおよびスケジュール済みタスクの検出: 「AD アカウントのサービスおよびスケジュール済みタスクの検出」を参照してください。