Windows プロキシのターゲット アプリケーションおよびアカウントの追加
Windows プロキシ アカウントの認証情報を管理する方法を説明します。
capam32
Windows プロキシ アカウントの認証情報を管理できます。Windows プロキシの概要については、「Windows プロキシ コネクタの追加」を参照してください。
Windows プロキシのターゲット アプリケーションおよびアカウントを設定するには、以下の手順に従います。
2
Windows プロキシ アカウントの前提条件
Windows サービスを含む、Windows プロキシのターゲット アカウントを登録するには、以下の前提条件を満たしていることを確認します。
- ターゲット サーバまたはターゲット サーバがアクセスできるドメイン内の別のサーバに、認証情報マネージャ用の Windows プロキシをインストールします。
- パスワード管理または A2A タイプのデバイス (ターゲット サーバ) を作成します。
- ターゲット サーバ上で管理者権限を持つアカウントを制御できることを確認します。
- Windows リモート ターゲット アカウントが管理者アカウント タイプである場合、アカウントには Windows サーバの管理者権限が必要です。ターゲット アカウントをサービス アカウントとして使用する場合(他のターゲット アカウントのパスワードのローテーションに使用する場合)、このアカウントが対話形式にログインできないようにすることをお勧めします。これを行うには、Windows アカウントに以下のユーザ権利を割り当てます。
- ローカル ログオンを拒否
- リモート デスクトップ サービスを使用したログオンを拒否
Windows のターゲット アプリケーションの作成
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。[アプリケーション リスト]ページが表示されます。
- [追加]を選択します。[ターゲット アプリケーションを追加する]ページが表示されます。
- [ホスト名]虫眼鏡アイコンを選択して、既存のターゲット サーバを検索します。
- 一意の[アプリケーション名]を入力します。
- アプリケーションタイプとして「Windows プロキシ」を選択します。[Windows プロキシ]タブと[アカウント ディスカバリ]タブが表示されます。
- (オプション)[パスワード構成ポリシー]を選択します。
- ターゲットのグループ化を使用している場合、[説明]を追加します。
- [Windows プロキシ]タブで、[アカウント タイプ]を選択します。[ローカル アカウント]を選択する場合は、次の手順に移動します。[ドメイン アカウント]を選択する場合は、さらにオプションを選択します。
- ローカル アカウントは、ターゲット デバイス上のローカル アカウントのみを管理することができます。
- ドメイン アカウントは、Windows ドメイン アカウントを管理できます。Active Directory コネクタを使用して、ドメイン アカウントを管理することをお勧めします。ドメイン アカウントの場合は、ドロップダウン リストがアクティブになり、以下のオプションが表示されます。
- ターゲット サーバはドメイン コントローラです(ドメイン管理者アカウントの場合のみ)
- ドメイン コントローラはサーバ上にあります([サーバの指定]テキスト フィールドあり)カンマ区切りで 1 つ以上のサーバを入力します。
- DNS でのドメイン コントローラの検索
- 指定した場所でのドメイン コントローラの検索([DNS の指定]テキスト フィールドあり)カンマ区切りで 1 つ以上の DNS サーバを入力します。
DNS サーバの場合は、以下のフィールドに入力します。- ドメイン名:管理対象アカウントの Windows ドメインを指定します。
- Active Directory サイト:[ターゲット サーバはドメイン コントローラです]オプションについては、このフィールドはアクティブではありません。値を入力すると、指定された名前を使用してドメイン コントローラの検索が絞り込まれます。フィールドが空の場合、DNS 内のすべてのドメイン コントローラを検索します。
- DC レプリケーション時間(ミリ秒単位):レプリケーションの頻度をミリ秒単位で入力します。
- [Active Directory 接続タイムアウト]には、AD への接続のタイムアウトをミリ秒単位で入力します。
- [Active Directory 読み取りタイムアウト]には、AD からの読み取りのタイムアウトをミリ秒単位で入力します。
- [Available Proxies (利用可能なプロキシ)]から 1 つ以上のプロキシを選択し、[Selected Proxies (選択されたプロキシ)]リストに追加します。
- [アカウント ディスカバリ]タブで、[サービスの検出]および[タスクの検出]を選択します。オプションの[アカウント フィルタ]を指定します。フィルタを指定しない場合、Windows サーバからすべてのアカウントが検出されます。フィルタでは * 文字を使用できます。例: User*
- [OK]を選択します。
新しい Windows ターゲット アプリケーションは、[ターゲット アプリケーション]ページのアプリケーションのリストに追加されます。
Windows ターゲット アカウントおよびターゲット エイリアスの作成
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。[アカウント リスト]ページに、既存のアカウントのリストが表示されます。
- [追加]を選択します。[ターゲット アカウントの追加]ページが表示されます。
- [アカウント]タブで、虫眼鏡アイコンを選択してホスト サーバ上の既存のアプリケーション名を検索するか、または[+]を選択してターゲット アプリケーションを作成します。[Windows プロキシ]タイプのアプリケーションを選択または作成します。[ホスト名]フィールドに値が入力されます。[Windows プロキシ]タブが[ターゲット アカウントの追加]ページに表示されます。
- [アカウント名]を入力します。アカウント名は、特定のターゲット アプリケーションに対して一意である必要があり、ターゲット システムで使用されるアカウント名である必要があります。このターゲット アカウントには Windows サーバの管理者権限が必要です。
- アカウントの[パスワード表示ポリシー]を選択します。
- [アカウント タイプ]として[A2A](application-to-application)または特権アカウントを選択します。この選択は、ライセンスで A2A アカウントが許可されている場合にのみ可能です。
- (オプション)アクセス タイプを入力します。[アクセス タイプ]は、お客様の便宜のための参照フィールドです。[アクセス タイプ]は認証情報マネージャでは使用されません。
- [A2A]アカウント タイプを選択すると、さらにフィールドが表示されます。
- ターゲット グループを使用している場合は、ターゲット アカウントの[Descriptors (記述子)]を入力します。
- ターゲットの[エイリアス]を入力します。ターゲットのエイリアス名は、認証情報マネージャで一意である必要があります。
- A2A クライアントのパスワードの[キャッシュの動作]に適切な設定を入力します。
- 最初にキャッシュを使用:A2A クライアントはローカル キャッシュ内のパスワードを最初に検索します。パスワードがない場合、またはパスワードが最新でない場合は、A2A クライアントは認証情報マネージャに接続します。
- 最初にサーバを使用:A2A クライアントは認証情報マネージャに接続して最新のパスワードを取得します。パスワードが利用できない場合、A2A クライアントはローカル キャッシュを検索します。
- キャッシュなし:パスワードはローカル キャッシュに保存されません。A2A クライアントは、常にパスワード取得で認証情報マネージャに接続します。
- キャッシュを使用する A2A アカウントでは、[キャッシュ有効期限日]にキャッシュの存続期間を設定します。
- アカウントの最初の[パスワード]を入力するか、青色の[パスワードを生成]アイコンを選択してデフォルト パスワードを生成します。[パスワードの生成]アイコンは[パスワード]フィールドの右側にあり、リングとキーの束のように見えるものです。
- [パスワード]タブで、[ディスカバリアカウント]を選択し、Windows プロキシ システムからアカウントを検出します。
- 適切な同期オプションを選択します(たとえば、認証情報マネージャとターゲット システムの両方を更新)。[同期済み]オプションは、[汎用]アプリケーション タイプでは使用できません。
- パスワード権限サーバのみの更新:パスワードは認証情報マネージャでのみ更新されます。認証情報マネージャとターゲットシステムのパスワードが異なることがあります。
- パスワード権限サーバとターゲット システムの両方を更新:認証情報マネージャとターゲット システムの整合性を維持するために両方のパスワードの更新が行われます。
- 複数のターゲット アカウントを使用する場合は、[複合サーバ]タブにターゲット サーバを追加します。詳細については、「ターゲット アカウントおよびターゲット エイリアスの追加」の「複合ターゲット アカウント」を参照してください。
- (オプション)アカウントを追加または更新していて、既存のパスワードがわからない場合は、[強制パスワード変更]チェック ボックスを選択します。アカウントが同期していない場合でも、既存のパスワードが変更されます。
- [OK]を選択して、変更を保存します。
新しい Windows プロキシ アカウントは、[ターゲット アカウント]ページに追加されます。
代替アカウントを使用してパスワードを変更
パスワード変更の権限を持つアカウントを指定できます。[Windows プロキシ]タブの[変更プロセス]オプションで、パスワードの変更を管理するアカウントを指定できます。この設定のオプションは以下のとおりです。
- アカウントは自分のパスワードを変更できます:既存のターゲット アカウントが自分のパスワードを変更できるようにするには、デフォルトの[アカウントは自分のパスワードを変更できます]オプションを選択したままにします。入力する初期パスワードは、ターゲット アカウントのパスワードと同じである必要があります。そのパスワードを更新できる上位の権限を持つユーザは例外です。
- プロキシ認証情報を使用してパスワードを変更:ドメイン アカウントの場合、このオプションを選択します。このオプションが機能するには、以下の設定が必要です。
- ドメイン メンバで、Windows プロキシ サーバを設定します。
- Windows プロキシ コネクタでパスワードの変更に使用できるドメイン アカウントの認証情報でサービスが実行されるように設定します。
- 以下のアカウントを使用して、パスワードの変更を行ってください:パスワードを変更できるマスタ アカウントを指定するには、このオプションを選択します。ほとんどのターゲット アカウントでは、ラジオ ボタンの下に空白のフィールドが表示されます。虫眼鏡アイコンを選択して、代わりに使用するターゲット アカウントを検索します。現在のターゲット アカウントを代替アカウントとして使用しないでください。システムで定義されているターゲット アカウントを表示するのには、アカウント名またはホスト名でフィルタします。すべてのターゲット アカウントを表示することもできます。通常では、別のアカウントとは同じアプリケーションのアカウントです。
Windows プロキシ ターゲット アカウント サービスおよびスケジュール済みタスクの検出
アカウント検出を使って、複数の Windows サービスとスケジュール済みタスクの認証情報を管理できます。
PAM
は、ターゲット アカウントを使用して、このアカウントを使用するサービスとスケジュール済みタスクの変更および更新を管理できます。個々のサービスまたはスケジュール済みタスクごとにパスワードを更新する必要はありません。この手順は、ローカル Windows アカウント向けです。Active Directory アカウントのサービスおよびスケジュール済みタスクを検出するには、「AD アカウントのサービスおよびスケジュール済みタスクの検出」を参照してください。
前提条件
アカウントのディスカバリを実行する前に、Windows プロキシ ターゲット アプリケーションの[アカウント ディスカバリ]タブに移動します。サービスまたはタスクの検出オプションを選択します。両方を選択できます。
サービスおよびタスクの検出
Windows プロキシ アカウントで新しいタスクおよびサービスを検出するには、以下の手順に従います。
- [認証情報]-[ディスカバリ]を選択します。
- [スキャン プロファイル]タブで、更新するアカウントのプロファイルの[実行]を選択します。プロファイルが存在しない場合は、以下の手順に従います。
- [追加]を選択します。
- プロファイルの[名前]を入力します。
- [サーバ]タブで、リモート アカウントに関連付けられているサーバを選択します。
- [実行]を選択します。
- [検出されたアカウント]タブを選択します。利用可能な更新がある Windows プロキシ アカウントには、[Updates Available]列の下に緑色のチェックボックスが表示されています。
- 利用可能な更新がある Windows プロキシ アカウントの[更新]ボタンを選択します。[検出されたアカウントの更新]ウィンドウが表示されます。[Available Services (利用可能なサービス)]および[スケジュール済みタスク]がそれぞれのタブに表示されます。
- [OK]を選択します。
- [選択したアカウントの更新]の確認を求められたら、[はい]を選択します。
- 以下の手順で、サービスおよびスケジュール済みタスクのリストを確認します。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [サービス]タブと[スケジュール済みタスク]タブを選択して、アカウント リストを表示します。
Windows プロキシ ターゲット アカウントからタスクおよびサービスを削除するには、以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- 変更するアカウントを選択します。
- [更新]を選択します。
- [サービス]タブまたは[スケジュール済みタスク]タブを選択します。
- サービスまたはタスクを削除するには、エントリの隣にある[X]を選択します。
詳細情報:
アカウント ディスカバリ