Windows リモート ターゲット コネクタの追加
Windows リモート ターゲット コネクタの追加
capam32
Windows リモート ターゲット コネクタを使用して、Windows サーバのローカルにあるサービスおよびスケジュール済みタスク用の Windows アカウントおよびパスワードを
PAM
で管理できます。Windows リモート ターゲット コネクタは、Windows プロキシ コネクタの代替ですが、Windows ドメインにソフトウェアをインストールする必要はありません。他の 2 つの Windows コネクタが利用できます。
- Windows プロキシ コネクタ - この Windows リモート コネクタと似た機能ですが、ターゲット ドメイン内のリモート サーバ上にコネクタをインストールする必要があります。「Windows プロキシ コネクタの追加」を参照してください。
- Active Directory コネクタ - Active Directory アカウントのパスワードを管理します。「Active Directory ターゲット コネクタ」を参照してください。
このコネクタは、アカウント、サービス、およびスケジュール済みタスクのパスワードの更新に Samba コマンドとリモート Windows API 呼び出しを使用します。サービスおよびスケジュール済みタスクのディスカバリとパスワード変更を完了するために、コネクタに余分なオーバーヘッドが発生する可能性があります。
2
CLI を使用してターゲット コネクタを追加するには、「Windows リモート ターゲット コネクタ CLI 設定」を参照してください。
Windows リモート コネクタを使用するための前提条件
- Windows リモート ターゲット アカウントを設定するには、最初に、パスワード管理のデバイス タイプが割り当てられたデバイス(ターゲット サーバ)を作成します。AWS または Azure Windows デバイスのプライベート IP アドレスを使用します。一部の機能は、パブリック IP アドレスを使用すると正しく機能しません。
- 以下の情報を使用して、Windows リモート コネクタを使用するためのターゲット サーバを準備します。
- コネクタによって使用されるポートWindows リモート コネクタでは、ファイアウォールで以下のポートを開く必要があります。
- SMB: ポート 445
- WMI: ポート 135 および 49152 ~ 65535 (または 1024 ~ 4999)のポート範囲
- ゲスト アカウントの無効化ドメインまたはターゲット サーバ上でゲスト アカウントが有効な場合、コネクタは、そこに存在しないパスワードを検証しようとします。誤ったパスワードの検証を防ぐために、このアカウントを無効にします。
- ユーザ アクセス制御の回避ターゲット サーバ上でユーザ アクセス制御が有効になっており、パスワード管理用のアカウントがローカル管理者である場合、コネクタには SMB および WMI の操作を実行するアクセス権が必要です。コネクタにアクセス権を付与するには、LocalAccountTokenFilterPolicy レジストリ設定を追加してリモート制限を削除します。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = dword:00000001WMI トラフィックは暗号化されます。WMI を通じてパスワードが更新されるときに、そのパスワードは暗号化されます。
- グループまたはローカル ポリシー セキュリティのオプションの確認Windows システムのネットワーク セキュリティのデフォルト値を使用して、Windows リモート コネクタを機能させることができます。ただし、特定の設定で制限を強化している場合、Windows リモート パスワード管理は失敗します。Windows リモートが効果的に動作するようにするには、グループまたはローカル ポリシー セキュリティ オプションの以下の設定を確認します。[スタート]-[管理ツール]-[ローカル セキュリティ ポリシー]-[ローカル ポリシー]-[セキュリティ オプション]に移動します。
- ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックすべて許可または未定義
- ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証無効、未定義、ドメイン アカウントに対して拒否する
- ローカル システム コンテキストの設定Windows リモート コネクタは、ローカル システムのコンテキストで実行できます。このシナリオでは、ローカルの Windows アカウント、サービス パスワード、およびスケジュール済みタスクのパスワードの正常な管理と更新を行うことができます。アプライアンスに追加する Windows リモート管理者のアカウントは、ターゲット サーバのローカル管理者グループの一部である必要があります。
ターゲット アプリケーションとコネクタの追加
UI で以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。
- [追加]を選択します。
- 以下のフィールドに入力します。
- ターゲット サーバのホスト名
- デバイス名
- アプリケーション名:名前は一意である必要があります。
- [アプリケーション タイプ]フィールドで、[Windows リモート]を選択します。
- (オプション)パスワード構成ポリシーを選択します。
- ターゲット グループを使用している場合は、ディスクリプションを追加します。
- [Windows リモート]タブを選択します。
- [アカウント タイプ]については、以下のオプションのいずれかを選択します。
- ローカル アカウントは、ターゲット デバイス上のローカル アカウントのみを管理することができます。
- ドメイン アカウントは、Windows ドメイン アカウントを管理できます。Active Directory コネクタを使用して、ドメイン アカウントを管理することをお勧めします。ドメイン アカウントの場合は、ドロップダウン リストがアクティブになり、以下のオプションが表示されます。
- ターゲット サーバはドメイン コントローラです(ドメイン管理者アカウントの場合のみ)
- ドメイン コントローラはサーバ上にあります([サーバの指定]テキスト フィールドあり)カンマ区切りで 1 つ以上のサーバを入力します。
- DNS でのドメイン コントローラの検索
- 指定した場所でのドメイン コントローラの検索([DNS の指定]テキスト フィールドあり)カンマ区切りで 1 つ以上の DNS サーバを入力します。
DNS サーバの場合は、以下のフィールドに入力します。- ドメイン名:管理対象アカウントの Windows ドメインを指定します。
- Active Directory サイト:[ターゲット サーバはドメイン コントローラです]オプションについては、このフィールドはアクティブではありません。値を入力すると、指定された名前を使用してドメイン コントローラの検索が絞り込まれます。フィールドが空の場合、DNS 内のすべてのドメイン コントローラを検索します。
- DC レプリケーション時間(ミリ秒単位):レプリケーションの頻度をミリ秒単位で入力します。
- [Active Directory 接続タイムアウト]には、AD への接続のタイムアウトをミリ秒単位で入力します。
- [Active Directory 読み取りタイムアウト]には、AD からの読み取りのタイムアウトをミリ秒単位で入力します。
- [アカウント ディスカバリ]タブで、[サービスの検出]および[タスクの検出]を選択します。(オプション)アカウントのフィルタを指定します。フィルタを指定しない場合、Windows サーバからすべてのアカウントが検出されます。フィルタでは * 文字を使用できます。例: User*
- [OK]を選択してアプリケーションを保存します。
次のステップ: Windows リモート ターゲット アカウントを設定します。