ターゲット アプリケーションへのターゲット アカウントの追加

ターゲット アプリケーションおよびコネクタを設定したら、ターゲット アカウントを追加します。 ターゲット アカウントは、CA PAM がパスワードを表示および変更できるリモート サーバのアカウントを識別します。
capam32
HID_TargetAccountSummaryPanel
ターゲット アプリケーションおよびコネクタを設定したら、ターゲット アカウントを追加します。 ターゲット アカウントは、
PAM
がパスワードを表示および変更できるリモート サーバのアカウントを識別します。
ターゲット アカウントを追加する前に、リモート ターゲット システムにアカウントが存在することを確認してください。 たとえば、ターゲット アカウントとして Oracle を追加する前に、リモート Oracle データベースに Oracle アカウントを作成します。
ここでは、以下のようなタスクについて説明します。
2
UI を使用したターゲット アカウントの追加
[アカウント]タブで、ターゲット アカウントを追加する手順に従います。
  1. [認証情報]
    -
    [ターゲットの管理]
    -
    [アカウント]
    を選択します。
  2. 追加
    ]を選択します。
  3. [アカウント]
    タブで、以下のフィールドに入力します。
    • ホスト名:
      リモート ターゲット システムの IP アドレスを入力します。
    • デバイス名:
      リモート ターゲット システムの名前を入力します。
    • アプリケーション名:
      既存のターゲット アプリケーションを選択します。 アプリケーションは、リモート ターゲット サーバにインストールされているアプリケーションに対応します。 表示される可能性がある追加フィールドに入力します。
    • アカウント名:
      指定されたアカウントに
      一意の
      アカウント名を割り当てます。 入力するアカウント名は、ターゲット システムで使用されるアカウント名と一致している必要があります。 たとえば、UNIX システムにおいて、アカウント名は UNIX ユーザ ID (userid)です。
    • パスワード表示ポリシー:
      デフォルト パスワード表示ポリシーは常に割り当てられます。 他の定義済み表示ポリシーを選択するには、虫眼鏡アイコンを使用します。
    • プロトコル(UNIX ターゲットのみ):
      このフィールドは自動的に表示されて値が入力されます。
    • パスワード:
      リモート ターゲット サーバのユーザ アカウントのパスワードです。 これらのパスワードは一致している必要があります。 パスワードを入力するか、[パスワードの生成]アイコン(キー リング)を選択します。
      生成されたパスワードはパスワード構成ポリシーに従っており、ターゲット サーバで自動的に更新されます。
      [汎用]
      アプリケーション タイプを使用するアカウントの場合、安全なデータベースのものと一致するように、ターゲット システムのパスワードを手動で変更します。
    • アカウント タイプ:
      A2A ターゲットを追加している場合を除き、デフォルトの[特権アカウント]をそのまま使用します。 A2A デバイスの場合は、
      [A2A アカウント]
      を選択します。 A2A は、ライセンスで A2A デバイスが許可されている場合にのみ利用可能です。
    • アクセス タイプ(オプション):
      アクセス タイプは参照専用です。 このフィールドが認証情報マネージャで使用されることはありません 動的ターゲット グループを定義するには、[アクセス タイプ]値を使用します。 ターゲット グループを使用している場合は、ターゲット アカウントの記述子を入力します。
    • 記述子 1 および 2 (オプション)
      : ターゲット グループを使用している場合、ターゲット アカウントの記述子を入力できます。
  4. A2A ターゲット アカウントでは、以下のフィールドはオプションです。
    • エイリアス
      : ターゲット エイリアスにより、A2A リクエスタはアカウント ユーザ名とパスワードを送信することなく、特定のアカウントの認証情報をリクエストできます。 アカウントのターゲット エイリアス名を入力します。 ターゲット エイリアス名は認証情報マネージャ内で一意である必要があります。
    • キャッシュの動作:
      A2A クライアントのパスワードのキャッシュを制御します。 以下のいずれかのオプションを選択します。
      • 最初にキャッシュを使用: A2A クライアントはローカル キャッシュ内のパスワードを最初に検索します。 パスワードがない場合、またはパスワードが最新でない場合は、A2A クライアントはアプライアンスに接続します。
      • 最初にサーバを使用: A2A クライアントは認証情報マネージャに問い合わせて、最新のパスワードを取得します。 パスワードが利用できない場合、A2A クライアントはローカル キャッシュを検索します。
      • キャッシュなし: パスワードはローカル キャッシュに格納されません。 A2A クライアントはパスワードを製品アプライアンスに必ず問い合わせます。
    • キャッシュ有効期限日:
      パスワードがキャッシュに保持される期間を指定します。
  5. [OK]
    を選択します。 新しいターゲット アカウントが[アカウント リスト]ページのアカウント リストに追加されます。
パスワード以外のターゲット アカウント情報を更新する場合、パスワードの確認を手動で実行する必要があります。 パスワードを手動で確認するには、そのターゲット アカウントの[アカウント]タブの
[パスワードの確認]
アイコンを選択します。
AWS ターゲット アカウント情報の指定
ターゲット アカウントが AWS アカウントの場合、設定する必要があるフィールドが他にもあります。
この手順を実行する前に、
EC2 Private Key
ファイルを AWS からダウンロードしておきます。 このキー ファイルの拡張子は
.pem
です。
AWS ターゲット アカウントを追加するための手順を実行します。
  1. [アプリケーション名]フィールドで、
    [AWS Access Credential Accounts (AWS アクセス認証情報アカウント)]
    を選択します。
    [ホスト名]および[デバイス名]フィールドには、xceedium.aws.amazon.com エントリが入力されます。
  2. [AWS アクセス認証情報タイプ]では、
    [EC2 秘密キー]
    オプション ボタンを選択します。
  3. EC2 インスタンス ユーザ名として、「
    ec2-user
    」(Amazon Linux の場合)、「
    root
    」(Red Hat Linux の場合)、または全権限を持つその他のアカウントを入力します。
  4. EC2 Private Key ファイルを参照してアップロードします。
  5. [キー ペア名]には、アップロードした EC2 秘密キー ファイル名を、拡張子を省いて入力します。
  6. (オプション) EC2 Private Key に使用するパスフレーズを[パスフレーズ]フィールドに入力します。
CLI を使用したターゲット アカウントの追加
CLI を使用するには、「CLI を使用したターゲット アカウントの追加」を参照してください。
パスワード同期とアカウント ディスカバリの設定
ターゲット アカウントの[パスワード]タブから、以下のようなターゲット アカウントのパスワードに関する情報を表示できます。
パスワードが使用されているかどうか。 また、アカウント ディスカバリとパスワード同期を設定することもできます。 以下のトピックで、これらの 2 つの機能について説明しています。
複合ターゲット アカウントの追加(オプション)
複合アカウントは、サーバ クラスタにあるアカウント名が同じ複数のアカウントで構成されます。 複合アカウントのパスワードが更新されると、すべてのクラスタ メンバでパスワードが変更されます。 すべてのクラスタ メンバでパスワードを変更できない場合、パスワードを前の値にロールバックします。
[複合サーバ]タブに、更新のステータスが表示されます。
  • パスワードの更新に失敗したがロールバックに成功した場合、[検証済み]列ではサーバの隣に警告シンボルが表示されます。
  • パスワード更新
    および
    その後のロールバックが失敗すると、[検証済み]列には、サーバ名の隣に赤い
    [X]
    が表示されます。 このサーバのパスワードが同期されてなくなっています。
複合アカウントでは、ワークフロー、スケジュール済みジョブ、自動接続、ターゲット グループ メンバシップといった既存のターゲット アカウント機能が尊重されます。
[複合サーバ]タブから複合ターゲット アカウントを作成できます。
ホスト ターゲット サーバを複合サーバとして追加することはできません。
以下の手順に従います。
  1. ターゲット アカウントを追加するか、既存のターゲット アカウントを更新します。
  2. [複合サーバ]
    タブを選択します。
  3. [+]
    記号を使用して、サーバを追加します。 サーバの数に制限はありませんが、推奨は 20 サーバです。
個々のターゲット アカウントに固有の設定
ターゲット アカウントを追加すると、1 つ以上のタブがターゲット アカウントの設定ページに追加されます。 これらのタブは、ターゲット アカウントに関連付けられているターゲット アプリケーションに固有です。 これらの設定の多くは、1 つ以上のターゲット アカウントに固有の機能に関するものです。 以下の表で、これらの追加のタブについての情報を参照できます。
サービス デスク アプリケーションのターゲット アカウントの詳細については、「サービス デスク ソリューションとの統合」を参照してください。
ターゲット アカウントのアプリケーション タイプ
UI 設定またはタブ
内容
複数のアプリケーション タイプ
変更プロセス
Active Directory
[サービス]および[スケジュール済みタスク]タブ
Cisco
[Cisco SSH]タブ
LDAP
DN
アカウントの識別名を入力します
MySQL
データベース
ターゲット システム上のデータベースの名前を入力します
Oracle
[Oracle]タブ
Palo Alto
[パロアルト]タブ
SPML v2.0
データベース名
SPML 2.0 準拠のデータベースの名前を指定します
UNIX
権限の昇格
VMware NSX マネージャ
以下を使用して特権モードにアクセスする
このフィールドの機能は、変更プロセスの設定と同じです。
Windows プロキシ
[Windows プロキシ]設定
Windows リモート
[サービス]および[スケジュール済みタスク]タブ