password manager pro スタートアップガイド...5 1 はじめに 1.1 本ガイドについて...
TRANSCRIPT
スタートアップガイド
2018 年 8 月 22 日 発行 (第 6 版)
ゾーホージャパン株式会社
ZJTM180822101
COPYRIGHT© ZOHO JAPAN CORPORATION. ALL RIGHTS RESERVED
2
■ 著作権について
本ガイドの著作権は、ゾーホージャパン株式会社が所有しています。
■ 注意事項
本ガイドの内容は、改良のため、予告なく変更することがあります。
ゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます。 当社は
このガイドを使用することにより引き起こされた偶発的もしくは間接的な損害につい
ても責任を負いかねます。
■ 商標一覧
Cisco は米国 Cisco Systems, Inc. の米国および他の国々における登録商標です。
Linux は Linus Torvalds の登録商標です。
Oracle と Java は、Oracle Corporation 及びその子会社、関連会社の米国及びその他
の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である
場合があります。
Windows は米国およびその他の国における米国 Microsoft Corp. の登録商標です。
ManageEngine は、ZOHO Corporation 社の登録商標です。
なお、本ガイドでは、(R)、TM 表記を省略しています。
3
目次
1 はじめに ............................................................................................................................... 5
1.1 本ガイドについて ................................................................................................................ 5
1.2 対象読者 ............................................................................................................................ 5
1.3 本ガイドの見方 ................................................................................................................... 5
2 Password Manager Pro について ........................................................................................... 6
3 利用前提条件 ......................................................................................................................... 6
4 システム要件 ......................................................................................................................... 7
4.1 サポート対象リソースについて ............................................................................................... 7
4.2 Web ブラウザーについて ...................................................................................................... 7
5 インストール ......................................................................................................................... 7
6 起動と停止 ............................................................................................................................ 8
6.1 Windows 版 ...................................................................................................................... 8
6.2 Linux 版 ............................................................................................................................ 8
7 各画面の説明 ......................................................................................................................... 9
7.1 ログイン画面 ...................................................................................................................... 9
7.2 ホーム画面(初回ログイン時) .................................................................................................. 9
7.3 リソース画面 .................................................................................................................... 10
7.4 リソースグループ画面 ........................................................................................................ 10
7.5 リモート接続画面 .............................................................................................................. 10
7.6 ユーザー画面 .................................................................................................................... 11
7.7 管理画面 .......................................................................................................................... 11
7.8 監査画面 .......................................................................................................................... 11
7.9 レポート画面 .................................................................................................................... 12
7.10 パーソナル画面 ............................................................................................................... 12
7.11 リンク画面 ..................................................................................................................... 12
7.12 権限毎の表示可能なタブ.................................................................................................... 13
8 Password Manager Pro への接続 ......................................................................................... 14
8.1 Password Manager Pro 管理画面の表示 .............................................................................. 14
8.2 CA 機関に承認された証明書の設定......................................................................................... 14
8.3 初回ログイン .................................................................................................................... 14
9 初期設定項目 ....................................................................................................................... 15
9.1 メールサーバーの設定 ........................................................................................................ 15
9.2 Password Manager Pro を使用するユーザーを設定 ............................................................... 15
9.3 パスワードを管理するリソースを設定 .................................................................................... 16
4
9.4 データベースのバックアップ設定 .......................................................................................... 16
9.5 ライセンスの適用 .............................................................................................................. 16
9.6 暗号化鍵・バックアップファイル設定 .................................................................................... 16
9.7 Password Manager Pro ログインユーザーの追加 .................................................................. 17
10 Password Manager Pro ログインユーザーの追加 ................................................................... 18
10.1 パスワードポリシーの追加 ................................................................................................. 18
10.2 Password Manager Pro ログインユーザーの追加(手動で追加) ............................................... 19
10.3 Password Manager Pro ログインユーザーの追加(AD 連携) ................................................... 20
11 リソース・アカウントの追加 ................................................................................................. 22
11.1 リソースの追加 ............................................................................................................... 22
11.2 リソースのアカウントの追加 .............................................................................................. 24
11.3 Password Manager Pro ユーザーにパスワードを共有 ........................................................... 25
11.4 Password Manager Pro ユーザーにリソースを共有.............................................................. 26
11.5 Password Manager Pro ユーザーにリソースグループを共有 .................................................. 26
11.6 ドメインアカウントの共有利用 ........................................................................................... 26
12 アクセス制御 ..................................................................................................................... 29
12.1 アクセス制御の設定 ......................................................................................................... 29
12.2 アクセス管理(ワークフロー機能) ........................................................................................ 31
(1) 申請 – 申請者側 ............................................................................................................... 32
(2) 申請通知 – 承認者側 ......................................................................................................... 33
(3) 貸出 – 申請者側 ............................................................................................................... 34
(4) 利用 – 申請者側 ............................................................................................................... 35
(5) 返却 – 申請者側 ............................................................................................................... 35
12.3 アクセス制御 .................................................................................................................. 36
13 踏み台サーバーとしての機能 ................................................................................................. 37
13.1 自動ログオン機能について ................................................................................................. 37
13.2 自動ログオンゲートウェイについて ..................................................................................... 37
13.3 Password Manager Pro からの RDP 利用のための事前準備 ................................................... 38
13.4 セッション記録の参考事例 ................................................................................................. 39
13.5 セッション記録の参照 ...................................................................................................... 40
13.6 ワンクリック自動ログオンについて ..................................................................................... 40
13.7 HA 構成のセットアップ ..................................................................................................... 42
13.8 パスワードのエクスポートスケジュール設定 .......................................................................... 42
13.9 2 段階認証の設定 ............................................................................................................. 42
13.10 チケット連携システムの設定 ............................................................................................ 42
5
1 はじめに
1.1 本ガイドについて
本ガイドは Password Manager Pro のインストール方法から初期設定の内容について説明しています。
1.2 対象読者
本ガイドは、ネットワーク運用担当者及びシステム管理者を対象としています。
1.3 本ガイドの見方
本ガイドでは、文字の書体を次のように区別して記載しています。
表 1-1 文字の書体について
字体または記号 説明 例
‘AaBbCc123’ ファイル名、ディレクトリ名、
画面上の出力を示します。
‘ManageEngine_PasswordManagerPro.exe’を
実行してください。
AaBbCc123 ユーザーが入力する文字を、
画面上のコンピューター出力
と区別して示します。
# su –
password:
AaBbCc123 変数を示します。 実際に使用
する特定の名前または値で置
き換えます。
PMP_Home/bin
『 』 参照する章、節を示します。 『1 はじめに』を参照してください。
[ ] ボタンやメニュー名、強調す
る単語を示します。
[ホーム]タブ画面
6
2 Password Manager Pro について
ManageEngine Password Manager Pro(マネージエンジン パスワードマネージャー プロ)は、「必要な時
だけ必要な人だけが使える特権 ID のパスワード」の申請/承認/貸出/返却のワークフロー自動化、オペレータ
ー操作画面録画、パスワード定期変更が可能です。
図 2-1 Password Manager Pro の申請/承認/貸出/返却のワークフロー
3 利用前提条件
⚫ 本製品のインストール可能な環境は、Windows / Linux です。
(Linux に本製品をインストールした場合には、Windows OS のリモートパスワード変更は実施できませ
ん。 )
⚫ ブラウザーのポップアップブロックを解除する必要があります。
⚫ Internet Explorer バージョン 11 は利用可能ですが、互換表示を有効にする必要があります。
リモートアクセスを実施するには、CA 署名付き SSL 証明書を組み込み設定する必要があります。
Google Chrome、Mozilla Firefox は上記の問題無く利用可能です。
(但し、CA 署名付き SSL 証明書の組み込み設定をしない限り、ログイン時に信頼できない証明書をセッショ
ン毎に手動で承認する必要があります。)
7
4 システム要件
4.1 サポート対象リソースについて
サポート対象リソースは、製品詳細ページでご案内しています。以下の URL をご参照ください。
https://www.manageengine.jp/products/Password_Manager_Pro/system-
requirements.html#supportedResource
4.2 Web ブラウザーについて
サポートしている Web ブラウザーは、製品詳細ページでご案内しています。以下の URL をご参照くださ
い。
https://www.manageengine.jp/products/Password_Manager_Pro/system-
requirements.html#browser
5 インストール
インストール手順は、以下の URL をご参照ください。
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=37
Password Manager Pro にて使用するポート番号は、以下の URL をご参照ください。
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=24
※ビルド 9.4 以降、評価版インストール後に SSL 証明書・SSH 鍵の管理製品 ManageEngine Key Manager
Plus の機能が自動的に表示されます。ただし、Key Manager Plus は日本法人で販売していない製品となりま
す。そのため、以下の URL に従って Key Manager Plus の機能を無効にご設定下さい。
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=2701
8
6 起動と停止
6.1 Windows 版
(1) スタートメニューを使用する場合
スタート → プログラム → Password Manager Pro から、以下の操作が可能です。
⚫ Password Manager Pro サービスの開始
⚫ Password Manager Pro サービスの停止
⚫ トレイアイコンの起動
⚫ ヘルプ ドキュメントの表示
⚫ 製品のアンインストール
(2) トレイアイコンを使用
Password Manager Pro をインストールすると、タスクバーのタスクトレイに Password Manager Pro
のアイコン が常駐します。トレイアイコンを右クリックするとメニューが表示され、以下の操作が可
能です。
⚫ Password Manager Pro サービスの開始
⚫ Password Manager Pro サービスの停止
⚫ Password Manager Pro Web コンソール
6.2 Linux 版
(1) root ユーザーとしてログイン後、Password Manager Pro のインストールフォルダー配下(以後、
PMP_Home )に移動後、bin ディレクトリに移動します。
(2) 製品をインストールする場合には、以下のコマンドを実行します。
sh pmp.sh install
※Ubuntu の場合 "bash pmp.sh install" を実行します。
(3) 製品をアンインストールする場合は、以下のコマンドを実行します。
sh pmp.sh remove
(4) Linux で Password Manager Pro サービスを起動する場合、以下のコマンドを実行します。
/etc/rc.d/init.d/pmp-service start
(5) Linux で動作中の Password Manager Pro サービスを停止する場合には、以下のコマンドを実行します。
/etc/rc.d/init.d/pmp-service stop
9
7 各画面の説明
7.1 ログイン画面
Password Manager Pro にログインする画面です。ログイン画面下にある、言語を選択するとその言語を利
用することが可能です。
図 7-1 ログイン画面
7.2 ホーム画面(初回ログイン時)
初回ログイン時には、初期設定に必要な内容が表示されます。
図 7-2 ホーム画面(初回ログイン時)
10
7.3 リソース画面
リソース画面では、パスワード管理対象のリソースやアカウントの管理が可能です。
図 7-3 リソース画面
7.4 リソースグループ画面
グループ画面では、リソースをグループ単位で管理が可能です。
図 7-4 リソースグループ画面
7.5 リモート接続画面
接続画面では、リモート接続方法別にリソースを確認可能です。
図 7-5 リモート接続画面
11
7.6 ユーザー画面
ユーザー画面で、Password Manager Pro を利用するユーザーを登録します。
図 7-6 ユーザー画面
7.7 管理画面
管理画面では、Password Manager Pro の各種設定が可能です。
図 7-7 管理画面
7.8 監査画面
監査画面では、Password Manager Pro 内でのパスワード取得や申請、ログインなどの履歴が参照可能です。
図 7-8 監査画面
12
7.9 レポート画面
レポート画面では、各種レポートの参照が可能です。
図 7-9 レポート画面
7.10 パーソナル画面
パーソナル画面では、個人のアカウントとパスワードを管理可能です。パーソナル画面を非表示にする場合
には、[管理] > [一般設定] > [個人用パスワード] のチェックをオフにしてください。
図 7-10 パーソナル画面
7.11 リンク画面
頻繁に使用する機能をリンクとして追加しています。
図 7-11 リンク画面
13
7.12 権限毎の表示可能なタブ
表 7-1 権限毎の表示可能なタブ
権限 管理者
パスワード管理者
パスワード
監査担当者 パスワードユーザー
ダッシュボード ○ × ○ ×
リソース ○ ○ ○ ○
グループ ○ ○ × ×
接続 ○ ○ ○ ○
ユーザー ○ × × ×
管理 ○ ○ × ×
監査 ○ × ○ ×
レポート ○ × ○ ×
パーソナル ○ ○ ○ ○
リンク ○ ○ ○ ×
14
8 Password Manager Pro への接続
8.1 Password Manager Pro 管理画面の表示
PMP_HOME/conf の‘server.conf’の中に記載されているホスト名を確認してください。URL はホスト名
を指定してください。(Password Manager Pro をインストールしたサーバー上のブラウザーから接続する
場合でも、ホスト名を指定し、’localhost’ としないでください)
図 8-1 SSL 証明書の警告メッセージ画面
8.2 CA 機関に承認された証明書の設定
ユーザー様がCA機関から取得された正式なSSL証明書を本製品に組み込んで利用いただくことも可能です。
以下の URL をご参照ください。
<自社で取得した正式 SSL 証明書を組み込む手順>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=66
8.3 初回ログイン
デフォルトの Password Manager Pro の管理者アカウントとパスワードは admin となります。初回ログイ
ン時にパスワードを変更してください。
正式な証明書を設定すると、この画面は表示されません。
正式な証明書を使用しない場合には、内部的に生成した証
明書を使って SSL の設定がされます。公的 CA 機関に承認
されたものではないため、ブラウザーのセキュリティ設定
により咎められますが、そのまま続行して利用することが
できます。
15
9 初期設定項目
Password Manager Pro をインストールした後に必要な設定項目を説明します。
9.1 メールサーバーの設定
Password Manager Pro からメール通知を送信するために使用する SMTP サーバーを設定します。
[管理]タブ > [メールサーバー設定]よりメールサーバーとポート番号を入力してください。
図 9-1 SMTP サーバー設定画面
9.2 Password Manager Pro を使用するユーザーを設定
(1) 既定の admin ユーザーのパスワードを変更するか、あるいは他の管理ユーザーアカウント追加後に
admin ユーザーを削除します。
(2) 手動でユーザーを追加あるいは Active Directory、LDAP ディレクトリ、CSV ファイルからユーザー情
報をインポートします。詳細は『10.2 Password Manager Pro ログインユーザーの追加(手動で追加)』
をご参照ください。
(3) Password Manager Pro ユーザーに適切なアクセス役割とパスワードポリシーを指定します。
(4) 一括操作を容易にするため、ユーザーをグループ化します。詳細は、以下の URL をご参照ください。
<ユーザーグループ機能>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=2158
(5) LDAP またはローカルに認証方法をセットアップします。
16
9.3 パスワードを管理するリソースを設定
(1) 必要に応じて、リソースとユーザーアカウントに追加フィールドを追加します。
(2) 強力なパスワード、パスワード経過期間、パスワード再利用の制御を行うため、パスワードポリシーを
設定します。詳細は『10.1 パスワードポリシーの追加』をご参照ください。
(3) 手動でリソースを追加あるいはユーザーアカウントとパスワードの情報を CSV ファイルからインポー
トします。詳細は『11.1 リソースの追加』をご参照ください。
(4) リソースをグループ化し、定期的なパスワード変更やパスワードに関連するイベントの通知設定を行い
ます。リソースグループ機能の詳細は、以下 URL をご参照ください。
<リソースグループ機能>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=1969
(5) 他の Password Manager Pro ユーザーやユーザーグループにリソースやリソース グループを共有しま
す。詳細は『11.4 Password Manager Pro ユーザーにリソースを共有』をご参照ください。
9.4 データベースのバックアップ設定
Password Manager Pro データベースのバックアップスケジュールを設定します。詳細は、以下の URL を
ご参照ください。
<バックアップ&リストア>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=19
9.5 ライセンスの適用
(1) 管理者ユーザーでログイン後、画面右上 のアイコンより、[ライセンス]をクリックします。
(2) ライセンスファイルを選択し、[アップグレード]をクリックします。サービスを再起動する必要はあり
ません。
9.6 暗号化鍵・バックアップファイル設定
ライセンスファイルの適用後に、暗号化鍵の設定を求められた場合は以下の操作を行います。
図 9-2 暗号化鍵の保存設定
本画面が表示されましたら、PMP_HOME/conf 配下
の’pmp_key.key’の配置場所を変更してください。
配置場所を変更後、’pmp_key.key’のデフォルトのフォ
ルダーのパス値(’C:/ManageEngine/PMP/conf’)を
移動後のフォルダーのパス値に変更してください。
17
9.7 Password Manager Pro ログインユーザーの追加
Password Manager Pro のログインユーザーを追加します。ユーザー権限毎に利用可能な機能を制限してい
ます。
表 9-1 ユーザー権限一覧
権限 ユーザー
管理
リソース
管理
パスワード
管理
パスワード
利用
監査レポート
参照
管理者
(承認者)
管理者 〇 〇 〇 〇 〇
パスワード
管理者 - 〇 〇 〇 -
利用者
(申請者)
パスワード
ユーザー - - - 〇 -
パスワード
監査担当者 - - - 〇 〇
18
10 Password Manager Pro ログインユーザーの追加
10.1 パスワードポリシーの追加
デフォルトのパスワードポリシーが必要な場合には、Password Manager Pro ログインユーザーを追加する
前に設定する必要があります。
(1) [管理]をクリックします。
(2) [パスワードポリシー]をクリックします。
(3) [ポリシーを追加]をクリックします。
図 10-1 パスワードポリシー画面
(4) 各項目を入力して、[保存]をクリックします。
図 10-2 パスワードポリシー追加画面
19
10.2 Password Manager Pro ログインユーザーの追加(手動で追加)
(1) [ユーザー]をクリックします。
(2) [ユーザー追加]で[手動で追加]をクリックします。
図 10-3 ログインユーザー追加画面
(3) 名、姓、ユーザー名を入力し、[パスワードポリシー]を運用に合わせて選択します。[アクセスレベル]を
「管理者」「パスワード管理者」「監査担当者」「パスワードユーザー」から選択します。必要に応じてその
他の項目を設定し、最後に[保存]をクリックします。
図 10-4 ログインユーザー追加画面(手動追加)
20
10.3 Password Manager Pro ログインユーザーの追加(AD 連携)
Active Directory 上のユーザー情報を取り込むことも可能です。
(1) [管理]をクリックします。
(2) [Active Directory]をクリックし、[いますぐインポート]をクリックします。
図 10-5 Active Directory 設定画面
(3) 各項目を入力します。
図 10-6 ログインユーザーの追加画面(AD 連携)
(4) [列挙]をクリックして、Active Directory からインポートするユーザーを選択します。
(5) ユーザーへ適切な役割を指定します。
※デフォルトでは、インポートしたユーザーは、パスワードユーザーへ割当てられます。
(6) Active Directory 認証やシングルサインオン機能を設定します。
21
詳細は、以下の URL をご参照ください。
<Password Manager Pro へのログイン認証に Active Directory 認証を行う>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=688
22
11 リソース・アカウントの追加
11.1 リソースの追加
(1) [リソース]をクリックします。
(2) [リソース追加]をクリックします。
図 11-1 リソースの追加画面
(3) 各項目を入力して、[保存して続行]をクリックします。 表示名は[リソース名]に、ホスト名/IP アドレ
スは、[FQDN/IP アドレス]に設定します。また、[リソース種別]、[パスワードポリシー]も最低限設定
が必要です。
図 11-2 リソースの追加画面(手動追加)
(4) アカウント(リソース上の特権 ID)を追加します。複数のアカウントを追加可能です。[ユーザーアカウン
ト]、[パスワード]、[パスワード確認]は必須項目です。
23
(5) [追加]をクリックすると、設定内容が下の一覧に移動します。設定後、[完了]をクリックします。
図 11-3 アカウントの追加画面(手動追加)
※リソース種別によってリソースの登録の仕方が異なります。詳細は、以下の URL をご参照ください。
<リソースの登録方法一覧>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=1716
24
11.2 リソースのアカウントの追加
追加済みのリソースにアカウント(特権 ID とは限らず)を追加します。
(1) [リソース]をクリックします。
(2) 当該リソースをクリックします。
(3) [追加]をクリックします。
図 11-4 アカウント画面
(4) [ユーザーアカウント]、[パスワード]、[パスワード確認]は必須項目です。
図 11-5 アカウントの追加画面
(5) [追加]をクリックすると、設定内容が下の一覧に移動します。設定後、[保存]をクリックします。
25
11.3 Password Manager Pro ユーザーにパスワードを共有
(1) 設定対象のリソースをクリックします。
(2) 当該のユーザーアカウント上の[アカウントアクション]より[ユーザーに共有]をクリックします。
※ユーザーグループごとに共有する場合には、[ユーザーグループに共有]をクリックしてください。
図 11-6 パスワードの共有画面
(3) アクセス権限の付与が可能なユーザー一覧が表示されるため、[アクセス権の付与]より共有方法を選択
して共有します。共有方法としては、パスワード利用のみ可能な[パスワードの表示]とパスワード利用・
変更が可能な[パスワードの変更]があります。
※複数ユーザーに一括でアクセス権限を付与する場合には、設定するユーザーのチェックボックスにチ
ェックを入れて、ユーザー一覧上部の[アクセス権の付与]より設定してください。
図 11-7 パスワードの共有画面(一括設定)
26
11.4 Password Manager Pro ユーザーにリソースを共有
(1) 設定対象のリソース上の[リソースアクション]より[ユーザーに共有]をクリックします。
※ユーザーグループごとに共有する場合には、[ユーザーグループに共有]をクリックしてください。
(2) アクセス権限の付与が可能なユーザー一覧が表示されるため、[アクセス権の付与]より共有方法を選択
して共有します。共有方法としては、パスワード利用のみ可能な[パスワードの表示]とパスワード利用・
変更が可能な[パスワードの変更]があります。
※複数ユーザーに一括でアクセス権限を付与する場合には、設定するユーザーのチェックボックスにチ
ェックを入れて、ユーザー一覧上部の[アクセス権の付与]より設定してください。
11.5 Password Manager Pro ユーザーにリソースグループを共有
(1) 設定対象のリソースグループの[アクション]より[ユーザーに共有]をクリックします。
※ユーザーグループごとに共有する場合には、[ユーザーグループに共有]をクリックしてください。
(2) アクセス権限の付与が可能なユーザー一覧が表示されるため、[アクセス権の付与]より共有方法を選択
して共有します。共有方法としては、パスワード利用のみ可能な[パスワードの表示]とパスワード利用・
変更が可能な[パスワードの変更]があります。
※複数ユーザーに一括でアクセス権限を付与する場合には、設定するユーザーのチェックボックスにチ
ェックを入れて、ユーザー一覧上部の[アクセス権の付与]より設定してください。
11.6 ドメインアカウントの共有利用
(1) ドメインコントローラーを追加します。[FQDN]には、ホスト名/IP アドレスを入力します。リソース種
別、ドメイン名などを設定します。
図 11-8 ドメインアカウントの追加画面
27
(2) ドメインコントローラーに対して以下のアカウントを追加します。
・ローカルの administrator
・利用するドメインアカウント
※ここでドメインアカウントは複数追加可能ですが、1 つのメンバーサーバーで指定できるドメインア
カウントは 1 つのみとなります。
(3) メンバーサーバーを追加します。[FQDN]には、ホスト名/IP アドレスを入力します。リソース種別、
ドメイン名などを設定します。
(4) メンバーサーバーに対して以下のアカウントを追加します。
・ローカルの administrator または他のアカウント
(5) メンバーサーバーで自動ログオンヘルパーを設定します。[リソースアクション]の[パスワード変更用資
格情報を設定]をクリックします。[自動ログオンヘルパーを設定]で、[ドメイン]はドメインコントロー
ラーの登録リソース名になります。[ユーザー名]はドメインコントローラーにて追加されたドメインア
カウントから、いずれかひとつ選択します。パスワードのチェックイン(返却)後にパスワード変更を行う
場合は、[Windows パスワード変更用の資格情報を設定]にチェックを入れ、当該メンバーサーバーのロ
ーカル administrator を設定します。
図 11-9 自動ログオンヘルパーとパスワード変更用の資格情報の画面
(6) パスワードユーザーにドメインアカウントを共有する場合、ユーザーに以下を共有します。
・共有対象ドメインアカウント
・そのドメインアカウントで作業する対象のメンバーサーバー
28
(7) 自動ログオンヘルパーにより、ドメインアカウントを選択してメンバーサーバーにアクセスします。
[接続]の[RDP・VNC 接続先]で当該メンバーサーバーをフォーカスし、ドメインアカウントのリンクを
クリックします。
図 11-10 ドメインアカウントの利用
29
12 アクセス制御
12.1 アクセス制御の設定
(1) 設定対象のリソースの[リソースアクション]より、[アクセス制御を設定]をクリックします。
(2) パスワードのアクセス要求を承認する承認者を設定します。パスワードアクセス要求を承認できる 1 人
以上の管理者を選択し、[→]ボタンをクリックして、[承認者]に移動します。この操作をしない場合、
当該リソース利用に申請は不要です。
(3) 以下の例を参照し、チェックボックスにチェックして、アクセス制御の設定を行います。
⚫ [パスワードアクセスを承認する管理者は 2 人以上必要]:2 人の承認者が必要とする場合
⚫ [排他的パスワードアクセスは最大□時間後に無効とする]:チェックアウト後、指定時間のみアクセス
可能とする場合
⚫ [排他的使用の後(パスワードが他のユーザーによってチェックインされる場合)に、パスワードをリセッ
ト]:返却後、パスワード変更を実施する場合
⚫ [要求の自動承認]:指定した時間であれば、承認を不要とする場合
図 12-1 アクセス制御画面(承認管理者)
30
図 12-2 アクセス制御画面(除外ユーザー)
図 12-3 アクセス制御画面(その他の設定)
31
図 12-4 アクセス制御画面(自動承認)
(3) [保存&アクティブ化]をクリックすることで、アクセス制御が実施されます。実施しない場合には、[非
アクティブ化]をクリックします。
12.2 アクセス管理(ワークフロー機能)
利用者がパスワードを要求した際に、一時的に貸出しを行い、返却後はパスワードを自動で変更します。
図 12-5 アクセス管理(ワークフロー機能)
32
(1) 申請 – 申請者側
1.[リソース]をクリックします。
2.[すべての自分のパスワード]をクリックします。
3.リソース名をクリックします。
4.[要求]をクリックします。
図 12-6 アクセス管理(申請)
5.任意でコメントを記入し、[送信]をクリックします。即時承認を求める場合には、 “今”を選択します。
図 12-7 申請画面(即時)
33
日時指定して申請する場合には、”後で”を選択します。
図 12-8 申請画面(日時指定)
6.表示が[承認待ち]に変わります。
図 12-9 アクセス管理
(2) 申請通知 – 承認者側
1.ベルアイコンをクリックします。
2.[1 パスワードアクセス要求]を選択します。
図 12-10 申請通知
34
3.[要求]をクリックして、作業内容を確認後、[承認]または[拒否]をクリックします。
図 12-11 アクセス管理(申請通知)
承認 – 申請者側
4.[アクション]で、表示が[未使用]となります。
図 12-12 アクセス管理(承認)
(3) 貸出 – 申請者側
1.[リソース]をクリックし、[すべての自分のパスワード]を選択します。
2.リソースを選択します。
3.[チェックアウト]をクリックします。
図 12-13 アクセス管理(チェックアウト)
4.[チェックアウト]をクリックします。
図 12-14 ポップアップ(チェックアウト)
35
5. [チェックアウト]すると当該ユーザーアカウントでリソースにアクセス可能となります。[パスワード]で、
表示が[チェックイン]に変わります。
図 12-15 アクセス管理(チェックアウト)
(4) 利用 – 申請者側
1.[接続をオープン]でマシンアイコンをクリックします。
2.[Windows Remote Desktop]をクリックします。
図 12-16 アクセス管理(リモート接続)
(5) 返却 – 申請者側
1.[パスワード]で、[チェックイン]をクリックします。
図 12-17 ポップアップ(チェックイン)
2.[パスワード]で、表示が[要求]に変わります。
図 12-18 アクセス管理(要求)
36
12.3 アクセス制御
パスワードユーザー側で貸し出されたパスワードを非表示(アスタリスク列をクリックしてもパスワードを
表示しない)にすることも可能です。
(1) 管理者権限でログインし、[管理]をクリックします。
(2) [一般設定]の[パスワード取得]で、[自動ログオン設定済みのパスワードをユーザーが取得することを許
可]のチェックを外し、保存します。
図 12-19 一般設定(アクセス制御)
37
13 踏み台サーバーとしての機能
13.1 自動ログオン機能について
Password Manager Pro の自動ログオンゲートウェイ機能を使用することで、Password Manager Pro を踏み台
としてサーバーOS やネットワーク機器、データベース等に接続することが可能です。また、Web アプリケーシ
ョンは、ブラウザーの拡張機能を使用することで、対象 Web アプリケーションへログオンする際に ID とパスワ
ードが自動入力されて、パスワードを参照せずに Web アプリケーションへログオンが可能です。
表 13-1 自動ログオン機能
機能名 実行内容 対象リソース 録画機能
自動ログオンゲートウェイ(*) RDP, Windows Remote
Desktop, Telnet, SSH,
VNC, SQL
OS, ネットワーク機器,
データベース
有り
ワンクリック自動ログオン アカウント/パスワードの
代理入力
Web アプリケーション 無し
(*)HTML5 互換のブラウザーの利用が必要です。
13.2 自動ログオンゲートウェイについて
Password Manager Pro 経由でサーバーへ接続可能です。
図 13-1 自動ログオンゲートウェイ
38
RDP や Windows Remote Desktop 接続では、ビデオ形式により全ての画面操作を記録し、Telnet や SSH、
SQL では、テキスト形式で操作を記録します。Windows OS の場合、作業者のローカル端末とリモート接続
先の間でファイルの転送が出来ます。詳細は、以下の URL をご参照ください。
<ファイル転送機能>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=2620
13.3 Password Manager Pro からの RDP 利用のための事前準備
(管理対象リソースである Windows OS にて)
(1) [スタート]メニューで[コンピューター]を右クリックします。
(2) [プロパティ]を選択し、[リモートの設定]をクリックします。
(3) [システムのプロパティ]画面の[リモート]タブ(デフォルト)に移動します。[リモート デスクトップを
実行しているコンピューターからの接続を許可する(セキュリティのレベルは低くなります)(L)]が選択さ
れている場合、PMP_HOME/conf/gateway.conf にて credSSP= true を credSSP=false へ変更し
ます。
(4) [リソース]タブをクリックします。
(5) [リモート接続機能について、何かお困りですか?]リンクをクリックします。
(6) [https://ホスト名:7273/rdp.html/locale=ja]リンクをクリックします。
(7) [このまま続行] をクリックします。
(8) 下記の画面が表示されたら、[OK]ボタンをクリックします。
図 13-2 RDP 利用の事前準備
39
13.4 セッション記録の参考事例
1.事例 1
下記の図のように、Password Manager Pro 経由でパスワード管理対象リソースにリモート接続し、リモート
接続時の操作内容をセッション記録として取得可能です。
図 13-3 セッション記録(事例 1)
2. 事例 2
Password Manager Pro をインストールした Windows サーバー自体をリソースとして追加した場合、下
記の方法で接続します。
(1) リソース名をクリックします。
(2) [接続をオープン]で、マシンアイコンをクリックし、RDP 画面を開きます。
図 13-4 セッション記録(事例 2)
(3) RDP 画面は別画面(タブ)で開くので、元のタブでは各リソースのパスワードを参照することも可能で
40
13.5 セッション記録の参照
図 13-5 記録済みセッション一覧
(1) [監査]をクリックします。
(2) [記録済みセッション]をクリックします。
(3) [再生]で、マシンアイコンをクリックします。
図 13-6 記録済みセッション(Windows)
13.6 ワンクリック自動ログオンについて
管理対象リソースが Web アプリケーションの場合、Password Manager Pro のブラウザーの拡張機能を使
用することで、ユーザー名やパスワードを入力することなくアクセスすることが可能です。
(1) [リソース種別]として Web Site Accounts を選択し、接続するリソースの URL を[リソース URL]に入
力する。
41
図 13-7 ワンクリック自動ログオン
(2) アカウント名とパスワードを入力します。
(3) ブラウザーの拡張機能をご利用いただくブラウザーにあわせてインストールします。
(4) インストール後、ブラウザーのツールバー内に Password Manager Pro のアイコンが表示されますの
で、Password Manager Pro をインストールしているサーバーのホスト名とポート番号を入力し、
Password Manager Pro にログオンします。
(5) ログオン後、自動ログオンを行うリソースを選択し、[Auto Logon]をクリックすることで、アカウント
やパスワードを入力することなく Web アプリケーションへ接続します。
ブラウザー拡張機能の詳細については、下記のナレッジをご参照ください。
<ブラウザー拡張機能について>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=1197
42
13.7 HA 構成のセットアップ
Password Manager Pro では、障害が生じた場合に備えて HA 構成の構築が可能です。HA 構成時の
動作仕様とセットアップ手順については、以下の URL をご参照ください。
<HA 構成の動作仕様>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=149
<HA 構成のセットアップ>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=348
13.8 パスワードのエクスポートスケジュール設定
Password Manager Pro では、管理しているパスワードを暗号化しデータベースへ保管しています
が、Password Manager Pro が起動しないなど事態に備えて、暗号化した HTML ファイルへ定期的
にエクスポートすることが可能です。スケジュール設定対象は各リソースグループ単位での設定が可
能です。詳細については、以下の URL をご参照ください。
<パスワードのエクスポートスケジュール設定>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=1294
13.9 2 段階認証の設定
Password Manager Pro では、さらに高度なセキュリティ実現のため 2 段階認証の利用が可能です。
現在、Password Manager Pro と連携が可能な 2 段階認証システムを以下に示します。
1. PhoneFactor
2. RSA SecurID
3. Google Authenticator
4. RADIUS Authenticator
5. ワンタイムパスワード
各 2 段階認証の設定手順については、以下の URL をご参照ください。
<2 段階認証の設定>
https://www.manageengine.jp/products/Password_Manager_Pro/help/two-factor-
authentication.html
13.10 チケット連携システムの設定
Password Manager Pro では、特権アクセスに関連したサービス要求を自動的に検証するために、
チケットシステムと連携する機能を提供しています。連携により、ユーザーが有効な一意のチケット
ID でのみ、特権アカウントのパスワードにアクセスできるようになります。
43
チケット連携システムの設定手順については、以下の URL をご参照ください。
<チケット連携システムの設定>
https://www.manageengine.jp/support/kb/Password_Manager_Pro/?p=1056
<サービスデスク製品と特権 ID 管理製品の連携>
http://download.manageengine.jp/password_manager/PasswordManagerPro_ServiceDesk
Plus.pdf
44
製品に関するお問い合わせ
ゾーホージャパン株式会社 ManageEngine&WebNMS 事業部
〒222-0012 神奈川県横浜市西区みなとみらい三丁目 6 番 1 号
みなとみらいセンタービル 13 階
ホームページ:https://www.manageengine.jp/
製品ページ:https://www.manageengine.jp/products/Password_Manager_Pro/