PAM360 アプリケーションをはじめる

PAM360 のセットアップが完了すると、アプリケーションの使用を開始できます。必要な設定を構成して PAM360 コンソールを操作する前に、PAM360 の操作を継続しやすくするための一連の初期起動について理解しておくことが重要です。このガイドでは、Windows 環境と Linux 環境の両方で PAM360 アプリケーションを起動、シャットダウン、および起動するための包括的な手順を説明します。また、Web クライアント経由での PAM360 へのアクセス、gMSA (グループ管理 サービス アカウント) を使用したサービス アカウントの構成、トラブルシューティングのヒントについても説明します。

このドキュメントの終わりまでに、以下の操作について学んだことになります。

  1. PAM360 アプリケーションの起動とシャットダウン
  2. PAM360 Webクライアントの起動
  3. グループ管理サービス アカウント (gMSA) を使用して PAM360 サービスを実行

1.PAM360 アプリケーションの起動とシャットダウン

1.1 Windowsの場合

PAM360 は、Windows サービス コンソールから起動、停止、または再起動できます。さらに、タスクバーのトレイ アイコンを使用すると、サービスの開始または停止や Web コンソールの起動に簡単にアクセスできます。

スタートメニューの使用

トレイアイコンの使用
  1. [スタート] >> [アプリ、設定、ドキュメントの検索] に移動するか、またはWin + r を押します。[ファイル名を指定して実行]ボックスが表示されます。[services.msc] と入力して Enter キーを押します。
  2. [サービス] コンソールで [PAM360] サービスを見つけます。
  3. サービスコンソールからサービスを開始、停止、または再起動できます。
  1. PAM360 をシステムに正常にインストールすると、タスク バーの右端にある Windows トレイ領域に PAM360 アイコンが表示されます。
  2. トレイアイコンを右クリックして、目的の操作をクリックします:
    • PAM360サービスを開始
    • PAM360サービスを停止
    • PAM360 Webコンソールを起動



1.2 Linuxの場合

PAM360 は、非rootユーザー環境で特定のコマンドを実行することにより、バックグラウンドサービスとして実行できます。サービスは、ターミナル コマンドを使用して開始または停止できます。

この手順はビルド7200以降に適用されます

Linux で PAM360 をサービスとして起動するには、非rootユーザーとしてログインし、次のコマンドを実行します。実行時に、PAM360 サーバーはサービスとしてバックグラウンドで実行されます。 

systemctl start pam360.service

サービスのステータスを確認するには、次のコマンドを実行します。

systemctl status pam360.service

サービスとして起動された PAM360 サーバーを停止するには、非rootユーザーとして次のコマンドを実行します。

systemctl stop pam360.service

この手順はビルド7100以下に適用されます

Linux で PAM360 をサービスとして起動するには、非rootユーザーとしてログインし、次のコマンドを実行します。実行時に、PAM360 サーバーはサービスとしてバックグラウンドで実行されます。 

/etc/rc.d/init.d/pam360-service start

Linux でサービスとして起動された PAM360 サーバーを停止するには、非rootユーザーとして次のコマンドを実行します。

/etc/rc.d/init.d/pam360-service stop

PAM360 サービスを systemd ソフトウェア スイートに変更する

デフォルトでは、ビルド 7200 以降、サービスの並列処理やその他のサービス機能を利用するために、PAM360 サービスが systemd ソフトウェア スイートにインストールされます。ただし、ビルド 7200 より前の既存のユーザーの場合、変更を選択しない限り、initd プロセス制御システム内のサービスとして保持されます。既存のユーザーであり、サービスを systemd ソフトウェア スイートに変更する場合は、以下の手順に従ってください。

  1. rootユーザーとしてログインし、コンソールを起動して <PAM360-Installation-Directory>/bin フォルダに移動します。
  2. スクリプトを実行して、既存のサービス ロケーションからサービスを削除します (Ubuntu では、bash pam360.sh removeとして実行します)。
    sh pam360.sh remove
  3. 以下のコマンドを実行してサービスを再インストールします (Ubuntu では、bash pam360.sh installとして実行します)。
    sh pam360.sh install
  4. 次に、次のコマンドを実行して、PAM360 をサービスとして起動します。
    systemctl start pam360.service
  5. PAM360 サービスのステータスを確認するには、次のコマンドを実行します。
    systemctl status pam360.service

2.Web クライアントで PAM360 アプリケーションを起動

メモ:

  • 新しく構成されたセットアップの場合、デフォルトのユーザー名 | パスワードadmin | admin です。
  • サーバーを起動するたびに、ブラウザで PAM360 が自動的に起動します。

PAM360 Webクライアントに接続するには、次のさまざまな方法があります:

2.1 ブラウザの自動起動

PAM360 のインストールが正常に完了し、サーバーが起動すると、ブラウザ ウィンドウに PAM360 ログイン画面が表示されます。PAM360 は安全な HTTPS 接続を使用するため、セキュリティ証明書に同意するように求められます。[はい] をクリックし、ログイン画面に[ユーザー名][パスワード]を入力して Enter キーを押します。

2.2 Webクライアントを手動で起動

Windows の場合

PAM360 トレイ アイコンを右クリックし、PAM360 Web コンソールをクリックして、Web クライアントを手動で起動します。PAM360ログイン画面がブラウザ ウィンドウに表示されます。PAM360 は安全なHTTPS接続を使用するため、セキュリティ証明書を受け入れるように求められます。[はい] をクリックし、ログイン画面に[ユーザー名][パスワード]を入力して Enter キーを押します。

Linux の場合

ブラウザを開き、https://<hostname>:portnumber/ に接続します

ここで、<hostname> は PAM360 サーバーが実行されているホスト、<portnumber> はデフォルトのポート 8282 です。例:https://chnpam-165:8282

2.3 リモートホストでのWebクライアントの接続

PAM360 が実行されているマシンとは異なるリモート マシンの PAM360 Web クライアントに接続する場合は、ブラウザを開いて、https://<hostname>:port に接続します

PAM360 は安全なHTTPS接続を使用するため、セキュリティ証明書を受け入れるように求められます。[はい] をクリックし、ログイン画面に[ユーザー名][パスワード]を入力して Enter キーを押します。

メモ:

管理者は、必要に応じて初期認証メカニズムを AD/LDAP/Microsoft Entra ID に変更し、その後に2要素認証 (2FA) を適用できます。

より合理化されたパスワードレスの認証プロセスを実現するには、PAM360 モバイル アプリケーションで QR コードをスキャンしてスマート ログイン方式を使用します。管理者は、[管理] >> [カスタマイズ] >> [一般設定] >> [ユーザー管理] に移動して、スマート ログインを有効にするか、優先する初期ログイン方法として設定することができます。


3.gMSAccount を使用して PAM360 サービスを実行

PAM360 は、グループ管理サービス アカウント (gMSA) を使用したサービスの管理をサポートしており、これによりサービスのセキュリティと管理が強化されます。gMSA の詳細については、Microsoft のドキュメントを参照してください。

グループ管理 サービス アカウントを作成するには、

  1. 管理者として Powershell ISE を開き、次のコマンドを実行します。
    Import-Module ActiveDirectory
    Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
    New-ADServiceAccount -Name <MSA_AccountName> -DNSHostName <DNSNAme> -PrincipalsAllowedToRetrieveManagedPassword <Machine_Name>$
    Add-ADComputerServiceAccount -Identity <Machine_Name> -ServiceAccount <MSA_AccountName>
    Install -ADServiceAccount -Identity <MSA_AccountName>
  2. PAM360 インストール フォルダへのフル コントロール権限を付与します。
  3. ログオン サービスを構成するには、次の手順を実行します。
    1. [サービス] >> [プロパティ] >> [ログオン]に移動します。
    2. MSA アカウントを参照します。
    3. 次に、[パスワード]フィールドを消去して、[適用]をクリックします。
    4. [OK] をクリックします。これでログオン サービスが正常に構成されました。

これでグループ管理サービス アカウント (gMSA) が正常に作成されました。これで、gMSAアカウントを使ってPAM360サービスを実行できます。

3.1 トラブルシューティングのヒント

サービス アカウントをインストールできない場合は、インストール ステートメントを実行する前に以下のコマンドを実行します。

Set-ADServiceAccount -Identity <MSA_AccountName> -KerberosEncryptionType AES128,AES256