パスワード リセット リスナー

パスワードリセットは、機密リソースを未承認アクセスから保護するため、PAM360が実行するもっとも重要な機能の1つです。PAM360では、パスワード リセット リスナーとして参照されるスクリプトまたは実行ファイルを呼び出して、同様のタスクを実行できます。

このドキュメントでは、次のトピックについて説明します:

  1. パスワード リセット リスナーを使用して実行できるフォローアップ アクションは何ですか?
  2. パスワード リセット リスナーはどのように機能しますか?
  3. パスワード リセット リスナーを追加できるのは誰ですか?
  4. カスタム リスナー
  5. 参考実装
  6. よくある質問

1.パスワード リセット リスナーを使用して実行できるフォローアップ アクションは何ですか?

  1. パスワードのリセット後、すぐに依存サービスを再起動できます。
  2. パスワードをPAM360データベースでローカルにリセットするアカウントを利用するWindowsサービスの場合、リセットリスナーで、Windowsサービスの各保存された認証情報 (すなわち、ログオン プロパティで指定した認証情報を変更できます。
  3. Windows のスケジュールされたタスクおよびその他の関連プロセスのパスワードをリセットできます。
  4. ネットワークデバイスのパスワードリセットを実行できます。たとえば、ネットワーク デバイスのアカウントをリソースとして追加した場合、まずそのようなアカウントのパスワードをローカルでリセットし、次にカスタム スクリプトを呼び出してデバイスに接続し、デバイス内でも変更を実行できます。

2.パスワード リセット リスナーはどのように機能しますか?

注記:

  1. ビルド5570,に更新後、既存のパスワード リセット リスナーは、エージェントレスポストパスワード リセット リスナーとして呼び出されます。
  2. パスワード リセット リスナーの実行オーダー実行モードは、ビルド5710以降でのみ利用できます。

パスワード リセット リスナーは、アカウントのパスワードをPAM360リポジトリで変更またはリセットする時に必ず、あなたが呼び出すことができるスクリプトまたは実行ファイルです。このパスワード リセット リスナーは、ローカルパスワード変更にも、およびリモートパスワードリセットがPAM360ですぐにサポートされていないリソースにも、呼び出すことができます。ユーザー定義のリソース タイプを含むリソース タイプごとにリスナー スクリプトを個別に構成できます。

  • パスワード リセット リスナー スクリプトは、呼び出し元のオペレーティング システムのコマンド プロンプトから行う場合と同様の方法で呼び出されます。
  • スクリプトをコマンド プロンプトから呼び出すために別のプログラムが必要な場合は、そのスクリプトの[プレコマンド]として指定できます (たとえば、[cscript c:\scripts\changepassword.vbs old_password new_password])。
  • デフォルトでは、リソース名、DNS 名、アカウント名、古いパスワード、新しいパスワードのパラメータが引数としてスクリプトに渡されます。
  • スクリプトの呼び出し時に、テキスト フィールド[追加パラメータ]に対して指定した順序で引数を指定することにより、追加の引数を追加することもできます。

スクリプトは、PAM360 Serverが実行されているユーザーアカウントと同じ権限で実行されます。セキュリティ上の理由から、デュアルコントロールメカニズムが実装され、これにより、2人の管理者が、PAM360に呼び出される前に、スクリプトを表示および承認します。PAM360は、両管理者から承認されないかぎり、スクリプトを呼び出すことはありません。例えば、1人の管理者がパスワード リセット リスナーを追加または編集する場合、PAM360は、もう1人の管理者に承認されないかぎり、スクリプトを呼び出すことはありません。そのため、パスワード リセット リスナーに関連する追加/編集/削除操作は、PAM360で1人の管理者の承認のみで、正常に実行することができます。この操作は将来の参照のために監査されることもあります。

パスワード リセット リスナーは、個別スレッドで呼び出されるため、PAM360のパスワードリセットプロセスに影響することがありません。追加されたリスナー スクリプトは、他の情報と同じデータベースに保存されます。これで、PAM360データベースに構成される場合、セキュリティにもなり、またバックアップもできます。

パスワード リセット リスナーを設定するには、

  1. [管理] >> [カスタマイズ] >> [パスワード リセット リスナー] に移動します。
  2. [パスワード リセット リスナー] ウィンドウが開きます。[リスナーを追加]をクリックします。
  3. 前述したように、パスワード リセット リスナー スクリプトは、呼び出し元のオペレーティング システムのコマンド プロンプトから行う場合と同様の方法で呼び出されます。スクリプトをコマンドプロンプトから呼び出すために別のプログラムが必要な場合は、そのスクリプトのプレコマンド として指定できます(例えば、「cscript c:\scripts\changepassword.vbs old_password new_password」)
  4. リスナーの名前を入力します。次に、リスナー スクリプトを参照して追加します。
  5. 追加引数のパスが必要な場合、テキストフィールド追加パラメーターで指定して、追加引数を追加できます。指定された追加パラメータは、スクリプトの呼び出し時に、指定された順序でスクリプトに渡されます。
  6. スクリプトの実行オーダーを選択します。これにより、ユーザーはパスワードのリセットの前または後にスクリプトを実行することを決定できます。
  7. 変更を適用するリソースタイプを指定し、他の管理者に承認要求を送信することもできます。
  8. 次に、実行モードを選択します。エージェントレス、エージェント、およびエージェントレスとエージェントを選択できます。
    1. エージェントレスモードを選択した場合、スクリプトは、PAM360 Serverで実行されます。
    2. エージェントを選択した場合、スクリプトはエージェントマシンで実行されます。
    3. エージェントレスとエージェントモードを選択した場合、スクリプトは、初めにPAM360 Serverで実行され、それが失敗した場合、エージェントマシンで実行されます。
  9. 必要な詳細を追加した後、承認要求を送信するための管理者をドロップダウンから選択します。選択した管理者に承認要求を通知するメールが送信されます。
  10. [保存]をクリックします。
password-reset-listener

3.パスワード リセット リスナーを追加できるのは誰ですか?

リスナーは、PAM360管理者のみが追加できます。さらに、追加されたすべてのリスナーは、任意のスクリプトの呼び出しに関連する潜在的なリスクを防ぐために、2 番目の管理者によって承認される必要もあります。したがって、管理者によってリスナーが作成および保存されると、同じリスナーが承認を得るために別の管理者に送信されます。承認要求を通知するメールが 2 番目の管理者に送信されます。

最近追加されたパスワード リセット リスナーを承認するには、

あなたが管理者で、別の管理者があなたにリスナーの承認を要求する場合は、以下を行う必要があります;

  1. [管理] >> [カスタマイズ] >> [パスワード リセット リスナー] に移動します。
  2. 承認する必要があるリスナーの横にある[承認ステータス]列の下のリンクをクリックします。
  3. 承認すると、リスナーが有効になります。

リスナーの作成、編集、削除、承認イベントはすべて監査されます。

4.カスタム リスナー

リセットリスナーに加え、PAM360では、「カスタムリスナー」から各自の実装を行うことができます。カスタムリスナーでは、基本的に、各自のリスナー実装クラスを入力でき、これで、PAM360があなたが入力したリスナースクリプトを実行するのではなく、ポストパスワードリセットのフォローアップ操作を柔軟に実行できます。これにより、パスワード リセット後のフォローアップ アクションを実行するための完全な柔軟性が提供されます。

カスタムリスナーをどのように作成するのですか?

カスタム リスナーの作成に含まれる手順の概要:

手順1:各自の実装クラスを書き込む

PAM360ListenerInterfaceを実装します(参照実装の詳細は以下をご覧ください)。

手順2:PAM360 GUI:での構成

PAM360 GUIで実装クラスにエントリを追加します。

手順3:実装クラスを.jarとしてアーカイブ格納し、PAM360に入れます

手順4:PAM360を再起動します

5.参考実装

リスナーの各自実装をPAM360で行う方法について説明するため、下に参照実装を提示します。この実装は、リセット リスナーを使用して PowerShell スクリプトを実行するためのものです。

手順1 - 実装クラスを書き込む:

下で説明のとおり、PAM360ListenerInterface.javaを実装する各自クラスを書き込む必要があります。

public interface PAM360ListenerInterface {
static final Logger LOG = Logger.getLogger(PAM360ListenerInterface.class.getName());
public String executeListener(Properties resourceProps, Properties accountProps, String listenerFilePath, String oldPassword) throws Exception;}

クラスは、リソースのプロパティ(PAM360のリソースとプロパティ)が引数として取得されるように、実装できます。たとえば、[リソース名]が必要な場合は、次のようにする必要がある場合があります:

resourceProps.get("RESOURCENAME")

以下に一覧表示されているキーのリストから任意のプロパティの値を取得できます。

リソースのプロパティ (resourceProps)

  • RESOURCENAME -PAM360に追加したリソースの名前
  • IPADDRESS - リソースのDNS名または IPアドレス
  • RESOURCEURL - リソースに構成されたリソース URL
  • DOMAINNAME - リソースのタイプが WindowsDomain の場合のドメイン名
  • SSHPORT - デバイスが SSH 経由で接続できる場合の SSH ポート
  • RESOURCEDESC - リソースの説明
  • LOCATION -リソースの場所
  • DEPARTMENT -リソースが属する部門
  • すべてのリソースのカスタム列名 (ラベル名がキーになります)

アカウントのプロパティ (accountProps)

  • DESCRIPTION - アカウントの説明
  • LOGINNAME -PAM360に追加したユーザーアカウントのログイン名
  • PASSWORD - このユーザーアカウントのパスワード
  • DOMAINNAME -アカウントがドメインアカウントの場合はドメイン名
  • COMPLIANTSTATUS - パスワードがPAM360で構成したパスワードポリシーに準拠しているかのステータスを提供します
  • COMPLIANTREASON -パスワードがパスワードポリシーに準拠していない場合の理由
  • EXPIRYSTATUS - アカウントのパスワードの有効期限のステータス
  • PASSWRDSYNCSTATUS -パスワードがリモートリソースで設定するパスワードと同期している場合の情報を提供します
  • すべてのアカウントのカスタム列名 (ラベル名がキーになります)

その他の引数

  • listenerFilePath - リスナーとして呼び出すスクリプト/ファイルのパス。手順5でリスナーをPAM360で構成しているときに、スクリプト/ファイルを提供するオプションもあります。
  • oldPassword - 古いパスワードを実装クラスに渡してパスワードのリセットを実行します

PowerShell スクリプトを実行するサンプル実装

public class PowerShellListener implements PAM360ListenerInterface {
public String executeListener(Properties resourceProps, Properties accountProps, String listenerFilePath, String oldPassword) throws Exception {
String message = "Executed Successfully";// used for audit reason
// got the properties
// call the powershell script}}

手順2:PAM360 GUI:での構成

PAM360 GUIに実装クラスのエントリを追加します。この実行のため、[管理者] >> [パスワード リセット リスナー] >> [リスナーを追加]の順に移動し、開いたGUIで、タブ[カスタムリスナー]をクリックし、続いて、リンク[新規追加]をクリックします。以下の詳細を入力します:

  1. [管理] >> [カスタマイズ] >> [パスワード リセット リスナー] に移動します。
  2. [リスナーを追加]をクリックします。
  3. 開いたポップアップで、カスタムリスナータブの[新規追加]をクリックし、詳細を入力します。
  4. 新しい実装クラスの名前を入力し、独自の実装クラスを追加します。
  5. 実装クラスのエントリを追加し、説明に実装クラスに関する情報も入力します。
  6. 適切な拡張子を付けてリスナー スクリプトの名前を入力し、リスナー スクリプトを参照して見つけます。
  7. 変更を適用するリソース タイプを指定し、他の管理者に承認要求を送信することもできます。
  8. 承認要求を送信するためのドロップダウンから管理者を選択します。承認要求を通知するメールが管理者に送信されます。
  9. [保存]をクリックします。

手順3:実装クラスを.jarとしてアーカイブ格納し、PAM360に入れます

実装クラスは、.jarに変換して、<PAM360-Installation Folder>/libディレクトリに入れる必要があります。

手順4:PAM360を再起動します

上の手順を完了後、PAM360を再起動して、この実装を有効にします。

password-reset-listener

6.よくある質問

  1. パスワード リセット リスナーを管理するカスタム役割をどのように作成しますか?

    パスワード リセット リスナーを管理するには、ユーザーは、リソースへの追加編集許可と、[PAM360エージェントをダウンロード]への許可が必要です。以下の手順に従ってください:

    1. [管理] >> [カスタマイズ] >> [役割]に移動します。
    2. [役割の追加]をクリックします。表示されるポップアップで、
      1. 名前説明を記載します。
      2. [パスワード] >> [リソース] をクリックし、[追加][編集] を有効にします。
      3. [カスタム設定]をクリックし、[PAM360エージェントをダウンロード][パスワード リセット リスナーを管理]を有効にします。
    3. パスワード リセット リスナーを管理する役割が正常に作成されました。
  2. パスワード リセット リスナーで使用できる実行モードは何ですか?

    パスワード リセット リスナーでは次の 2 つの実行モードを使用できます: 前モードと後モード。パスワード リセット前モードでは、パスワード リセット アクションの前にスクリプトが実行され、パスワード リセット後モードでは、パスワード リセット アクションの後にスクリプトが実行されます。

  3. パスワード リセット リスナーで構成されたリソースに関するレポートはありますか?

    はい、[レポート] >> [クエリ レポート] >> [リソース] に移動し、[パスワード リセット リスナー]を検索します。
    このレポートには、パスワード リセット リスナーで構成されたリソースのリストが含まれます。

  4. PAM360ビルド5710にアップグレードした後、既存のリスナーにはどのモードが適用されますか?

    デフォルトでは、リスナーは実行順序が事後エージェントレス モードに設定されます。