Password Manager Proの始め方

動作要件の確認およびPassword Manager Proセットアップのインストールが完了後、Password Manager Proアプリケーションを使用開始できます。本ドキュメントでは、異なるオペレーティングシステムでのPassword Manager Proの起動およびシャットダウン、Password Manager Pro Webクライアントへの接続、グループ管理サービスアカウント(gMSA)を用いたサービスの実行および管理、Webサーバー証明書の更新など、Password Manager Proの初期設定について簡単にご紹介します。また、Password Manager Proの暗号化鍵を管理およびローテーションし、システム環境内のユーザーやスクリプトがアクセスできないように、管理及びローテーションすることの重要性を説明します。


本ページでは、以下の各項目について説明します。

  1. Password Manager Proの起動およびシャットダウン

      2. 1.1 Windows

      1.2 Linux

  2. Password Manager Pro Webクライアントの起動
  3. グループ管理サービスアカウントを使用したPassword Manager Proサービスの実行
  4. Password Manager Pro暗号化鍵の管理
  5. 暗号化鍵のローテーション
  6. Password Manager Pro Webコンソールを使用したWebサーバー証明書の更新

1. Password Manager Proの起動およびシャットダウン

1.1 Windows

スタートメニューから トレイアイコンから
  1. [スタート]を右クリック→[ファイル名を指名して実行(R)]へ移動するまたは、[Windows]キーと[R]キーを同時に押します。[実行]ボックスが表示されます。services.mscと入力し、[Enter]キーを押します。
  2. Password Manager Proサービスを見つけます。
  3. サービスコンソールからサービスを起動、停止または再起動できます。
  1. システムにPassword Manager Proが正常にインストールされると、タスクバーの右側のタスクトレイにアイコン
    devextrayicon
    が表示されます。
  2. トレイアイコンを右クリックし、希望する操作をクリックします。
    • Start PMP Service
    • Stop PMP Service
    • PMP Web Console

1.2 Linux

スタートアップサービスとしてPassword Manager Proをインストール サービスの起動および停止
  1. ルートユーザーとしてログインします。
  2. コンソール画面を開き、<PMP_インストールディレクトリ>/binディレクトリに移動します。
  3. sh PMP.sh installを実行します(Ubuntuでは、bash pmp.sh installを実行します)。
  4. アンインストールする際は、sh pmp.shremoveを実行します。

Linuxで、Password Manager Proをサービスとして起動する手順

  1. 非rootユーザーとしてログインします。
  2. /etc/init.d/pmp-service startを実行します。
  3. Password Manager Proサーバーは、サービスとしてバックグラウンドで実行されます。

Linuxで、Password Manager Proサーバーをサービスとして停止する手順

  • 非rootユーザーで、 /etc/init.d/pmp-service stopを実行します。

ビルド12420以降では、以下の手順となります。

Linuxで、Password Manager Proをサービスとして起動する手順

  1. rootユーザーとしてログインします。
  2. systemctl start pmp.serviceを実行します。
  3. systemctl status pmp.serviceを実行し、サービスの状態を確認します。

Linuxで、Password Manager Proサーバーをサービスとして停止する手順

  • systemctl stop pmp.serviceを実行します。

1.2.i Password Manager Proサービスを「systemd」ソフトウェアスイートに変更する(ビルド12420以降に適用されます)

ビルド12420以降、デフォルトでassword Manager Proサービスは、サービスの並列処理やその他サービス機能を利用するために「systemd」ソフトウェアスイートにインストールされます。ただし、既存ユーザーにおいて、サービス変更を選択しない限りは、サービスは「initd」プロセス制御システムのままとなります。既存ユーザーで、サービスを「systemd」ソフトウェアスイートに変更したい場合の手順は以下の通りです。

  1. rootユーザーとしてログインします。
  2. コンソール画面を開き、<PMPインストールディレクトリ>/binディレクトリに移動します。
  3. sh pmp.sh removeを実行(Ubuntuでは、bash pmp.sh removeを実行)し、「initd」プロセス制御時ステムからサービスを削除します。
  4. サービスを「systemd」ソフトウェアスイートに再インストールするため、sh pmp.sh installを実行します(Ubuntuでは、bash pmp.sh installを実行します)。
  5. 次に、systemctl start pmp.serviceを実行します。
  6. サービスの状態を確認するために、systemctl status pmp.serviceを実行します。

2.Password Manager Pro Webクライアントの起動

Password Manager Pro Webクライアントに接続する方法はいくつかあります。

2.1 自動でブラウザを起動

Password Manager Proのインストールが完了しサーバーが起動すると、ブラウザウィンドウにPassword Manager Proのログイン画面が表示されます。Password Manager Proはセキュリティ保護されたHTTPS接続を使用するため、セキュリティ証明書を適用するよう求められます。[はい]をクリックし、ログイン画面で[ユーザー名]および[パスワード]を入力し、[Enter]キーを押下します。初回ログイン時の場合、デフォルトのユーザー名/パスワードadmin/adminです。サーバーが起動するたびに、ブラウザが自動的に起動します。

2.2 手動でWebクライアントを起動

Windows:

Password Manager Proのトレイアイコンを右クリックし、PMP Web ConsoleをクリックしてWebクライアントを手動で起動します。ブラウザウィンドウにPassword Manager Proのログイン画面が表示されます。Password Manager Proはセキュリティ保護されたHTTPS接続を使用するため、セキュリティ証明書を適用するよう求められます。[はい]をクリックし、ログイン画面で[ユーザー名]および[パスワード]を入力し、[Enter]キーを押下します。初回ログイン時の場合、デフォルトのユーザー名/パスワードadmin/adminです。サーバーが起動するたびに、ブラウザが自動的に起動します。

Linux:

ブラウザを開き、以下のURLに接続します。

https://<ホスト名>:ポート番号/

ここで、

ホスト名とは、Password Manager Proサーバーが起動しているホストの名前です。

ポート番号は、デフォルトでは7272です。

例:https://localhost:7272

2.3 リモートホストでWebクライアントに接続

Password Manager Proが起動しているマシンとは異なるリモートマシンから、Password Manager ProのWebクライアントとに接続する場合、ブラウザを開いて以下のURLに接続します。

https://<ホスト名>:ポート番号

Password Manager Proはセキュリティ保護されたHTTPS接続を使用するため、セキュリティ証明書を適用するよう求められます。[はい]をクリックし、ログイン画面で[ユーザー名]および[パスワード]を入力し、[Enter]キーを押下します。初回ログイン時の場合、デフォルトのユーザー名/パスワードadmin/adminです。サーバーが起動するたびに、ブラウザが自動的に起動します。

3. グループ管理サービスアカウントを使用して、Password Manager Proサービスを起動

Password Manager Prでoはサービスの起動/管理に、グループ管理サービスアカウント(gMSA)を使用できます。gMSAの詳細については、Microsoftのドキュメントを参照してください。

グループ管理サービスアカウントを作成する手順は以下の通りです。

  1. 管理者として、Powershell ISEを開きます。
  2. 以下のコマンドを実行します。
    1. Import-Module ActiveDirectory
    2. Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
    3. New-ADServiceAccount -Name <MSA_AccountName> -DNSHostName <DNSNAme> -PrincipalsAllowedToRetrieveManagedPassword <Machine_Name>$
    4. Add-ADComputerServiceAccount -Identity -ServiceAccount
    5. Install -ADServiceAccount -Identity <MSA_AccountName>
  3. インストールディレクトリにフルコントロール権限を付与します。
  4. ログオンサービスを設定する手順は以下の通りです。
    1. [サービス]→[プロパティ]→[ログオン]に移動します。
    2. 参照からMSAアカウントを選択します。
    3. [パスワード]フィールドを空にして、[適用]をクリックします。
    4. [OK]をクリックします。

      5. 以上で、ログオンサービスが正常に設定されます。


グループ管理サービスアカウント(gMSA)が正常に作成されると、そのアカウントを使用しPassword Manager Proサービスを起動できます。

トラブルシューティング:

サービスアカウントをインストールできない場合、インストールステートメントを実行する前に、以下のコマンドを実行してください。

Set-ADServiceAccount -Identity <MSA_AccountName> -KerberosEncryptionType AES128,AES256

msa-1

4. Password Manager Proの暗号化鍵の管理(ビルド6402から適用されます)

Password Manager Proは、パスワードデータベース内のパスワードやその他の機密情報を保護するために、AES-256暗号化を使用します。暗号化に使用される鍵は自動生成され、インストールごとに一意です。デフォルトでは、暗号化鍵は<PMP_インストールディレクトリ>/confフォルダ配下に、pmp_key.keyというファイル名で保存されています。本番インスタンスのPassword Manager Proでは、インストールディレクトリに暗号化鍵を保管できません。これは、実行中およびバックアップの両方のデータベース上に、暗号化鍵と暗号化データの両方が存在することを防止するためです。


暗号化鍵を、Password Manager Proがインストールされたマシンの外部、例として、その他のマシンや外部ドライブに移動し保管することを強くお勧めします。pmp_key.keyファイルを移動するフォルダのフルパスを指定し、手動でファイルをその場所に移動しPassword Manager Proサーバーのインストールディレクトリから該当のファイルを削除できます。パスは、ネットワークドライブまたは、外部USB(ハードドライブ/サムドライブ)を指定できます。


Password Manager Proは、<PMP_インストールディレクトリ>/conf配下のmanage_key.confという設定ファイルの中に、pmp_key.keyを保存します。鍵ファイルの場所を直接編集し、変更することも可能です。フォルダの場所を確認後、pmp_key.keyファイルを指定の位置に移動し、Password Manager Proのインストールディレクトリのどこにもファイルや鍵の値が保管されていないことを確認します。


Password Manager Proは起動するたびに、pmp_key.keyファイルを読み込むため、pmp_key.keyフォルダへアクセスできる必要があります。起動に成功すると、ファイルにアクセスする必要はなくなり、ファイルが保管されているデバイスはオフラインにすることができます。

重要事項:

  1. 常に、複数の暗号化レイヤー(Windowsのファイル暗号化システムの使用など)とアクセス制限を用いて、鍵を安全に保護してください。
  2. Password Manager Proアプリケーションのみがこの鍵を使用するため、いかなる状況でもその他のソフトウェア、スクリプトまたは人物がアクセスできないようにしてください。
  3. pmp_key.keyファイルのバックアップを取得する際は、十分注意してご自身で行ってください。この鍵が存在する場合にのみ、Password Manager Proの復元が可能です。鍵を誤った場所に保管したり紛失した場合、Password Manager Proは起動しません。
  4. database_params.confファイルを別の場所に保管する場合、アプリケーションのアップグレードを実行するたびに、ファイルを元の場所(<PMP_インストールディレクトリ>/conf/)にコピーしなおす必要があります。

5. 暗号化鍵のローテーション

暗号化鍵をPassword Manager Proの外部で安全に管理する場合でも、暗号化鍵を定期的に変更することがベストプラクティスです。Password Manager Proには、自動で暗号化鍵をローテーションする簡単なオプションがあります。

5.1 鍵のローテーションプロセスはどのように機能しますか?

Password Manager Proは、<PMP_インストールディレクトリ>/confフォルダ配下のmanage_key.confファイルで指定されたパスに存在する、pmp_key.keyファイルにある暗号化鍵を検索します。指定のパスに鍵が存在する場合にのみ、ローテーションプロセスは継続されます。暗号化鍵のローテーションを実行する前に、Password Manager Proは全データベースのコピーを作成します。これは、万が一ローテーションプロセス中に問題が発生した場合に、データの損失を防ぐためです。


鍵のローテーションプロセス中に、すべてのパスワードと機密情報は、はじめに現在の暗号化鍵により複合され、そのあとに新しい鍵によって暗号化されます。その後、新しい鍵はmanage_key.confで指定された場所に存在するpmp_key.keyファイルに書き込まれます。鍵のローテーションが成功すると、Password Manager Proは古い鍵が含まれた同じ名前のファイルに、新しい暗号化鍵を書き込みます。鍵の書き込み中に何らかのエラーが発生した場合、ローテーションプロセスは中止されます。

5.2 暗号化鍵をローテーションする手順(高可用性を使用していない場合)

  1. manage_key.confファイルで指定された場所に、現在の暗号化鍵(pmp_key.key)が存在するか確認します。また、Password Manager Proはpmp_key.keyにアクセスする際に、読み込み/書き込み権限を有していることを確認します。
  2. Password Manager Proサーバーを停止します。
  3. コマンドプロンプトを起動し、<PMP_インストールディレクトリ>/binディレクトリに移動します。WindowsであればRotateKey.bat、Linuxであればsh RotateKey.shを実行します。
  4. 管理しているパスワードの数やその他のパラメータに左右されますが、数分でローテーションプロセスが完了します。
  5. 確認メッセージの表示後に、Password Manager Proサーバーを起動します。

5.3 暗号化鍵をローテーションする手順(高可用性を使用している場合)

  1. Password Manager ProのWebインターフェース上で、[管理]タブ→[設定]→[高可用性]へ移動します。高可用性とレプリケーションステータスがアクティブであることを確認します。
  2. manage_key.confファイルで指定された場所に、現在の暗号化鍵(pmp_key.key)が存在するか確認します。また、Password Manager Proはpmp_key.keyにアクセスする際に、読み込み/書き込み権限を有していることを確認します。
  3. プライマリサーバーを停止し、セカンダリサーバーは起動している状態にします。
  4. プライマリサーバーのマシンでコマンドプロンプトを開き、<PMP_インストールディレクトリ>/binディレクトリに移動し、WindowsであればRotateKey.bat、Linuxであればsh RotateKey.shを実行します。
  5. 管理しているパスワードの数やその他のパラメータに左右されますが、数分でローテーションプロセスが完了します。ローテーションプロセスが完了すると、確認メッセージが表示されます。
  6. プライマリサーバーのインストールディレクトリから新しい暗号化鍵をコピーし、manage_key.confファイルが指定する場所に貼り付けます。これは、セカンダリサーバーが、pmp_key.keyファイルを取得する場所です。
  7. プライマリサーバーおよびセカンダリサーバーを起動します。

6. Password Manager Pro Webコンソールを使用したWebサーバー証明書の更新

Password Manager ProのWebコンソール画面から、Webサーバー証明書を更新する手順は以下の通りです。

  1. [管理]タブ→[設定]→[サーバー設定]に移動します。
  2. サーバー設定ページが開き、SSL証明書に属する鍵ストアファイルをインポートしたり、デフォルトのPassword Manager Proサーバーのポート番号を変更できます。
  3. SSL証明書を更新するためには、鍵ストアの種別のドロップダウンメニューから、鍵ストアの形式(JKS、PKCS12またはPKCS11)を選択します。
  4. システムから鍵ストアのファイルを参照し、鍵ストアのファイル名フィールドにアップロードします。
  5. 鍵ストアのパスワードフィールドに、鍵ストアのパスワードを入力します。
    6. update-web-server-certificates-1
  6. Password Manager Proサーバーのデフォルトのポート番号を変更する場合、サーバーポートフィールドにポート番号を入力します。
  7. [保存]をクリックします。

変更内容を保存した後、Password Manager Proを再起動します。