インストールと利用開始

コンテンツ

概要

ManageEngine Password Manager Pro

Password Manager Pro(PMP)のインストール方法および必要なソフトウェアやシステム要件について説明します。

必要なソフトウェア

PMPを使用するために必要なソフトウェアは以下となります。

  • 外部のSMTPサーバー(ユーザーに通知するために必要です)
  • Microsoft .NET frameworkとVisual Studio 2015 C++ 再頒布可能パッケージ (サーバーのアカウント検出やパスワード変更に必要です)

システム要件

PMPを動作させるためのハードウェアやソフトウェアは以下となります。

ハードウェア OS ブラウザ ソフトウェア要件

プロセッサ

  • Dual Core/Core2Duo 以上

RAM

  • 4 GB 以上

ハードディスク

  • 200 MB 以上(製品用)
  • 10 GB 以上(データベース用)

注意:セッションを録画する場合には、録画量に応じて必要なディスク容量は異なります。

Windows

  • Windows Server 2016
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 10

Linux

  • Ubuntu 9.x and above
  • CentOS 4.4 and above
  • Red Hat Linux 9.0
  • Red Hat Enterprise Linux 7.x
  • Red Hat Enterprise Linux 6.x
  • Red Hat Enterprise Linux 5.x
  • PMPは基本的にどのLinuxディストリビューションでも動作します。

注意: Password Manager Proは仮想上でも動作可能です。

HTMLクライアントとして以下のブラウザをサポートしています

  • IE 11以上
  • Chrome, Firefox, Safari

** Password Manager Proは、1280 x 800以上の解像度が最適です。

データベース

  • PostgreSQL(製品にバンドル済み)
  • Microsoft .Net framework 4.5.2以上をPMPサーバーにインストールする必要があります。
  • Microsoft Visual C++ 2015 再頒布可能パッケージをPMPサーバーにインストールする必要があります。

PMPのコンポーネント

  • PMPサーバー
  • PMPエージェント(エージェントを使用する場合)
  • PostgreSQL(PMPにバンドルしており、同一ホスト上からの接続のみを受け付ける設定のため、外部から接続できません。

PMPのインストール

Windows

  • ManageEngine_PMP.exe をダウンロードし、実行します。
  • インストレーション ウィザードが起動します。
  • インストール先のフォルダを選択します。デフォルトではC:/ManageEngine/PMP にインストールされます。そのため、本手順書では、インストールフォルダのパスは[PMP_Home]と表記します。
  • 最後に、2つのチェックボックスが表示されます。ReadMeファイルを表示するオプションとインストール終了後にサーバー起動するオプションです。サーバーはバックグラウンドで動作します。
  • サーバーをすぐに起動しない場合、インストール後に [スタート] >> [プログラム] >> [ManageEngine Password Manager Pro] から起動することができます。
  • スタートメニューより、サーバーの停止やアンインストールなどを行うことができます。

Linux

  • ManageEngine_PMP.bin をダウンロードします。
  • 次のコマンドを実行して、ダウンロードしたファイルに 実行権限 を与えます: chmod a+x [インストーラーファイル名]
  • 次のコマンドを実行します:./[インストーラー ファイル名]
  • ヘッドレスサーバーにインストールする場合、次のコマンドを実行します:./[インストーラーファイル名] -i console
  • 画面に表示される指示に従って作業を進めます。
  • 指定したディレクトリにPMPがインストールされます。本手順書では、インストール先ディレクトリを[PMP_Home]と表記します。

PMPサービスの開始/停止

Windows

スタートメニューを使用 トレイアイコンを使用

[スタート] >> [プログラム] >> [Password Manager Pro]から、次の操作が可能です:

  • PMPサービスの開始
  • PMPサービスの停止
  • トレイアイコンの起動
  • ヘルプ ドキュメントの表示
  • 製品のアンインストール

PMPをインストールすると、タスクバーのタスクトレイにPMPのアイコン が常駐します。

トレイアイコンを右クリックするとメニューが表示され、次の操作が可能です:

  • PMPサービスの開始
  • PMPサービスの停止
  • PMP Webコンソール

Linux

スタートアップサービスとしてインストール サービスとしてサーバーを開始/停止する
  • root ユーザーとしてログイン
  • コンソールを開き、[PMP_Home]/bin ディレクトリに移動します。
  • コマンドsh pmp.sh installを実行します。(Ubuntuの場合 bash pmp.sh installを実行します)
  • 製品をアンインストールする場合は、sh pmp.sh removeを実行します。

LinuxでサービスとしてPMPを起動

  • root ユーザーとしてログインします。
  • コマンド /etc/rc.d/init.d/pmp-service start を実行します。
  • PMPサーバーがバックグラウンドでサービスとして起動します。

Linuxでサービスとして起動したPMPサーバーを停止する

  • root ユーザーで、コマンド /etc/rc.d/init.d/pmp-service stop を実行します。

Webインタフェースへの接続

自動でブラウザが起動する

PMPサーバーが開始すると、ブラウザが自動的に起動し、PMPのログイン画面が表示されます。HTTPS経由の接続のため、最初にセキュリティ証明書を承諾する画面が表示されます。証明書を承諾し、ログイン画面でユーザー名とパスワードを入力します。そして[Enter]を押します。インストール時の既定では、既定のユーザー名は[admin]で、パスワードも [admin]です。サーバーを開始すると、毎回ブラウザが自動起動します。

Webクライアントを手動で起動する

Windowsの場合、タスクトレイのトレイアイコンからWebクライアントを起動することができます。PMPトレイアイコンを右クリックし、[PMP Webコンソール]を選択します。ブラウザが起動し、PMPログイン画面が表示されます。HTTPS経由の接続のため、最初にセキュリティ証明書を承諾する画面が表示されます。証明書を承諾し、ログイン画面でユーザー名とパスワードを入力します。そして[Enter]を押します。インストール時の既定では、既定のユーザー名は[admin]で、パスワードも[admin]です。サーバーを開始すると、毎回ブラウザが自動起動します。

Linuxの場合、ブラウザを起動し、次のURLに接続します:

https://[ホスト名]:[ポート番号]/

ホスト名 - Password Manager Proサーバーが稼働しているホスト。[ポート番号] - 既定では 7272 です。

例:https://localhost:7272

リモート ホスト上のPMP Webクライアントに接続する

異なるマシンで動作中のPMPのWebクライアントに接続する場合、ブラウザを起動して次のURLに接続します:

https://[ホスト名]:[ポート番号]/

HTTPS経由の接続のため、最初にセキュリティ証明書を承諾する画面が表示されます。証明書を承諾し、ログイン画面でユーザー名とパスワードを入力します。そして[Enter]を押します。インストール時の既定では、既定のユーザー名は[admin]で、パスワードも[admin]です。サーバーを開始すると、毎回ブラウザが自動起動します。

Microsoft SQL Serverをバックエンドに使用する

(この機能は、Premium Editionでのみサポートされています。)

PMPのバックエンド データベースとして、PostgreSQL、MySQL、Microsoft SQL Serverをサポートしています。PMP製品にはPostgreSQLデータベースがバンドルされており、既定ではこのPostgreSQLで動作する設定になっています。MSSQLデータベースを使用したい場合、次の手順に従ってください;

重要メモ

  • Microsoft SQL Serverをバックエンド データベースとしてサポートしているのは、PMPバージョン 6400以降です。6400より古いバージョンのPMPは、SQL Serverを使用することができません。
  • 古いバージョンのPMPでMySQLをバックエンド データベースとして使用している場合は、データ移行がサポートされています。

SQL Serverを使用する手順

高度な安全性を確保するため、PMPとSQL Serverとの接続には、SSLを使用します。

手順の概要:

  1. SSL証明書を作成し、SQL Serverが動作しているマシンのWindows証明書ストアに証明書をインストール
    • サードパーティCAによる署名済み証明書を取得するか、または自己署名証明書を使用します。
  2. SSL証明書をPMPにインポート
  3. SQL ServerのSSL暗号化機能を有効
  4. PMPをSQL Serverに接続する設定

ステップ 1 & 2:SSL証明書を作成し、SQL Serverが動作しているマシンのWindows証明書ストアに証明書をインストール

PMPをSQL Serverに接続する前に、SQL ServerのSSL暗号化オプションを有効にする必要があります。SSL証明書を作成し、認証局(CA)の署名を取得します。あるいは、自己署名の証明書を使用することもできます。

オプション 1:

証明書を作成し、サードパーティCAの署名を取得する:

秘密鍵を生成し、証明書を作成するという2つのプロセスを経て、OpenSSLを使用して証明書を作成することができます。証明書を作成するコマンドは次の通りです。

秘密鍵の生成

openssl genrsa -des3 -out server.key 2048

証明書署名要求を作成する

サーバーの秘密鍵を使用して証明書要求を作成します。次のコマンドを実行して、プロンプトの要求に応じて鍵のパスフレーズ、共通名、ホスト名(IPアドレス)を入力します:

openssl req -new -key server.key -out server.csr

共通名には、SQL ServerのFQDNを使用してください。

  • 証明書を生成したら、サードパーティCA(VeriSign、 Thawte、 RapidSSLなど)の署名を受けるか、自己署名を行います。次の手順より、2つの署名方法について説明します;状況に応じ、適した手順を一つ選んでご利用ください:
  • 著名なCAには、Verisign (http://verisign.com)、 Thawte (http://www.thawte.com)、 RapidSSL (http://www.rapidssl.com) などがあります。各機関のWebサイトあるいはドキュメントを確認し、CSRの送信とCAに支払う料金などをご確認ください。
  • 処理には通常、数日かかります。処理が終わると、署名された サーバーSSL証明書CAのルート証明書(.cer ファイル)が送られてきます。
  • サーバー証明書は、SQL Serverが動作しているマシンにインストールします。CAルート証明書は、PMPサーバーにインストールします。

サーバー証明書をSQL Serverが動作しているマシンにインストールしてください。次に示すように、MMCスナップインを使用してインストールすることができます。

  • (SQLサーバーが動作しているマシン上で、)[スタート] >> [ファイル名を指定して実行]より、MMCコンソールを起動します。"ファイル名を指定して実行" のフィールドに次のコマンドを入力して実行します:MMC
  • コンソールメニューで、 [ スナップインの追加と削除]を選択します。[追加]をクリックし、ダイアログボックスが開いたら、左のリストから[証明書]をクリックします。[追加]を再びクリックします。スナップインを開くアカウントを選択する画面が表示されます(ユーザー アカウント/サービス アカウント/コンピューター アカウント)。[コンピューター アカウント] を選択します。
  • ツリーの [証明書(ローカル コンピューター)] >> [個人] >> [証明書] を選択します。
  • [証明書]を右クリックし、[すべてのタスク] >> [インポート]を選択します。
  • ウィザードに従い、インポートする証明書ファイルを選択します。

CAのルート証明書をPMPにインストールする

  • CAのルート証明書をコピーし、 [Password Manager Pro Installation Folder ]/binディレクトリに配置します。
  • [Password Manager Pro Installation Folder]/binディレクトリより、次のコマンドを実行します:importCert.bat[上記手順で配置したルート証明書の名前]

  • 証明書がPMPの証明書ストアに追加されます。

オプション 2:

自己署名証明書を作成する

自己署名証明書を作成して使用する場合、SQL Serverがインストールされているマシン上で 次の手順を実行します:

自己署名証明書を作成するには、証明書作成ツール makecert.exe を使用し、作成した証明書をSQL Serverが動作しているマシンにインストールします。

  • SQLサーバーがインストールされているマシン上で次のコマンドを実行します:makecert.exe -r -pe -n "CN=pmptestlab.manageengine.com"-b 01/01/2011 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange pmptestlab.manageengine.com.cer;CNの欄には、入力pmptestlab.manageengine.com.を置き換えるSQL ServerのFQDNを入力します。
  • 上記コマンドを実行すると、自己署名証明書がローカル ストアにインストールされます。また、ファイルpmptestlab.manageengine.com.cer 内の証明書も保管します。

サーバー証明書をPMPにインストールする

  • サーバー証明書を [Password Manager Pro Installation Folder]/binディレクトリにコピーします。
  • [Password Manager Pro Installation Folder]/binディレクトリより、次のコマンドを実行します: importCert.bat[サーバー証明書の名前]
  • 証明書がPMPの証明書ストアに追加されます。

ステップ3:SQL ServerのSSL暗号化機能を有効

SQL ServerのSSLを有効化するには、

  • SQL Serverが動作しているマシン上で [スタート]ボタンをクリックします。そして、Microsoft SQL Serverのプログラムグループを開き、[コンフィグレーション ツール] >> [SQL Server 設定マネージャー]を選択します。
  • SQL Serverネットワーク設定を展開し、該当するサーバーの [プロトコル]を右クリックし、[プロパティ] を選択します。(これは、ツール左欄のセクションプロトコルで、右欄の特定プロトコルではありません。)
  • 証明書 タブを開き、証明に使用するデータベース エンジンを設定します。
  • データベース エンジンの [暗号化を強制(ForceEncryption)]オプションを Yes に設定した場合、すべてのクライアント/サーバー間通信は暗号化され、暗号化をサポートしていないクライアントはアクセスを拒否されます。
  • データベース エンジンの [暗号化を強制(ForceEncryption)] オプションを No に設定した場合、暗号化はクライアント アプリケーションによって要求が可能ですが、必須ではありません。
  • [暗号化を強制(ForceEncryption)]の設定を変更した場合、SQL Serverを再起動する必要があります。

より詳細な情報については、Microsoftのナレッジベースのページ "Configuring SSL for SQL Server" ( http://msdn.microsoft.com/en-us/library/ms189067.aspx )を参照してください。

ステップ4:ChangeDB.bat を実行する

重要メモ:既にPMPのバックエンドにMySQLを使用中で、データをSQL Serverに移行する場合、このステップはスキップし 次のセクション に進んでください)

ChanbeDB.bat(Windows)/ChangeDB.sh(Linux)を編集し、SQL Serverの情報をPMPに設定します。

  • [Password Manager Pro Installation Folder]/binフォルダに移動し、次のコマンドを実行します:ChangeDB.bat(Windows) 、sh ChangeDB.sh(Linux)
  • ウインドウが開くので、次の情報を入力します:

    1. SQLサーバーとして、[サーバーの種類]を選択します。
    2. ホスト名:MS SQL Serverがインストールされているマシンのホスト名またはIPアドレス。
    3. インスタンス名:PMPで使用するため、SQLサーバーのインスタンス名を入力します。インスタンス名が入力されないと、PMPは、ポート番号1433で既定のインスタンスとの接続を試みます。
    4. PMPとSQL Server間の通信にはSSLを使用するため、PMP専用のデータベース インスタンスを特定のポート番号で動作させることを推奨します。1433以外のポート番号を使用したい場合、上記ホスト名のパラメーターにおいて、次のように入力してください。[hostname]:[port]

    5. データベース名:PMPデータベースの名称。既定では "PassTrix" です。異なるデータベース名を使用する場合は、この値を書き換えます。PMPはマスター鍵、対称キーの作成を担当します。
    6. 認証:SQL Serverに接続する方法を選択します。WindowsからSQL Serverへ接続する場合、Windowsのシングル サインオン機能を選択し、PMPサービスを実行しているサービス アカウントの資格情報を使用してSQL Serverに接続することが可能です。この場合、オプション "Windows" を選択します。そうでない場合、オプション "SQL" を選択します。"Windows" オプションを使用した場合、認証に使用するユーザー名とパスワードがどこにも保存されないため、"Windows"オプションの利用を推奨いたします。
    7. ユーザー名とパスワード:"SQL" オプションを選択した場合、PMPがデータベースに接続するために使用するユーザー名とパスワードの組み合わせを指定する必要があります。このユーザー名とパスワードの情報は、PMPの database_params.conf ファイルに保存されます。 そのため、ホストの安全性には十分に気をつける必要があります。Windowsからデータベースに接続する場合は、ご自分のWindowsログイン資格情報を使用してデータベースに接続するオプションを選択することもできます。この場合、ユーザー名は[ドメイン名]\[ユーザー名] の形式で記述します。
    8. 暗号化鍵:データをSQL Serverに暗号化して保存するために使用する鍵です。"既定"のままにしておくと、 PMPが鍵を生成します。カスタム鍵を使用したい場合は、"カスタム"を選択します。
    9. "カスタム"オプションを選択した場合:"カスタム"オプションを使用する場合は、新規データベースの作成、マスター鍵の作成、証明書(証明書名になります)の作成、対称キー(AES 256ビットの暗号化)の作成が必要です。次の手順を実行します:データベースの作成 ->詳細については、 http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx を参照してください。マスター鍵の生成 ->詳細については、 http://technet.microsoft.com/en-us/library/ms174382.aspx を参照してください。証明書の作成 ->詳細については、 http://msdn.microsoft.com/en-us/library/ms187798.aspx を参照してください。対象鍵の生成 ->詳細については、 http://msdn.microsoft.com/en-us/library/ms188357.aspx を参照してください。 上記を実行した後、GUI上にて証明書名と対象鍵名を入力してください。

  • 最後に、[テスト]をクリックし、 接続設定が正しいことを確認します。そして、[保存]をクリックします。

重要メモ:

上記手順が完了したら、[Password Manager Pro Installation Folder]/conf ディレクトリを開き、master_key.key ファイルを安全な場所に移動します。SQL Serverは、階層暗号化と鍵管理インフラストラクチャによってデータを暗号化します。そして、証明書、非対称暗号鍵、対称暗号鍵によって各レイヤーの暗号化が行われます。また、サービス マスター鍵とパスワードによって作成されるデータベース マスター鍵を使用します。このパスワードはPMPの[Password Manager Pro Installation Folder]/conf ディレクトリのファイルmaster_key.key に保管されます。この master_key.key ファイルは安全な場所に移動することを強く推奨いたします。これは、データの安全性を高めるためにとても重要なことですので、鍵の安全確保には細心の注意を払ってください。この鍵は、高可用性の設定、およびディザスタ リカバリを実行する場合に必要になります。鍵を紛失してしまった場合、SQL Serverの設定をもう一度はじめからやり直す必要があります。

SQL Serverの暗号化と鍵管理についての詳細は、次のMSDNドキュメントを参照してください: http://msdn.microsoft.com/en-us/library/ms189586.aspx

MySQL/PostgreSQLからSQL Serverへの移行(この機能は、PMPビルド6401以降でサポートされています。)

PMPのバックエンド データベースとして使用しているMySQL/PostgreSQLをSQL Serverに移行する場合、次の手順を実行します。(この手順はMySQLからSQL Serverへの移行のみ行います。SQL Serverをバックエンド データベースとして使用するには、前述の ステップ 1、 2、 3 を完了 している必要があります)

重要メモ:

データベース移行の実行前に、次の注意点をご確認ください:

1.個人用パスワード管理

  • 組織のユーザーがPMPの "個人用パスワード管理" 機能を使用しており、かつPMP以外の場所に保管してある個別の暗号化鍵を使用している場合、上記の移行手順は個人用パスワードを移行しません。ユーザーは個別に "パスワードのエクスポート" オプションを使用するなどして、個人用パスワードのセクションに存在するデータをバックアップするよう、移行前に通知を行う必要があります。

2.バンドルされたデータベースのみ

  • PMPにバンドルされたデータベースを使用している場合にのみ、移行オプションを提供します。外部データベースを使用している場合は、本移行手順は適用できません。

ステップ1:

  • Password Manager Proインストールフォルダ全体のバックアップ コピーを作成し、安全な場所に保管します。データ移行作業中に何かしらの問題が発生した場合、このバックアップ コピーによって元の状態に戻すことができます。
  • PMPサーバーを停止します。また、mysqld / postgres のプロセスが停止していることを確認してください。

ステップ2:

  • [Password Manager Pro Installation Folder]/bin フォルダに移動し、次のコマンドを実行します:MigrateDB.bat(Windows)、sh MigrateDB.sh(Linux):ポップアップした画面で、"ベストプラクティス ガイド(Best Practices Guide)"をまずお読みいただき、次に[移行セットアップに進む(Go to Migration Set Up)]を選択します。

ウインドウが開くので、次の情報を入力します:

  1. ホスト名:MS SQL Serverがインストールされているマシンのホスト名またはIPアドレス。
  2. インスタンス名:PMPで使用するため、SQLサーバーのインスタンス名を入力します。インスタンス名が入力されないと、PMPは、ポート番号1433で既定のインスタンスとの接続を試みます。
  3. PMPとSQL Server間の通信にはSSLを使用するため、PMP専用のデータベース インスタンスを、特定のポート番号で動作させることを推奨します。1433以外のポート番号を使用したい場合、上記ホスト名のパラメーターにおいて、次のように入力してください。[hostname]:[port]

  4. データベース名:PMPデータベースの名称。既定では "PassTrix" です。異なるデータベース名を使用する場合は、この値を書き換えます。PMPはマスター鍵、対称キーの作成を担当します。
  5. 認証:SQL Serverに接続する方法を選択します。WindowsからSQL Serverへ接続する場合、Windowsのシングル サインオン機能を選択し、PMPサービスを実行しているサービス アカウントの資格情報を使用してSQL Serverに接続することが可能です。この場合、オプション"Windows"を選択します。そうでない場合、オプション"SQL"を選択します。"Windows"オプションを使用した場合、認証に使用するユーザー名とパスワードがどこにも保存されないため、こちらの利用を推奨いたします。
  6. ユーザー名とパスワード:"SQL"オプションを選択した場合、PMPがデータベースに接続するために使用するユーザー名とパスワードの組み合わせを指定する必要があります。このユーザー名とパスワードの情報は、PMPの database_params.conf ファイルに保存されます。 そのため、ホストの安全性には十分に気をつける必要があります。Windowsからデータベースに接続する場合は、ご自分のWindowsログイン資格情報を使用してデータベースに接続するオプションを選択することもできます。この場合、ユーザー名は[ドメイン名]\[ユーザー名] の形式で記述します。
  7. 暗号化鍵:データをSQL Serverに暗号化して保存するために使用する鍵です。"既定"のままにしておくと、 PMPが鍵を生成します。カスタム鍵を使用したい場合は、"カスタム"を選択します。
  8. "カスタム"オプションを選択した場合:"カスタム"オプションを使用する場合は、新規データベースの作成、マスター鍵の作成、証明書(証明書名になります)の作成、対称キー(AES 256ビットの暗号化)の作成が必要です。次の手順を実行します:データベースの作成 ->詳細については、 http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx を参照してください。マスター鍵の生成 ->詳細については、 http://technet.microsoft.com/en-us/library/ms174382.aspx を参照してください。証明書の作成 ->詳細については、 http://msdn.microsoft.com/en-us/library/ms187798.aspx を参照してください。対象鍵の生成 ->詳細については、 http://msdn.microsoft.com/en-us/library/ms188357.aspx を参照してください。 上記を実行した後、GUI上にて証明書名と対象鍵名を入力してください。

ステップ3:

  • 最後に[テスト]をクリックし、接続設定が正しいことを確認します。そして[移行]をクリックします。データ移行のステータスが表示されます。
  • データ移行が完了したら、PMPサーバーを開始します。

トラブルシューティングの秘訣

PMPサーバーの動作中にデータベース移行を行うと、DB移行のGUIにおいて次のエラーが発生します:"Server seems to be running. Shutdown PMP server and try again"サーバーを停止してもこのエラーが発生する場合、[PMP-Installation-Folder]/binフォルダにある.lockファイルを手動で削除してから移行を再度お試しください。問題が解決しない場合、PMP技術サポートまで .lockファイルをお送りいただき、ご相談ください。

重要メモ:

移行完了後、PMPサーバーを開始し、[管理] >> [リソース追加フィールド]、および、[管理] >> [アカウント追加フィールド]を開きます。これらのGUIを開き、[保存]をクリックします。この作業により、移行インスタンスで追加された追加フィールドを適用します。

MySQLからPostgreSQLへの移行(この機能は、PMPビルド6801以降でサポートされています。)

PMPのバックエンド データベースとして使用しているMySQLをPostgreSQLに移行する場合、次の手順を実行します。

  • PMPサーバーを停止し、mysqld プロセスが 動作していない ことを確認します。
  • コマンドプロンプトを開き、 [Password Manager Pro Installation Folder]/binディレクトリに移動します。
  • 次のコマンドを実行します:MigrateMySQLToPgSQL.bat(Windows)、MigrateMySQLToPgSQL.sh (Linux)
  • PMPサーバーを開始します。PMPがPostgreSQLをバックエンド サーバーとして動作します。

クイック スタート ガイド

ヘルプ ドキュメントの "PMPの運用方法" のセクションを参照してください。

Password Manager Proはパスワード データベース上のパスワードや他の秘密情報を保護するために、AES-256暗号化を使用しています。暗号化に使用する鍵は自動生成され、インストールごとに一意です。既定では、この暗号化鍵は [PMP_Home]/conf フォルダの pmp_key.key という名前のファイルに保管されます。生成インスタンスにおいて、Password Manager Proは暗号化鍵をインストール フォルダの中に保管することを許可しません。これは、実行中およびバックアップの両方のデータベース上で、暗号化鍵と暗号化データが一緒に常駐しないことを確実にするためです。

この暗号化鍵は、PMPがインストールされたマシンの外に移動し、他のマシンあるいは外部ドライブで保管することを強く推奨します。pmp_key.key ファイルの移動先フォルダのフル パスを入力し、そのフォルダへファイルを手動で移動します。そして、PMPサーバーのインストール フォルダからすべての参照(reference)を削除します。パスはネットワーク ドライブや外部ドライブ(USBハードディスクやUSBメモリ)などのデバイスにマップすることができます。

PMPは pmp_key.key の場所情報を [PMP_Home]/conf フォルダの manage_key.conf ファイルに保管します。このファイルを直接編集して鍵ファイルの場所を変更することも可能です。フォルダの場所を設定したら、pmp_key.key ファイルを設定したフォルダに移動し、ファイルや鍵の値がPMPのインストール フォルダ内に一切残っていないことを確認します。

PMPは、起動毎にpmp_key.key ファイルを読み取るため、pmp_key.key ファイルへの読み取りアクセス権限が必要です。起動に成功すると、ファイルへのアクセスは必要ありませんので、ファイルを格納したデバイスまたはネットワーク ドライブは切り離すことができます。

重要メモ: 鍵は暗号化レイヤー(Windowsファイル暗号化など)やアクセス制御を使用して、十分な保護下に置いてください。この鍵へのアクセスを必要とするのはPMPアプリケーションだけです。いかなる状況においても他のソフトウェア、スクリプト、人などがこの鍵にアクセスすることができないようにしてください。また、pmp_key.key ファイル自体のバックアップを行ってください。この鍵がないと、PMPバックアップを復元することはできません。鍵ファイルの配置が不正だったり、鍵を紛失してしまったりすると、PMPは起動しません。

暗号化鍵のローテーション

(この機能は、Enterprise Editionでのみサポートされています。)

暗号化鍵がPMPの外部で安全に管理されていても、暗号化鍵の定期的な変更はより強力なセキュリティ確保のために必要な最善方法です。PMPでは、自動的に暗号化鍵をローテーションするオプションを提供しています。

ローテーション処理の説明

PMPはまず、pmp_key.key に存在する現在の暗号化鍵を、[PMP_HOME]/conf フォルダの manage_key.conf に記述されているパス情報をもとに検索します。そのパスに鍵が存在する場合のみ、ローテーション処理を継続します。暗号化鍵のローテーションを行う前に、PMPはデータベース全体の複製を行います。これは、ローテーション処理中に発生する不慮の事態によるデータ損失を防ぐためです。

鍵のローテーション処理中、すべてのパスワードと機密データは現在の暗号化鍵を使用して復号化され、引き続き新しい鍵を使用して暗号化されます。後に、新しい鍵は manage_key.confファイルで指定された場所にある pmp_key.key ファイルに記録されます。鍵の記録時に万が一エラーが発生した場合、ローテーション処理は継続しません。ローテーション処理がすべて完了すると、PMPは新しい暗号化鍵をもつファイルに古い暗号化鍵を記録します。

暗号化鍵のローテーション(高可用性を使用していない場合)

  • 現在の暗号化鍵(pmp_key.keyファイル)は manage_key.confファイルに記載されているパスに存在している必要があります。また、PMPが pmp_key.keyファイルに対して読み取り/書き込み権限を有していることを確認してください。
  • PMPサーバーを停止します。
  • コマンドプロンプトを開き、 [PMP-Installation-Folder]/bin ディレクトリに移動し、次のコマンドを実行します:RotateKey.bat(Windows) / sh RotateKey.sh(Linux)
  • 管理しているパスワードや他のパラメータの数により、ローテーション処理にかかる時間が変わります。
  • ローテーション処理の成功確認メッセージが表示されたら、PMPサーバーを開始します。

暗号化鍵のローテーション(高可用性を使用している場合)

  • [管理]タブ >> [一般] >> [高可用性]を開きます。高可用性とレプリケーション状態が"活動"であることを確認してください。
  • 現在の暗号化鍵(pmp_key.key)はmanage_key.conf に記載されているパスに存在している必要があります。また、PMPが pmp_key.keyファイルに対して読み取り/書き込み権限を有していることを確認してください。
  • PMPプライマリサーバーは停止し、PMPセカンダリサーバーが稼働していることを確認してください。
  • PMPプライマリインストールで、コマンドプロンプトを開き、 /binディレクトリに移動します。そして、次のスクリプトを実行します。RotateKey.bat (in Windows) /sh RotateKey.sh (in Linux)
  • 管理しているパスワードや他のパラメータの数により、ローテーション処理にかかる時間が変わります。ローテーション処理が完了すると、成功確認メッセージが表示されます。
  • 暗号化鍵をプライマリサーバーからコピーし、manage_key.confファイルに記載されたパスにあるスタンバイサーバーのpmp_key.keyファイル に配置します。(pmp_key.key をプライマリ サーバーからコピーし、manage_key.conf に記載されたパスに配置します)プライマリ サーバーとスタンバイ サーバーを起動します。

PMPデータベース パスワードの管理

  • AES暗号化とは別にPMPデータベースは、インストールごとに自動生成される一意のパスワードで保護されています。
  • データベースのパスワードは安全にPMP上に保管されます。
  • PMPサーバーからアクセス可能な、別の保護された場所に保存するオプションも選択可能です。

PMPに保管する

  • パスワードをPMP上に保管する場合、特別な設定は必要ありません。PMPはこのパスワードを自動的に管理します。

自分で保管する

  • 既定では、データベース パスワードは [PMP Installation Folder]/conf/database_params.confファイルに記録されています。
  • データベース鍵を自分で保管する場合、この設定ファイルを別の安全な場所に保管し、その場所のパス情報をPMPに設定する必要があります。
  • PMPをサービスとして開始する場合[PMP Installation Folder]/conf/wrapper.conf(Windows) / [PMP Installation Folder]/conf/wrapper_lin.conf(Linux)をテキストエディタで開き、"Java Additional Parameters"で次のエントリを編集します:wrapper.java.additional.9=-Ddatabaseparams.file=[full path of the database_params.conf file location]

  • PMPをコマンドラインから開始する場合や、スタートメニューから開始する場合[PMP Installation Folder]/confディレクトリのsystem_properties.confファイルを編集します。このファイルで、"Splash Screen default Properties" にある次のエントリを編集します:databaseparams.file=[full path of database_params.conf file]

メモ:confファイルの配置が不正だったり、紛失してしまったりすると、PMPは起動しません。安全な場所に間違いなく保管するようご注意ください。

PMPが使用するポート

PMPでは、以下のポート番号を使用します:

PostgreSQL port

7272

Web client port

2345

SSH port

22

Telnet port

23

LDAP without SSL port

389

LDAP with SSL port

636

SMTP port

25

MS SQL port

1433

My SQL port

3306

Oracle port

1521

Sybase ASE port

5000

PMP API port

7070

Password Verification port

135, 139, 445

SSH CLI port

5522

Auto Logon Sparview Gateway port

7273

ライセンス

3種類のライセンスあります:

  • Evaluation(評価版)では、30日間有効で、管理者を2名まで登録できます。Enterprise Editoinの機能を試すことができます。
  • Free Edition(無料版)では、 管理者を1名まで登録でき、10個のリソースまで管理ができます。期間は無制限です。
  • Registered Version(登録版)では、ライセンス提供には、次の2つの要素が考慮されます。
      1. 管理者の数
      2. エディションの種類 - StandardPremium、もしくはEnterprise

      メモ :Password Manager Proでは、次の4つのユーザーの役割があります。- [管理者]、[パスワード管理者]、[パスワードユーザー]、そして[パスワード監査者]です。ここでの[管理者]とは、[管理者]と[パスワード管理者]の両方を意味します。そのため、ライセンス提供の際、[管理者]と[パスワード管理者]の人数が制限されます。[パスワードユーザー]と[パスワード監査者]には人数制限はありません。この4つのユーザーの役割について更に詳細を知りたい場合、ヘルプドキュメントのこのセクションを参照してください。

    • Standard(英語版のみ) - パスワードの安全な管理や保管ができるレポジトリを使用して、エンタープライズ ユーザー間でパスワードの共有が必要な場合、Standard Editionを推奨します。
    • Premium(英語版のみ) - パスワードの保管や共有のほか、エンタープライズ規模のパスワード管理機能(リモート パスワード リセット、パスワード アラート/通知、アプリケーション間パスワード管理、レポート、高可用性、その他)が必要な場合、Premium Editionを推奨します。
    • Enterprise - 管理権限アカウントの自動検索、チケットシステムとSIEMソリューションとの連携、Jumpサーバー設定、アプリケーション間のパスワード管理、コンプライアンスレポート生成、バックエンドデータベースとしてのSQLサーバー/クラスタなどのような企業クラスの機能を更に必要な場合、Enterprise Editionを推奨します。

機能マトリクス

Standard Edition(英語版のみ) Premium Edition(英語版のみ) Enterprise Edition
  • ユーザー/ユーザー グループ管理
  • パスワード レポジトリ
  • パスワード ポリシー
  • パスワードの共有と管理
  • 監査/監査通知
  • AD/LDAPの統合
  • オフライン アクセス
  • 自動ログオン ヘルパー
  • パスワード変更リスナー
  • バックアップとディザスタ リカバリ
  • Standard Editionのすべての機能
  • パスワードのアラートと通知
  • リモート パスワード リセット(オンデマンド、スケジュール、ルール ベース)
  • Windows、Windowsドメイン、Windowsサービスアカウント、Windowsスケジューラアカウント、UNIX、Linux、Cisco、HP ProCurve、Juniper Netscreen、MS SQLサーバー、MySQLサーバー、Oracle DBサーバー、Sybase ASE、LDAPサーバー
  • リモートシステム同期用のパスワードインスタント認証
  • パスワード アクセス制御ワークフロー
  • 特権セッション記録
  • レポート
  • パスワード管理のためのAPI
  • 2段階認証
  • 高可用性のアーキテクチャ
  • Premium Editionのすべての機能
  • 特権アカウントディスカバリー
  • チケットシステム連携
  • リアルタイムアラートとSIEM連携
  • ランディングサーバー
  • Federated Identity管理
  • Radius準拠のTFA
  • コンプライアンスレポート
  • バックエンドデータベースとしてのSQLサーバー/クラスタ
  • 特権セッションのシャドーウィング機能
  • パスワードリセットリスナー
  • カスタムレポート
  • RESTful API
  • ライセンスに関する詳しい情報は、 jp-mesales@zohocorp.com までご連絡ください。

PMPを別マシン/別のフォルダへ移動

既にインストールされたPMPを同じマシンの他のフォルダ、あるいは他のマシンに移動する場合、次の手順を実行します:

必要条件

  • 既存のPMPインストレーションは、新しいインストレーションが間違いなく動作することを確認するまで削除しないでください。これは、移動時に発生する障害/災害やデータ破損によるデータ紛失を避けるために重要なことです。

手順

PMPにバンドルされているPostgreSQLデータベースを使用する場合:

MySQLをバックエンド データベースとして使用している場合:

  • PMPサーバー/サービスが動作中の場合、停止します。
  • PMPをスタートアップ サービスとしてインストールしている場合、手順を進める前にサービスから削除 します。
  • サービスを削除する手順は、次の表を参照してください。
  • PMPインストレーション全体のバックアップを取得し、それを別のマシンあるいは同じマシンの別のフォルダに配置します。次に、それをサービスとしてインストールします。
Windowsのスタートアップ サービスとしてインストール Linuxのスタートアップ サービスとしてインストール

バッチファイルを使用してサービスをインストール

  • コンソールを開き、[PMP_Installation_Folder]/binディレクトリに移動します。
  • 次のコマンドを実行します:pmp.bat install

バッチファイルを使用してサービスを削除

  • コンソールを開き、[PMP_Installation_Folder]/binディレクトリに移動します。
  • 次のコマンドを実行します:pmp.bat remove
  • root ユーザーとしてログインします。
  • コンソールを開き、/binディレクトリに移動します。
  • コマンド "sh pmp.sh install" を実行します。
    (Ubuntuの場合 "bash pmp.sh install" を実行します)
  • サービスを削除するには、次のスクリプトを実行します:"sh pmp.sh remove"?
    (Ubuntuの場合、次のコマンドを使用します:"bash pmp.sh remove")

メモ:

  • PMPを移動した場合、Windowsの「プログラムの追加と削除」から製品をアンインストールすることはできません。アンインストールを行う際は、インストールフォルダごと削除します。
  • 移動先のPMPには、再度ライセンスを適用する必要がありません。

Webサーバーの証明書をPassword Manager ProのWebコンソールから更新

PMP WebコンソールからWebサーバーの証明書を更新することができます。

  • 管理>>設定>>サーバー設定に移動します。
  • SSL証明書に紐づくkeystoreファイルの設定やPMPサーバーのデフォルトポートを変更できます。
  • SSL証明書を更新するために、鍵ストアの種別から 鍵ストアのファイル (JKS, PKCS12 または PKCS11) の設定を行います。
  • 鍵ストアのファイルを参照より、設定します。
  • 鍵ストアのパスワードに、鍵ストアのパスワードを入力します。
  • デフォルトのPMPサーバーポート番号を変更する場合には、サーバーポートに入力します。
  • 保存をクリックします。
  • 変更後、Password Manger Proを再起動します。

MSP Edition(英語版のみ)

PMPのMSPエディションを使用する場合、ヘルプドキュメントのこのセクション を参照してください。