Password Manager Proとの連携機能について
作成日:2021年4月6日 | 更新日:2024年4月17日
対象製品
Network Configuration Manager
Password Manager Pro
概要
Network Configuration Manager(以下NCM)には、
ManageEngineが提供している特権ID管理製品「Password Manager Pro」と連携する機能が搭載されております(以下PMP)。
本ナレッジでは以下の各項目ごとに、NCMとPMPを連携することにより実現可能なポイントやその設定方法等についてご紹介します。
PMPの概要につきましては、こちらの製品ページをご参照ください。
前提(各製品の機能制限)
NCMのパスワード管理とPMPのコンフィグ管理という観点において、以下の機能制限があります。
◆NCMの場合
管理対象とするNW機器の認証情報をNCM上で登録する際、
セキュリティ上の観点から、登録時以降は製品上でNW機器のパスワードを参照することができません。
そのため、NCMとは別のパスワード管理ツールやExcelファイル等でパスワード管理を行う必要があります。
◆PMPの場合
サーバーやNW機器、その他サービスのアカウント情報を管理する製品で
NW機器に関しては、PMP上で登録したアカウントでターミナル接続し、コンフィグ参照や変更等の操作が可能です(操作履歴もPMP上に記録されます)。
なお、NW機器のコンフィグを変更した際の差分比較や世代管理、またコンフィグの一括変更を行うことはできません。
PMPでは、SSHコマンドセット機能を使用して、任意のコマンドを作成し投入することができます。
機能の詳細につきましてはこちらのページをご参照ください。
実現可能なポイント
NCMとPMPを連携することにより、組織内で管理しているNW機器のログインパスワードを変更した際、
PMP上で更新したパスワード情報を、NCM上で管理するNW機器の認証パスワードとして一括で同期し認証情報の更新を実現します。
→
PMPによるパスワード管理の実現と、NCMによるNW機器のコンフィグ管理を実現するとともに、
NW機器のパスワード変更時に、パスワード管理ツールのパスワード情報とNCM上の登録パスワード情報を、時間を掛けずに同期します。
これにより、手動による人的な更新漏れや余分な工数の削減につながり、総合的なコンフィグ管理、パスワード管理を実現します。
同期時にNW機器のコンフィグ変更は行われません。NCMに登録されている認証のパスワード情報のみ更新されます。
設定手順(API連携)
NCMとPMPを連携するために、以下の手順でAPI連携を行います。
PMP上の設定
- PMPのインストールフォルダ[.../PMP/conf/]配下の[server.xml]ファイルを開き、
ファイル内の<connector>に、以下の項目が追加されていることを確認
※追加されていない場合には、追加後、PMPサービスを再起動
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
あ - PMPにログインし、[ユーザー]→[ユーザー追加]より[APIユーザーを追加]をクリック
- 以下の必須項目を入力
・ユーザー名:任意
・ホスト名:NCMのインストールサーバーIP
・フルネーム:任意
・アクセスレベル:パスワード管理者
・REST API:有効化にチェックを入れ、認証トークンを生成
- 生成された認証トークンをコピーした後、ユーザーを保存
- [リソース]画面より、リソース個別またはリソースグループを選択し、作成したAPIユーザーに共有
※共有時、[アクセス権の付与]では、[パスワードの利用]以上の権限を選択してください。
NCM上の設定
- [設定]→[連携]→[パスワード管理]画面を表示
- [Password Manager Proを設定]を[有効]にし、以下の各項目を入力
・サーバー名:PMPのインストールサーバーのIPアドレス
・ポート番号:PMPアクセス時に使用するWebポート番号(デフォルト:7272)
・auth Token:APIユーザー作成時に生成した認証トークン(上記、PMP上の設定手順3)
- [このオプションを有効にすると、PMPから認証情報データを取得できます。装置やユーザー名を、PMPと共有する場合のみ、このオプションを選択ください]にチェックを入れ、[保存]
- 保存後[共有リソースを表示]より、PMP上でAPIユーザーに共有したリソース(NW機器)が表示されることを確認
- [使用可能な装置]からPMPに登録されているパスワードと同期する装置を個別に選択し、[同期]をクリック
PMPで作成したAPIユーザーに共有されていないリソースも対象に同期が行われ、NCM上で同期失敗のアラートが発生します。
同期の際は、同期が必要な機器のみを選択して実施するようご注意ください。
本連携機能に関する制限事項
- 同期対象はパスワード情報のみで、ユーザーアカウントは同期の対象外です。
- 対象装置で、Enable Password/Secretを設定している場合には、PMPのアカウントに「enable」を追加してください。
※「en」と略名で追加した場合、同期に失敗します。 - NCM上で認証プロファイルを適用している場合、本同期機能の対象外です(本連携機能は、認証情報を個別に入力している装置のみ対象です)。
- 2021年5月現在のNCMの仕様として、本同期機能を有効にすると、毎日午前6時に同期操作が自動で行われます。
NCMに登録されている全装置が対象で、PMPのAPIユーザーに共有されていないNCM装置が存在する場合には、その装置も対象に同期が行われ、
操作履歴には、「Retrieve Password Failed」として失敗履歴が残ります。
このスケジュール同期を無効にする場合には、以下の手順を実施してください。
※当該仕様は、将来的なリリースで実装される予定(リリース時期未定)です。1.Network Configuration Managerを停止
2.インストールフォルダー[OpManager/conf/]を開き、[system_properties.conf]ファイルを編集
3.ファイル内の以下の項目を変更し、ファイルを保存
変更前:ncm.syncPassword=true
変更後:ncm.syncPassword=false
4.Network Configuration Managerを起動