| Vault のサポートマトリックスCyberArk AIM ソリューションを使用すると、パスワードおよびその他の機密情報を保存し、認証時にパスワードや情報を使用することが簡単にできます。
これには、CyberArk Central Credential Provider(CCP)が必要です。
CyberArk AIM ソリューションに対して、次の機密情報を要求できます。
- ログインパスワード(サポートされているすべての認証タイプ)
- 秘密鍵と秘密鍵のパスフレーズ(Unix、PostgreSQL、MongoDB のみ)
- ルート権限委譲のパスワード(Unix のみ)
CyberArk AIM 統合ガイド | Vault のサポートマトリックス
Vault を使用する方法 |
ここをクリックすると、各手順を順番に確認できます。スキャンする IP アドレスの追加、Scanner Appliance の設定、Vault と認証レコードの設定、オプションプロファイルの設定、スキャンの開始の各手順について説明しています。 |
Vault 資格情報 |
CyberArk AIM Vault に対して次の資格情報を定義できます。 |
「Application ID」 - CyberArk Central Credential Provider(CCP)の Web サービス API のアプリケーション ID 名です。最大で 128 バイトです。最初の 28 文字は一意である必要があります。詳細詳細 - 入力値の前後に入力されたスペースまたはピリオドは削除されます。 - 次の特定のワードを含めることはできません。Users、Addresses、Areas、XUserRules、unknown、Locations、Safes、Schedule、VaultCategories、Builtin - 次の特殊文字を含めることはできません。\ / : * ? " < > | \t \r \n \x1F |
「Safe」 - デジタルパスワード金庫の名前です。最大で 28 文字です。詳細詳細 - 入力値の前後に入力されたスペースは削除されます。 - 次の特殊文字を含めることはできません。\ / : * ? " < > | \t \r \n \x1F) |
「URL」 - CyberArk AIM Web サービスの URL です。「SSL Verify」を選択すると、サーバの SSL 証明書が有効で信頼できるかが検証されます。「SSL Verify」オプションは、URL が HTTPS を使用している場合に設定できます。URL の例: https://<host.domain>/AIMWebService/v1.1/AIM.asmx |
「SSL Verify」 - 「SSL Verify」オプションがクリア(チェックが解除)されている場合を除いて、Qualys スキャナは、証明書が有効で信頼できることを確認するために Web サーバの SSL 証明書を検証します。証明書が周知の認証局(CA)によって発行されていない場合、または自己署名された証明書である場合は、このオプションをオフにして、SSL 検証を省略することが可能です。 |
「Certificate/Private Key」 - サーバの認証に証明書が必要な場合は、証明書と秘密鍵が必要です。両方を定義するか、両方を省略します。詳細詳細 証明書には、base64 でエンコードされた X.509 証明書(クライアント証明書)が PEM 形式で格納されます。秘密鍵には、証明書に格納された公開鍵に対応する base64 でエンコードされたクライアント秘密鍵が格納されます。 |
「Passphrase」 - 秘密鍵のパスフレーズです。 |
認証レコード |
認証レコードで CyberArk AIM vault を選択し、これらの詳細を入力します。 |
「Folder」 - 認証に使用されるパスワードを格納する安全なデジタル金庫のフォルダの名前。フォルダ名には、最大で 169 文字を入力できます。「folder/」のようなフォルダ名末尾の「/」の入力は任意です(入力した場合は、サービスによって末尾の「/」が削除され、フォルダ名には保存されません)。フォルダ名とファイル名の合計の長さは最大で 170 文字です(入力値の前後に入力されたスペースは削除されます)。フォルダ名には次の特殊文字を含めることはできません。/ : * ? " < > | <tab>
例えば、Windows システムにアクセスするためのパスワードを格納する「Windows」という名前の金庫があるとします。この金庫には、Windows 2012 および Windows 2008 用のサブフォルダが作成されます。「Windows 2012」フォルダに保存されているパスワードファイルのフォルダ名は「Root\Windows 2012」になります。パスワードファイルがルートフォルダに保存されている場合、フォルダ名は「Root」になります。
同じ命名規則を使用する複数のターゲットに一致させるために、1 つ以上の変数を使用できます。 ${ip} // ターゲットの IP アドレス(10.20.30.40)。 ${ip_dash} // ドットの代わりにダッシュを使用したターゲットの IP アドレス(10-20-30-40)。 ${dnshost} // ターゲットの DNS ホスト名(host.domain)。 ${host} // ターゲットのホスト名(.domain の前にあるホスト)。 ${nbhost} // (Windows のみ)ターゲットの NetBIOS ホスト名(大文字、つまり HOST_ABC)。 |
「File」 - 認証に使用されるパスワードを格納する安全なデジタル金庫のファイルの名前。ファイル名には、最大で 165 文字を入力できます。フォルダ名とファイル名の合計の長さは最大で 170 文字です(入力値の前後に入力されたスペースは削除されます)。ファイル名には次の特殊文字を含めることはできません。\ / : * ? " < > | <tab>
例えば、「windows-2012-10.20.30.40」という名前のファイルを作成し、このファイルは Windows 2012 フォルダとします。フォルダ名の値は「Root\Windows 2012」で、ファイル名の値は「windows-2012-10.20.30.40」となります。
同じ命名規則を使用する複数のターゲットに一致させるために、1 つ以上の変数を使用できます。 ${ip} // ターゲットの IP アドレス(10.20.30.40)。 ${ip_dash} // ドットの代わりにダッシュを使用したターゲットの IP アドレス(10-20-30-40)。 ${dnshost} // ターゲットの DNS ホスト名(host.domain)。 ${host} // ターゲットのホスト名(.domain の前にあるホスト)。 ${nbhost} // (Windows のみ)ターゲットの NetBIOS ホスト名(大文字、つまり HOST_ABC)。 |
ユーザパーミッション |
マネージャユーザには、パスワードが保存されている正しい場所(金庫)を示すように CyberArk CCP ソリューションの CyberArk AIM Vault を設定するパーミッションがあります。このパーミッションは、ユニットマネージャにも付与することができます。 |
同じ命名規則を使用する複数のターゲットに一致させるために、フォルダ名またはファイル名を定義する際に 1 つ以上の変数を使用できます。スキャン時に、Vault で既に定義されているホストに変数を一致させます。
重要 - CyberArk AIM Vault から資格情報を収集するために変数を使用する場合には、スキャンジョブで使用する Scanner Appliance のスキャナバージョンが 11.8 以降である必要があります。これよりも前のバージョンの Scanner Appliance の場合、スキャナが認証レコードにある変数を実際の値に解決できないため、認証は失敗します。Scanner Appliance のスキャナのバージョンを確認するには、「Scans」->「Appliances list」を選択して、各アプライアンスのバージョンを表示し、必要に応じてバージョンを更新します。
CyberArk AIM Vault に次の 4 つのデバイスがあるとします。
centos6-10-50-60-70.foo.bar
host40-10-20-30-40
host80-10-50-60-70
host12-10-30-10-12 という 4 つのデバイスがあるとします。
次の設定を持つ 2 つのレコードを作成する必要があります。
レコード 1: ${dnshost}(centos6-10-50-60-70.foo.bar に一致)
レコード 2: ${host}-${ip_dash}(host40-10-20-30-40、host80-10-50-60-70、host12-10-30-10-12 に一致)