【CyberArk】利用環境構築 ~PSMインストール編~

前回は、CPMの構築手順について解説しました。

今回は、PSM（Privileged Session Manager）の構築手順について解説していきます。

一旦今回で構築編は最終回となります。

※前回の記事はコチラを参照ください。

blog.jbs.co.jp

• PSMとは
• PSM構築
  • 事前準備
    • インストーラー配置
    • XMLファイル編集
    • 確認コマンド実行
  • PSMインストール
  • サービス起動設定
  • ポリシー設定
  • PVWA確認
• おわりに

PSMとは

PSMは、機密性の高いシステムや特権アカウントへの特権アクセスを制御・監視することができます。

動画の録画・再生機能とテキスト記録機能を備えたアカウントへの接続を実現し、PSMを経由したシングルサインオンによるセキュアな接続を可能としています。

この際、アカウントの認証情報はユーザーに知られることはありません。

すべてのアカウントへの接続をPSM経由で実施することで、アクセス管理およびセッション情報の記録・一元化を実現します。

PSM構築

事前準備

インストーラー配置

1. Frontサーバーの任意のフォルダに「Privileged Session Manager-Rls-v12.6.5」を配置します。

XMLファイル編集

1. 以下のファイルをメモ帳で開きます。

   Privileged Session Manager-Rls-v12.6.5\InstallationAutomation\Prerequisites\PrerequisitesConfig.xml

   

2. 以下の通りパラメータを修正し、上書き保存します。
   

   ScriptName="UpdateRDSSecuriyLayer.psm1" Enable="Yes"

   

確認コマンド実行

1. PowerShellを起動し、配置したフォルダに移動します。
   

   

2. 配置したフォルダ配下の「InstallationAutomation」フォルダに移動します。
   

   

3. 以下のコマンドを実行します。
   

   .\Execute-Stage.ps1　.\Prerequisites\PrerequisitesConfig.xml

   

4. 再起動を要求する以下のメッセージが表示されたら、「Enter」キーを押し、サーバーを再起動します。
   

   A machine restart is required. Please save all your work and press Enter to restart the machine

   

5. 再起動完了後、Frontサーバーへ管理者権限でログインを行うと、PowerShellが自動で起動しコマンドが引き続き自動で実行されます。
   エラーなくコマンドが完了されたら以下のメッセージが表示されます。
   

   The following steps succeeded:
   VerifyDotNet
   InstallRDS
   DisableNLA
   UpdateRDSSecurityLayer

   

PSMインストール

FrontサーバーにPSMをインストールしていきます。

1. 「Privileged Session Manager-Rls-v12.6.5」フォルダ配下の「setup.exe」を管理者権限で実行します。
2. 「Yes」をクリックします。
   

   

3. 「Next」をクリックします。
   

   

4. 「Yes」をクリックします。
   

   

5. 「User Name」と「Company Name」に任意の値を入力し、「Next」をクリックします。
   

   

6. 「Next」をクリックします。
   

   

7. 「Next」をクリックします。
   

   

8. 「Next」をクリックします。
   

   

9. 以下の情報を入力し、「Next」をクリックします。
   

   項目	入力内容
   Address	VaultサーバーのIPアドレス
   Port	1858

   

10. 以下の情報を入力し、「Next」をクリックします。
    

    項目	入力内容
    Username	Administrator
    Password	Vaultレジストレーション時に設定したAdministratorのパスワード

    

11. 「Next」をクリックします。
    

    

12. 以下の項目のチェックを外し、「Next」をクリックします。

    Enable PKI authentication  for PSM

    

13. 以下の項目のチェックを外し、「Next」をクリックします。

    Harden the PSM server machine

    

14. 「Yes, I want to restart my computer now.」を選択し、「Finish」をクリックすると、再起動が開始されます。
    

    

サービス起動設定

サービスの起動安定性を向上させるため、CPMサービスを遅延開始する設定を行います。

1. 「Start」メニューから、「Run」を開き、「services.msc」を起動します。
   

   

2. 「Cyber-Ark Privileged Session Manager」をダブルクリックします。
   

   

3. 「Startup type」を「Automatic (Delayed Start)」に変更し、「OK」をクリックします。
   

   

ポリシー設定

PSMインストール時に、2つのWindowsユーザーが作成されます。

ユーザー	説明
PSMConnect	PSMマシンでPSMセッションを開始するために作成されたWindowsユーザー。
PSMAdminConnect	ライブ特権セッションを監視するために作成されたWindowsユーザー。

上記2ユーザーに対し、推奨とされるスクリーンセーバーの無効化設定を実施します。

※Frontサーバがドメイン参加済みかつADDSで該当の設定をグループポリシーで設定している場合は、ローカルポリシーではなくドメインのポリシーで同様に構成してください。

1. 「Start」メニューから、「Run」を開き、「mmc」を起動します。
   

   

2. 「File」のタブから「Add/Remove Snap-in」をクリックします。
   

   

3. 「Available snap-ins」欄で、「Group Policy Object Editor」を選択し、「Add」をクリックします。
   

   

4. 「Browse」をクリックします。
   

   

5. 「User」のタブから「PSMAdminConnect」を選択し、「OK」をクリックします。
   

   

6. 「Finish」をクリックします。
7. 再度「Group Policy Object Editor」を選択し、「Add」をクリックします。
   
8. 「Browse」をクリックします。
   
9. 「User」のタブから「PSMConnect」を選択し、「OK」をクリックします。
   

   

10. 「Finish」をクリックします。
11. 「Selected snap-ins」欄に、以下のポリシーが代入されていることを確認し、「OK」をクリックします。
    

    Local Computer\PSMAdminConnect Policy
    Local Computer\PSMConnect Policy

    

12. 「Local Computer￥PSMAdminConnect Policy」を展開します。
13. 以下の設定を表示し、「Enable screen saver」をダブルクリックします。

    User Configuration > Administrative Templates > Control Panel > Personalization > Enable screen saver

    

14. 「Disabled」を選択し、「OK」をクリックします。
    

    

15. 「Local Computer￥PSMConnect Policy」を展開します。
16. 以下の設定を表示し、「Enable screen saver」をダブルクリックします。
    

    User Configuration > Administrative Templates > Control Panel > Personalization > Enable screen saver

    

17. 「Disabled」を選択し、「OK」をクリックします。
    
18. 「File」のタブから「Add/Remove Snap-in」をクリックします。
19. 「Available snap-ins」欄で、「Computer Management」を選択し、「Add」をクリックします。
    

    

20. 「Local Computer」にチェックを入れ、「Finish」をクリックします。
    

    

21. 以下を展開します。
    

    System Tools > Local Users and Groups > Users

22. 「PSMAdminConnect」をダブルクリックします。
    

    

23. 「General」タブの以下の項目にチェックを入れ、ます。

    User cannot change password
    Password never expires

    

24. 「Session」タブに移動し、以下の通り設定をして「OK」をクリックします。

    項目	入力内容
    End a disconnectes session	1 minute
    Allow reconnection	From originating client only

    

25. 「PSMConnect」をダブルクリックします。
    

    

26. 「General」タブの以下の項目にチェックを入れます。

    User cannot change password
    Password never expires

    

27. 「Session」タブに移動し、以下の通り設定をして「OK」をクリックします。

    項目	入力内容
    End a disconnectes session	1 minute
    Allow reconnection	From originating client only

    

PVWA確認

最後に、PVWA上で設定が反映されているかを確認します。

1. PVWAにアクセスし、ログインします。
   http://Frontサーバーのホスト名/passwordvault/
   

   

2. 以下のディレクトリに移動します。
   ポリシー>MasterPolicy>セッション管理
3. 以下2項目が【アクティブ】であることを確認します。
   

   特権付きセッション監視と分離を要求
   セッション活動を記録して保存

   

おわりに

お疲れ様でした。以上でPSMの構築は完了です。

長らく続いた環境構築編ですが今回で終了となります。

これで、CyberArkを利用する準備が完了しました。

次回以降については、実運用を想定した動作、設定について解説していきます。