前回は、CPMの構築手順について解説しました。
今回は、PSM(Privileged Session Manager)の構築手順について解説していきます。
一旦今回で構築編は最終回となります。
※前回の記事はコチラを参照ください。
PSMとは
PSMは、機密性の高いシステムや特権アカウントへの特権アクセスを制御・監視することができます。
動画の録画・再生機能とテキスト記録機能を備えたアカウントへの接続を実現し、PSMを経由したシングルサインオンによるセキュアな接続を可能としています。
この際、アカウントの認証情報はユーザーに知られることはありません。
すべてのアカウントへの接続をPSM経由で実施することで、アクセス管理およびセッション情報の記録・一元化を実現します。
PSM構築
事前準備
インストーラー配置
- Frontサーバーの任意のフォルダに「Privileged Session Manager-Rls-v12.6.5」を配置します。
XMLファイル編集
- 以下のファイルをメモ帳で開きます。
Privileged Session Manager-Rls-v12.6.5\InstallationAutomation\Prerequisites\PrerequisitesConfig.xml
- 以下の通りパラメータを修正し、上書き保存します。
ScriptName="UpdateRDSSecuriyLayer.psm1" Enable="Yes"
確認コマンド実行
- PowerShellを起動し、配置したフォルダに移動します。
- 配置したフォルダ配下の「InstallationAutomation」フォルダに移動します。
- 以下のコマンドを実行します。
.\Execute-Stage.ps1 .\Prerequisites\PrerequisitesConfig.xml
- 再起動を要求する以下のメッセージが表示されたら、「Enter」キーを押し、サーバーを再起動します。
A machine restart is required. Please save all your work and press Enter to restart the machine
- 再起動完了後、Frontサーバーへ管理者権限でログインを行うと、PowerShellが自動で起動しコマンドが引き続き自動で実行されます。
エラーなくコマンドが完了されたら以下のメッセージが表示されます。
The following steps succeeded:
VerifyDotNet
InstallRDS
DisableNLA
UpdateRDSSecurityLayer
PSMインストール
FrontサーバーにPSMをインストールしていきます。
- 「Privileged Session Manager-Rls-v12.6.5」フォルダ配下の「setup.exe」を管理者権限で実行します。
- 「Yes」をクリックします。
- 「Next」をクリックします。
- 「Yes」をクリックします。
- 「User Name」と「Company Name」に任意の値を入力し、「Next」をクリックします。
- 「Next」をクリックします。
- 「Next」をクリックします。
- 「Next」をクリックします。
- 以下の情報を入力し、「Next」をクリックします。
項目
入力内容
Address
VaultサーバーのIPアドレス
Port
1858
- 以下の情報を入力し、「Next」をクリックします。
項目
入力内容
Username
Administrator
Password
Vaultレジストレーション時に設定したAdministratorのパスワード
- 「Next」をクリックします。
- 以下の項目のチェックを外し、「Next」をクリックします。
Enable PKI authentication for PSM
- 以下の項目のチェックを外し、「Next」をクリックします。
Harden the PSM server machine
- 「Yes, I want to restart my computer now.」を選択し、「Finish」をクリックすると、再起動が開始されます。
サービス起動設定
サービスの起動安定性を向上させるため、CPMサービスを遅延開始する設定を行います。
- 「Start」メニューから、「Run」を開き、「services.msc」を起動します。
- 「Cyber-Ark Privileged Session Manager」をダブルクリックします。
- 「Startup type」を「Automatic (Delayed Start)」に変更し、「OK」をクリックします。
ポリシー設定
PSMインストール時に、2つのWindowsユーザーが作成されます。
ユーザー |
説明 |
PSMConnect |
PSMマシンでPSMセッションを開始するために作成されたWindowsユーザー。 |
PSMAdminConnect |
ライブ特権セッションを監視するために作成されたWindowsユーザー。 |
上記2ユーザーに対し、推奨とされるスクリーンセーバーの無効化設定を実施します。
※Frontサーバがドメイン参加済みかつADDSで該当の設定をグループポリシーで設定している場合は、ローカルポリシーではなくドメインのポリシーで同様に構成してください。
- 「Start」メニューから、「Run」を開き、「mmc」を起動します。
- 「File」のタブから「Add/Remove Snap-in」をクリックします。
- 「Available snap-ins」欄で、「Group Policy Object Editor」を選択し、「Add」をクリックします。
- 「Browse」をクリックします。
- 「User」のタブから「PSMAdminConnect」を選択し、「OK」をクリックします。
- 「Finish」をクリックします。
- 再度「Group Policy Object Editor」を選択し、「Add」をクリックします。
- 「Browse」をクリックします。
- 「User」のタブから「PSMConnect」を選択し、「OK」をクリックします。
- 「Finish」をクリックします。
- 「Selected snap-ins」欄に、以下のポリシーが代入されていることを確認し、「OK」をクリックします。
Local Computer\PSMAdminConnect Policy
Local Computer\PSMConnect Policy - 「Local Computer¥PSMAdminConnect Policy」を展開します。
- 以下の設定を表示し、「Enable screen saver」をダブルクリックします。
User Configuration > Administrative Templates > Control Panel > Personalization > Enable screen saver
- 「Disabled」を選択し、「OK」をクリックします。
- 「Local Computer¥PSMConnect Policy」を展開します。
- 以下の設定を表示し、「Enable screen saver」をダブルクリックします。
User Configuration > Administrative Templates > Control Panel > Personalization > Enable screen saver
- 「Disabled」を選択し、「OK」をクリックします。
- 「File」のタブから「Add/Remove Snap-in」をクリックします。
- 「Available snap-ins」欄で、「Computer Management」を選択し、「Add」をクリックします。
- 「Local Computer」にチェックを入れ、「Finish」をクリックします。
- 以下を展開します。
System Tools > Local Users and Groups > Users
- 「PSMAdminConnect」をダブルクリックします。
- 「General」タブの以下の項目にチェックを入れ、ます。
User cannot change password
Password never expires - 「Session」タブに移動し、以下の通り設定をして「OK」をクリックします。
項目
入力内容
End a disconnectes session
1 minute
Allow reconnection
From originating client only
- 「PSMConnect」をダブルクリックします。
- 「General」タブの以下の項目にチェックを入れます。
User cannot change password
Password never expires - 「Session」タブに移動し、以下の通り設定をして「OK」をクリックします。
項目
入力内容
End a disconnectes session
1 minute
Allow reconnection
From originating client only
PVWA確認
最後に、PVWA上で設定が反映されているかを確認します。
- PVWAにアクセスし、ログインします。
http://Frontサーバーのホスト名/passwordvault/
- 以下のディレクトリに移動します。
ポリシー>MasterPolicy>セッション管理 - 以下2項目が【アクティブ】であることを確認します。
特権付きセッション監視と分離を要求
セッション活動を記録して保存
おわりに
お疲れ様でした。以上でPSMの構築は完了です。
長らく続いた環境構築編ですが今回で終了となります。
これで、CyberArkを利用する準備が完了しました。
次回以降については、実運用を想定した動作、設定について解説していきます。