LogoLogo
Keeperコネクションマネージャー
Keeperコネクションマネージャー
  • 概要
  • セキュリティアーキテクチャ
  • インストール
    • ライセンスキー
    • システム要件
    • インストールの準備
    • Dockerの自動インストール
      • サービス管理
      • アップグレード
      • パッケージの追加
    • Docker Composeインストール
      • keeper/guacamole
      • keeper/guacd
      • データベースイメージ
        • keeper/guacamole-db-mysql
        • keeper/guacamole-db-postgres
      • SSLターミネーション
        • keeper/guacamole-ssl-nginx
        • カスタムSSL証明書の使用
      • アップグレード
    • バックアップと復元
  • 認証オプション
    • SAML SSO認証
      • Microsoft Azure
      • Okta
      • Google Workspace
      • OneLogin
      • Oracle
      • PingIdentity
    • TOTPを使用した2FA
    • Duoを使用した2FA
    • SSL/TLSクライアント認証
    • 複数のホスト名
    • PIV/CAC/スマートカード
    • アカウントの承認/拒否ワークフロー
    • OpenID Connect認証
    • LDAP認証
      • 複数のLDAPサーバーの使用
      • LDAP内の接続データを格納
      • LDAPとデータベースの併用
  • 接続プロトコル
    • RDP
    • SSH
    • VNC
    • Telnet
    • リモートブラウザ分離
    • Kubernetes
    • MySQL
      • インポートとエクスポート
      • キーボードショートカット
    • PostgreSQL
      • インポートとエクスポート
      • キーボードショートカット
    • Microsoft SQL Server
      • インポートとエクスポート
      • キーボードショートカット
    • ホストインスタンスへの接続
    • 永続的リバースSSHトンネル
      • WindowsサービスとしてのAutoSSH
      • Linux - AutoSSH
      • Windows - OpenSSH
  • KCMの使用方法
    • ログイン画面
    • ホーム画面
    • 接続の作成
      • 接続の一括インポート
    • KCMの使用方法
    • ファイル転送設定
    • 接続の共有
    • セッションのレコーディングと再生
    • AWS EC2ディスカバリ
    • クレデンシャルパススルー
    • 動的接続
    • カスタムブランディング
      • ロゴを追加する
  • ボルト連携
    • KCMをボルトに接続
    • 動的トークン
    • 静的トークン
    • 複数ボルトの連携
    • EC2 Cloud Connector
    • 高度な機能
    • KeeperPAM
  • カスタム拡張機能
  • ゲストモード
  • 高可用性
  • 詳細設定
    • guacamole.properties
      • SAML 2.0認証の設定プロパティ
      • Duo二要素認証の設定プロパティ
      • 暗号化されたJSONの設定プロパティ
      • LDAP設定のプロパティ
      • MySQL/MariaDBの設定プロパティ
      • PostgreSQL設定のプロパティ
      • SQL Serverの設定プロパティ
      • ログイン試行のプロパティ
  • トラブルシューティング
  • 接続のインポート
  • 接続のエクスポート
  • リリース前テスト
  • 変更記録
  • ライセンス供与とオープンソース
  • サポート範囲
  • セキュリティアドバイザリ
  • アクセシビリティ適合性
Powered by GitBook
On this page
  1. 認証オプション

複数のホスト名

複数のホスト名/SSLターミネーション設定

keeper/guacamole-ssl-nginxイメージは、Keeper for KCMが提供するGuacamoleイメージのSSLを終端することを特に目的としたものです。これまで、このイメージは単一のホスト名と設定のみに対応していました。

    ssl:
        image: keeper/guacamole-ssl-nginx:2
        restart: unless-stopped
        ports:
            - "80:80"
            - "443:443"
        environment:
            SELF_SIGNED:"Y"
            ACCEPT_EULA:"Y"
            CONTENT_TYPE_OPTIONS:"Y"
            CONTENT_SECURITY_POLICY:"Y"
            GUACAMOLE_HOSTNAME: "guacamole"
            SSL_HOSTNAME: "example.net"

KCM 2.12.0以降、keeper/guacamole-ssl-nginxイメージは、YAML (またはJSON) を受け入れる特殊なSERVERS環境変数を使用して、複数のホスト名と設定に対応できます。

SERVERS変数では、オブジェクトのYAML (またはJSON) 配列を使用する必要があります。各オブジェクトには、その追加設定に適用する必要のある環境変数の名前と値のペアが含まれています。未指定の変数はすべて、上位レベル環境から継承されます。以下に例を示します。

    ssl:
        image: keeper/guacamole-ssl-nginx:2
        restart: unless-stopped
        ports:
            - "80:80"
            - "443:443"
        environment:
            SELF_SIGNED:"Y"
            ACCEPT_EULA:"Y"
            CONTENT_TYPE_OPTIONS:"Y"
            CONTENT_SECURITY_POLICY:"Y"
            GUACAMOLE_HOSTNAME: "guacamole"
            
            SERVERS: |
               - SSL_HOSTNAME: "example.net"
               - SSL_HOSTNAME: "*.example.net"

上記の設定では、example.netと*.example.netの両方のホスト名を同等に扱うNGINXインスタンスが生成されます。SELF_SIGNEDがYに設定されているため、どちらも独自の自己署名証明書を利用します。

より複雑な例:

    ssl:
        image: keeper/guacamole-ssl-nginx:2
        restart: unless-stopped
        ports:
            - "80:80"
            - "443:443"
        environment:
            ACCEPT_EULA:"Y"
            CONTENT_TYPE_OPTIONS:"Y"
            CONTENT_SECURITY_POLICY:"Y"
            GUACAMOLE_HOSTNAME: "guacamole"
            
            SERVERS: |
               - SSL_HOSTNAME: "example.net"
                 LETSENCRYPT_ACCEPT_TOS:"Y"
                 LETSENCRYPT_EMAIL=your.email@example.net

               - SSL_HOSTNAME: "*.example.net"
                 SELF_SIGNED:"Y"

上記の設定で生成されるNGINXインスタンスでは、*.example.netには、自己署名証明書を生成して使用しますが、example.netには、Let’s Encryptから証明書を取得します。

重要:SERVERSの値は文字列であることが_必要_なため、上記の例では|記号を使用しています。すべてのDocker環境変数は文字列であることが必要なため、この記号を省略すると、後続のYAMLはオブジェクトとして解析され、docker-compose.ymlの検証は失敗します。

注意: NGINXは、設定されたホスト名と一致しない要求があれば、最初のサーバーをデフォルトとして使用します。SERVERSで宣言されたサーバーにこの動作をさせる必要がある場合は、そのサーバーを最初に記載する必要があります。

PreviousSSL/TLSクライアント認証NextPIV/CAC/スマートカード

Last updated 1 year ago