ゲストモード
認証なしでアクセスを提供
Last updated
認証なしでアクセスを提供
Last updated
教育環境など、インターネットアクセスを制御してユーザーに提供することが必要となる場合があります。本ページでは、Keeperコネクションマネージャー (KCM) の「ゲストモード」とリモートブラウザ分離を利用して、そのようなアクセスを実現する方法について取り扱います。
この実装例では、ユーザーのウェブブラウジングアクセスを設定し、一連の事前承認されたウェブサイトに制限します。ユーザーには、これらの承認されたウェブサイトから選択できるカスタム「ホームページ」を表示します。このアプローチは、教室や試験環境など、インターネットへの完全なアクセスが許可されていない環境で特に有用となります。
ウェブサイト例: https://guest-mode-demo.com
Keeperコネクションマネージャーを使用することで、ファイアウォールベースの制限などの従来の方法に比べて、以下のような利点があります。
セッションの監視: すべてのブラウジングセッションは完全に記録できるので、監査とアカウンタビリティに役立ちます。
アクセスの簡便さ: ユーザーは追加のソフトウェアをインストールすることなくシームレスに接続できます。
デバイス非依存: ユーザーのデバイス上のブラウザのバージョンやタイプによって機能に影響が出ることはありません。
セキュリティの強化: リモートブラウザ分離セッションを使用することで、デバイスがデータの漏洩、悪意のあるサイト、潜在的な操作から保護されます。
本ページでは、教育機関や類似の事例に対応するために、専用のKCMインスタンスで制御されたブラウジング環境を設定する手順について取り扱います。
ゲストモードをセットアップするには、以下が必要となります。
KCMがドキュメントに記載通りDocker自動インストール方法でインスタンスにインストールされていること。
DNS名が割り当てられ、Let's Encryptまたは他の方法でSSLが設定されていること。
guacadminとしてKeeperコネクションマネージャーにログインできること。
この例では、https://guest-mode-demo.comのデモサイトを設定します。
ゲストモード機能を有効にするには、以下を実行します。
デフォルトの接続を設定する
KCMのゲストモードのソースコードは、以下のGitHubページで公開されています。
.zipファイルをダウンロードするか、Gitリポジトリをワークステーションまたはサーバーにクローンします。
最新のJava 17がインストールされていることを確認します。
Javaがインストールされていない場合は、Amazon Correttoの使用をお勧めします。ご利用の環境に合わせたインストール手順をご参照ください。
ターミナルでリポジトリの場所に移動し、Mavenを使用してビルドします。Mavenがインストールされていない場合は、以下のコマンドを使用します (Macの場合)。
リポジトリのフォルダからJARファイルをビルドします。
生成されたJARファイルは、ローカルのフォルダ構造に保存されます。
次の手順のために、kcm-auth-guest-1.5.2-2.jar パッケージを保存します。
guacadminユーザーアカウントまたは他の管理者アカウントでKeeperコネクションマネージャーにログインします。
[設定] > [接続]へ移動し、リモートブラウザ分離接続を作成します。
ランディングページのURLを使用してホスト名を設定します。この例では、https://lurey.com/demo.htmlを使用します。
セッション録画が必要な場合は、録画パスに ${HISTORY_PATH}/${HISTORY_UUID} の値を入力し、接続詳細を保存します。
接続を保存します。
次に、「guests」という名前のグループを作成し、それを接続に割り当てます。
/etc/kcm-setup/docker-compose.ymlにあるguacamoleセクションに以下の変更を加えます。
ADDITIONAL_GUACAMOLE_PROPERTIESをguacamoleのenvironmentセクションに追加します。
XX.XX.XX.XXを「admin」として扱い、ゲストモードから除外するIPアドレスに置き換えます。これはKCM設定の変更が必要な場合に使用します。
最初の手順で作成したKCM Auth Guestプラグインのボリュームマウントを追加します。
kcm-non-guest-networksは、ゲストユーザーとして扱わないIPアドレスおよび/またはサブネット (CIDR表記) のカンマ区切りリストを示します。これを省略すると、すべてのユーザーがゲストユーザーとして扱われます。
「guests」をデフォルトのグループ名として使用したくない場合は、kcm-guest-groupという別のguacamoleプロパティを追加することでカスタマイズできます。省略した場合、デフォルトのグループ名「guests」が使用されます。
手順1でビルドしたkcm-auth-guest-1.5.2-2.jar拡張ファイルをサーバーに転送し、/etc/kcm-setup/ディレクトリに配置してください。
新しい設定と拡張ファイルでコンテナを更新します。
サービスが開始され、ゲストユーザーに割り当てられた接続が開始します。ゲストモードは、「guests」グループに複数の接続を割り当てることも可能です。複数の接続が割り当てられている場合、ユーザーには選択肢が表示されます。
この手順は、Docker Composeファイルの構造やDockerの再起動設定によっては必要ない場合があります。ただし、下記のスクリプトを /etc/systemd/system/kcm.service というファイルに追加することで、再起動後にサービスが自動的に開始するようになります。
サービスをアクティブにします。
