KCMをボルトに接続
Keeperボルトを使用した特権セッションの作成
Last updated
Keeperボルトを使用した特権セッションの作成
Last updated
KCMをボルトに接続するには、Keeperシークレットマネージャー (KSM) を使用します。 最初に、管理コンソールで、属しているロールのロールポリシー強制設定で、KSMを有効にする必要があります。KSMを有効にすると、左側のメニューに「シークレットマネージャー」というタブが表示されます。
この統合では、KCM サーバーが、Keeper テナントがホストされているTLS ポート443を介してKeeperシークレットマネージャー (KSM) エンドポイントと通信を行える必要があります。
US: keepersecurity.com EU: keepersecurity.eu AU: keepersecurity.com.au CA: keepersecurity.ca JP: keepersecurity.jp US_GOV: govcloud.keepersecurity.us
接続を確立するための認証情報は、Keeperの共有フォルダに保存されます。Keeperシークレットマネージャーアプリケーションが作成され、共有フォルダに関連付けられます。その後、base64デバイス設定が作成され、Keeperコネクションマネージャーサーバーに追加されます。
ボルトで共有フォルダを作成し、この共有フォルダにクレデンシャルレコードを格納します。 共有フォルダはこの時点で作成する必要がありますが、クレデンシャルは後で追加できます。
シークレットマネージャータブから、シークレットマネージャーアプリケーションを作成し、共有フォルダを選択します。次に、[デバイス] > [編集] > [デバイスの追加] > メソッドに「設定ファイル」、設定タイプに「Base64」を選択し、base64トークンをコピーするかダウンロードします。
reconfigureコマンドを実行して、Base64設定を入力します。
または、以下のように/etc/kcm-setup/docker-compose.yml
を編集し、Base64設定を「environment」セクションに追加することで、手動で入力することもできます。
ファイルを保存し、upgradeコマンドを実行して変更を反映します。
Keeperコネクションマネージャーインターフェースから新しい接続を作成します。これで、KCMのホスト名/IPと、このKSMアプリケーションに関連付けられた共有フォルダ内のレコードのホスト名/IPとを照合することで、動的トークンを使用してクレデンシャルを取得できます。
${KEEPER_SERVER_USERNAME}
や${KEEPER_SERVER_PASSWORD}
などのオプションが数多くあります。
セットアップは完了となります。他の照合機能と利用できる変数については、動的トークンのページでをご参照ください。
以下は、KeeperコマンダーCLIを使用してKeeperコネクションマネージャーとKeeperシークレットマネージャーの統合を確立するための手順です。
Keeperボルトを設定
Keeperボルトで、接続の作成に使用するクレデンシャルが格納される共有フォルダを作成します。以下の例では、Windows 2022 Serverのパスワード、SSH鍵、MySQLデータベースなどを含む「Connection Manager Secrets」という共有フォルダが作成されています。
KeeperコマンダーCLIをインストール
CLIツールを使用すると、設定をすばやく指定できます。
コマンダーのインストール方法はいくつか用意されており、バイナリインストーラ、pip3パッケージまたはPythonソースコードがご利用になれます。詳しくは下記のページをご参照ください。
コマンダーにログイン
コマンダーのインストール後、CLIにログインします。
以下のスクリーンショットの例では、FIDO2キーとマスターパスワードを使用して、Keeper管理者アカウントでログインしています。セキュリティ設定によっては、デバイス検証、MFA、パスワード入力にパスしなければならない場合もあります。
共有フォルダのUIDを取得
コマンドlsf
は、共有フォルダを一覧表示して、UIDを表示します。
この例で使用中の共有フォルダのUIDは、zyMiCn8596yvMln4YwdEdA
です。
アプリケーションを作成
共有フォルダに割り当てられたボルトにシークレットマネージャーアプリケーションを作成します。アプリケーションは、1つまたは複数のデバイスで構成されます。ここでは、シークレットマネージャーアプリケーションを作成し、アプリケーションのUIDを取得します。
この例で結果として生成されるシークレットマネージャーアプリのUIDは、YGHY7nWrvkzEzF0I2AuFfg
です。
アプリケーションに共有フォルダを割り当て
この手順では、アプリケーションに共有フォルダを割り当てます。
成功すると、「Successfully added secrets to app」 (シークレットがアプリに正常に追加されました) という応答が表示されます。
クライアントの設定を生成
この手順では、クライアントデバイスの設定を作成します。このクライアントデバイスの設定は、コネクションマネージャーに直接提供されます。
緑色の「Initialized Config」 (初期化設定) セクションをKeeperコネクションマネージャーの設定ファイルに追加します。設定の場所は、以下で説明するように、インストールメソッドによって異なります。
次のセクションで初期化するトークンをコピーします
Docker自動インストールメソッドを使用してKeeperコネクションマネージャーをインストールした場合、自動生成されたDocker Composeファイルを変更して連携トークンを含める必要があります。
ローカルインスタンスでは、コンテナを停止することをお勧めします。そのためには、kcm-setupを使用するか、docker-composeを直接使用します。
または
dockerの簡易メソッドを使用すると、事前設定されたdocker-compose.yml
ファイルが作成されます。KSMサポートを追加するには、このファイルを1か所変更する必要があります。
rootとして、/etc/kcm-setup/docker-compose.yml
ファイルを編集します。Linuxシステムでは、nanoやvimなど任意のエディタをご使用ください。
「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。
ファイルを保存してコンテナを更新
ファイルの変更を保存後、コンテナを更新します。
ログインのテストとトークンの初期化
これでKSMとの連携が完了したので、Keeperコネクションマネージャーに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。
ログインも接続の開始もできない場合は、トラブルシューティングセクションを参照して、ログファイルの調査方法をご確認ください。
Dockerカスタムインストールメソッドを使用してKeeperコネクションマネージャーをインストールした場合、Docker Composeファイルを変更して連携トークンを含める必要があります。連携を有効化する手順は以下のとおりです。
ローカルインスタンスで、コンテナを停止します。
docker-compose.yml
ファイルを編集します。「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。
ファイルを保存してコンテナを更新
ファイルの変更を保存後、コンテナを更新します。
ログインのテストとトークンの初期化
これでKSMとの連携が完了したので、Keeperコネクションマネージャーに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。
ログインも接続の開始もできない場合は、トラブルシューティングセクションを参照して、ログファイルの調査方法をご確認ください。