KCMをボルトに接続
Keeperボルトを使用した特権セッションの作成
Last updated
Keeperボルトを使用した特権セッションの作成
Last updated
KCMをボルトに接続するには、Keeper Secrets Manager (KSM) を使用します。 最初に、管理コンソールで、属しているロールのロールポリシー強制設定で、KSMを有効にする必要があります。KSMを有効にすると、左側のメニューに「Secrets Manager」というタブが表示されます。
この統合では、KCM サーバーが、Keeper テナントがホストされているTLS ポート443を介してKeeper Secrets Manager (KSM) エンドポイントと通信を行える必要があります。
US: keepersecurity.com EU: keepersecurity.eu AU: keepersecurity.com.au CA: keepersecurity.ca JP: keepersecurity.jp US_GOV: govcloud.keepersecurity.us
接続を確立するための認証情報は、Keeperの共有フォルダに保存されます。Keeper Secrets Managerアプリケーションが作成され、共有フォルダに関連付けられます。その後、base64デバイス設定が作成され、Keeper Connection Managerサーバーに追加されます。
(1) ボルトで共有フォルダを作成し、この共有フォルダにクレデンシャル記録を格納します。 共有フォルダはこの時点で作成する必要がありますが、クレデンシャルは後で追加できます。
(2) Secrets Managerタブから、Secrets Managerアプリケーションを作成し、共有フォルダを選択します。次に、[デバイス] > [編集] > [デバイスの追加] > メソッドに「設定ファイル」、設定タイプに「Base64」を選択し、base64トークンをコピーするかダウンロードします。
(3) reconfigureコマンドを実行して、Base64設定を入力します。
または、以下のように/etc/kcm-setup/docker-compose.ymlを編集し、Base64設定を「environment」セクションに追加することで、手動で入力することもできます。
(4) ファイルを保存し、upgradeコマンドを実行して変更を反映します。
(5) Keeper Connection Managerインターフェースから新しい接続を作成します。これで、KCMのホスト名/IPと、このKSMアプリケーションに関連付けられた共有フォルダ内の記録のホスト名/IPとを照合することで、動的トークンを使用してクレデンシャルを取得できます。
${KEEPER_SERVER_USERNAME}や${KEEPER_SERVER_PASSWORD}などのオプションが数多くあります。
セットアップは完了となります。他の照合機能と利用できる変数については、動的トークンのページでをご参照ください。
以下は、Keeper Commander CLIを使用してKeeper Connecter ManagerとKeeper Secrets Managerの統合を確立するための手順です。
(1) Keeperボルトを設定
Keeperボルトで、接続の作成に使用するクレデンシャルが格納される共有フォルダを作成します。以下の例では、Windows 2022 Serverのパスワード、SSH鍵、MySQLデータベースなどを含む「Connection Manager Secrets」という共有フォルダが作成されています。
(2) Keeper Commander CLIをインストール
CLIツールを使用すると、設定をすばやく指定できます。
Commanderのインストール方法はいくつか用意されており、バイナリインストーラ、pip3パッケージまたはPythonソースコードがご利用になれます。詳しくは下記のページをご参照ください。
(3) Commanderにログイン
Commanderのインストール後、CLIにログインします。
以下のスクリーンショットの例では、FIDO2キーとマスターパスワードを使用して、Keeper管理者アカウントでログインしています。セキュリティ設定によっては、デバイス検証、MFA、パスワード入力にパスしなければならない場合もあります。
(4) 共有フォルダのUIDを取得
コマンドlsfは、共有フォルダを一覧表示して、UIDを表示します。
この例で使用中の共有フォルダのUIDは、zyMiCn8596yvMln4YwdEdAです。
(5) アプリケーションを作成
共有フォルダに割り当てられたボルトにSecrets Managerアプリケーションを作成します。アプリケーションは、1つまたは複数のデバイスで構成されます。ここでは、Secrets Managerアプリケーションを作成し、アプリケーションのUIDを取得します。
この例で結果として生成されるSecrets ManagerアプリのUIDは、YGHY7nWrvkzEzF0I2AuFfgです。
(6) アプリケーションに共有フォルダを割り当て
この手順では、アプリケーションに共有フォルダを割り当てます。
成功すると、「Successfully added secrets to app」 (シークレットがアプリに正常に追加されました) という応答が表示されます。
(7) クライアントの設定を生成
この手順では、クライアントデバイスの設定を作成します。このクライアントデバイスの設定は、Connection Managerに直接提供されます。
緑色の「Initialized Config」 (初期化設定) セクションをKeeper Connection Managerの設定ファイルに追加します。設定の場所は、以下で説明するように、インストールメソッドによって異なります。
次のセクションで初期化するトークンをコピーします
Docker自動インストールメソッドを使用してKeeper Connection Managerをインストールした場合、自動生成されたDocker Composeファイルを変更して連携トークンを含める必要があります。
(1) ローカルインスタンスでは、コンテナを停止することをお勧めします。そのためには、kcm-setupを使用するか、docker-composeを直接使用します。
または
dockerの簡易メソッドを使用すると、事前設定されたdocker-compose.ymlファイルが作成されます。KSMサポートを追加するには、このファイルを1か所変更する必要があります。
(2) rootとして、/etc/kcm-setup/docker-compose.ymlファイルを編集します。Linuxシステムでは、nanoやvimなど任意のエディタをご使用ください。
「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。
(3) ファイルを保存してコンテナを更新
ファイルの変更を保存後、コンテナを更新します。
ログインのテストとトークンの初期化
これでKSMとの連携が完了したので、Keeper Connection Managerに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。
ログインも接続の開始もできない場合は、トラブルシューティングセクションを参照して、ログファイルの調査方法をご確認ください。
Dockerカスタムインストールメソッドを使用してKeeper Connection Managerをインストールした場合、Docker Composeファイルを変更して連携トークンを含める必要があります。連携を有効化する手順は以下のとおりです。
(1) ローカルインスタンスで、コンテナを停止します。
(2) docker-compose.ymlファイルを編集します。「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。
(3) ファイルを保存してコンテナを更新
ファイルの変更を保存後、コンテナを更新します。
ログインのテストとトークンの初期化
これでKSMとの連携が完了したので、Keeper Connection Managerに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。
ログインも接続の開始もできない場合は、トラブルシューティングセクションを参照して、ログファイルの調査方法をご確認ください。
