編集

LinuxベースのDocker

Keeperオートメーターをシンプルなdocker環境にデプロイする方法

LinuxベースのDocker

本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。

SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。SSL証明書の秘密鍵や.pfxファイルは、Keeperボルトに保存してください。

セットアップ

  1. Dockerのインストール

Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。

Dockerサービスが実行されていない場合は、Dockerサービスを開始します。

次に、サービスが自動的に開始するように設定します。

root以外のユーザーにDockerの実行を許可するには (セキュリティ要件を満たしている場合)、以下のコマンドを実行します。

  1. オートメーターイメージの取得

docker pullコマンドを使用して、最新のKeeperオートメーターイメージを取得します。

  1. サービスの開始

以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。

  1. 証明書の更新

dockerコンテナ内にconfigフォルダを作成します。

証明書ガイドで作成したssl-certificate.pfxファイルをコンテナにコピーします。

.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルを作成します。

そのファイルをdockerコンテナに配置します。

コンテナ内のkeeper.propertiesファイルで、ssl_modeパラメータがcertificateに設定されていることを確認してください。

  1. SSL証明書を使用してコンテナを再起動

証明書がインストールされましたので、Dockerコンテナを再起動します。

  1. Keeperコマンダーをインストール

この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。

ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。 コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。

  1. コマンダーで初期化

Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。

ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールのUIに表示されます。

Automator作成

コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (teamteam_for_userdevice)。

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

新しい設定でオートメーターを初期化します。

オートメーターサービスを有効にします。

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はその例です。

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。

  • Keeper管理コンソールへログインします。

  • [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

  • [SP証明書をエクスポート]をクリックします。

  • AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

  • [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

  • [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

サービスの確保

Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

サービスの再起動

Keeperオートメーターサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。

コンテナの更新

Keeperオートメーターの新しいバージョンが利用できるようになった際には、上記の手順2〜7 繰り返すことでオートメーターサービスを更新できます。以下は例です。

Keeperコマンダーのコマンドを実行します。

トラブルシューティング

サービスが始まらない

Keeperオートメーターのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。

以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。

前へLinuxベースのJava次へDocker Compose

最終更新

役に立ちましたか?