Linuxコマンドラインによる設定

LinuxでのGUIを使用しない設定

コマンドラインでSSO Connectを設定したい場合は、以下のセクションをご参照ください。 SSO Connectをすでに設定済みの場合は、IDプロバイダの設定(Identity Provider Setup)セクションにお進みください。

対話モードを使用したLinuxの設定

Keeper SSO Connectは、コンフィギュレーションモードで起動でき、この場合、必要なパラメータの入力を求められます。

  1. 実行中のSSOConnectプロセスがある場合は、CTRL-Cを押すか、プロセスを強制終了して停止します。

  2. SSL証明書をSSO Connectサーバーにコピーします。証明書は、PKCS#12形式またはJavaキーストア形式、つまり.pfx.p12.jksで終わるファイルである必要があります。

  3. IdPのSAML XMLメタデータファイルをサーバーにコピーします。

    • これは、IDPの管理者サイト(Active Directory、Azure、F5、Google、Oktaなど)から取得します。

    • これは通常、.xmlファイルです。

  4. SSO Connectディレクトリで、SSO Connectをコンフィギュレーションモードで起動します: $ java -jar SSOConnect.jar -config

  5. 以下のパラメータを指定するよう求められます。

  6. Keeper管理者のメールアドレス(会社のKeeper管理コンソールにログインするため)

  7. Keeper管理者のマスターパスワード

  8. 二要素認証コード(アカウントで有効な場合)

  9. SSOドメイン名(この属性はKeeper管理コンソールのSSO Connectのプロビジョニング画面で定義します)

    • Keeperで設定したドメインごとに、SSO Connectを個別にインストールする必要があることにご注意ください。

次で、個々のパラメータを設定できるようになります。設定を空白のままにする(を押す)と、デフォルトの設定が適用されます。

  • SSO Connect外部ホスト名またはIPアドレス

  • 外部SSLポート(デフォルトは8443)

  • ローカル(プライベート)IP

  • ローカル(プライベート)ポート

  • 証明書を使用してSAMLレスポンス/リクエストを復号および署名する(True/False)

  • 「ファーストネーム(First Name)」のSAML属性マッピング

  • 「ラストネーム(Last Name)」のSAML属性マッピング

  • 「メール(Email)」のSAML属性マッピング

  • IdPタイプ(Google、Okta、Azureなど...)

  • キーストアのパスワード(Javaキーストアを使用する場合)

  • PKCS#12パスフレーズ(SSL鍵を使用する場合)

  • 鍵ファイルのフルパスと名前

  • IdP SAMLメタデータファイルのフルパスと名前

以下の質問は、HSM(ハードウェアセキュリティモジュール)を使用した、鍵の安全な保管に関するものです。HSMを利用していない場合、またはSSO ConnectでHSMを利用したくない場合は、このセクションは省略できます。

  • セキュアキーストレージを設定します(y/N):

  • セキュアキーストレージのタイプ(Gemalto SafeNet Luna HSM):Enter (AWS Cavium CloudHsmV2もサポートされています)

  • セキュアストレージデバイスのアクセスパラメータ(スロット、パスワード):Enter

  • スロット: <自スロット番号(your slot)> (Gemaltoでは必須、多くの場合0または1)

  • パスワード: ******** (Gemaltoでは必須、これはHSMのクリプトオフィサーのパスワードです)

  • 証明書チェーンファイル(/home/ubuntu/keeperSSO/data/sso_keystore.jks):Enter (必須)

  • 証明書チェーンファイルのパスワード(なし):

  • セキュアキーストレージを有効化します(Y/n):

設定が正常に実行されると、各インスタンスのサービスを再起動したときに、他のすべてのSSO Connectサービスに同期されます。SSO Connectが起動してKeeperサーバーと通信できるだけの設定が完了すると、設定は再起動時に同じドメイン上の他のすべてのSSO Connectインスタンスに同期されます。

注意:JKSキーストアタイプでは、キーストアとパスフレーズの両方を同じにすることが必要な場合があります

SSO Connectは、コンフィグレーションセッションの終了後に自動的に開始されないため、以下のように開始する必要があります。

$ java -jar SSOConnect.jar

豊富なコマンドラインパラメータを使用したSSHによるLinux設定

SSO Connectは、多くのコマンドラインオプションをサポートしており、スクリプトに利用して、SSL鍵のローテーションなどの操作を自動化できます。

コマンドラインパラメータオプションの完全なリストを表示するには、「-h」フラグをご使用ください。

$ java -jar SSOConnect.jar -h 

Usage: java -jar path\_to\_jars/SSOConnect.jar \[option \[option\_argument\]\]\[option \[option\_argument\]\]\[...\]

オプション

説明

-hまたは-help

ヘルプテキストを表示します。

-cまたは-config

プロンプトを使用してSSOConnectを設定します。

-vまたは-version

バージョンを出力します。

-lまたは-list

設定内容をコンソールに出力します。

-dまたは-debug

トラブルシューティングのための、クラスパスなどの情報をコンソールに出力します。

-sまたは-sync

完全な同期を実行します。システムがすでに初期化されている必要があります。

SSOConnectは、以下のコマンドラインスイッチを使用して設定することもできます。

設定引数説明

-username

文字列

SSO Connectのこのインスタンスを設定できる管理者のユーザー名

-password

文字列

Keeperマスターパスワード

-twofactor

文字列

二要素認証トークン

-initialize

文字列

インスタンスを初期化するSSO名。

-enableSKS

なし

セキュアキーストレージ(ハードウェアセキュリティモジュールなど)をオンにします

-disableSKS

なし

セキュアキーストレージ(ハードウェアセキュリティモジュールなど)をオフにします

注意: インスタンスが初期化済みの場合、データディレクトリ内のコンテンツを削除しないと再初期化できません

数値設定引数説明

-export

文字列

SSOConnectサービスプロバイダXMLを引数として指定されたファイル名にエクスポートします。インスタンスがすでに初期化されている必要があります。

-sso_connect_host

文字列

公開された/アドバタイズされたFQDN(完全修飾ドメイン名)

-sso_ssl_port

数値

公開された/アドバタイズされたSSO Connectのポート

-private_ip

文字列

sslサービスをバインドするIPアドレス(指定しない場合は、sso_connect_hostの名前解決されたIPアドレスがデフォルトに設定されます)

-private_port

数値

sslサービスをバインドするポート番号(指定しない場合は、sso_ssl_portが使用されます)

-key_store_type

文字列

jksまたはp12のいずれか

-key_store_password

文字列

キーストアのパスワード

-key_password

文字列

キーストア内の各鍵のパスワード

-key_type

文字列

値には、「rsa」または「ec」(大文字と小文字を区別しない)が入ります

-ssl_file

パス

変換するsslファイルの場所

-saml_file

パス

samlファイルの場所

-sign_idp_traffic

ブール値

すべての発着信トラフィックが署名されている場合は真

-idp_type

数値

使用したいIDPに対応する番号:0 デフォルト、1 F5 Networks BIG-IP、2 Google、3 Okta、4 Microsoft ADFS、5 Microsoft Azure、6 OneLogin

-map_first_name

文字列

IDPがユーザーのファーストネームを送信するフィールド

-map_last_name

文字列

IDPがユーザーのラストネームを送信するフィールド

-map_email

文字列

IDPがユーザーのメールを送信するフィールド

-admin_port

数値

127.0.0.1で実行される管理上の設定用WebサーバーのHTTPポート。注意: この値はインスタンスごとに異なります。特定のマシンの設定用Webサーバーを無効にするには、これを0に設定するだけです。

コマンドラインオプションには、ユーザー名、パスワード、および二要素認証値(2FAが有効な場合)が必要です。オプションとして設定するか、または入力を求めるプロンプトが表示されます。

たとえば、実行環境のSSL鍵をローテーションするには、コマンドは以下のようになります。

$ java -jar SSOConnect.jar -key_store_type p12 -key_store_password XXX -key_password XXX -ssl_file /path/to/sslfile -saml_file /path/to/samlfile -username you@company.com -password masterpass -twofactor 123456

未設定のままにすると、対話型シェルを使用してパスワードを入力するように求められます。

インスタンスを設定すると、変更はHA環境内の他のすべてのSSO Connectインスタンスに即座に反映されます。

SSOConnectは標準のlog4j2ライブラリをロガーとして使用します。SSOConnectは、以下の順序で設定ファイルを検索します。

  • システム環境変数「logging.config」の値

  • 現在の作業ディレクトリのlog4j2.xml

  • SSOConnect.jarファイルがあるディレクトリのlog4j2.xml

  • log4j2の標準的な検索基準に従ったlog4j2設定ファイル

  • SSOConnect.jarファイル内に含まれるデフォルトのlog4j2.xml

log4j2.xmlファイルの変更は、サービスの再起動後に、そのlog4j2設定ファイルが最初に見つかった場合にのみ反映されます。

Last updated