Linuxコマンドラインによる設定
LinuxでのGUIを使用しない設定
コマンドラインでSSO Connectを設定したい場合は、以下のセクションをご参照ください。 SSO Connectをすでに設定済みの場合は、IDプロバイダの設定(Identity Provider Setup)セクションにお進みください。
対話モードを使用したLinuxの設定
Keeper SSO Connectは、コンフィギュレーションモードで起動でき、この場合、必要なパラメータの入力を求められます。
実行中のSSOConnectプロセスがある場合は、CTRL-Cを押すか、プロセスを強制終了して停止します。
SSL証明書をSSO Connectサーバーにコピーします。証明書は、PKCS#12形式またはJavaキーストア形式、つまり
.pfx
、.p12
、.jks
で終わるファイルである必要があります。IdPのSAML XMLメタデータファイルをサーバーにコピーします。
これは、IDPの管理者サイト(Active Directory、Azure、F5、Google、Oktaなど)から取得します。
これは通常、.xmlファイルです。
SSO Connectディレクトリで、SSO Connectをコンフィギュレーションモードで起動します:
$ java -jar SSOConnect.jar -config
以下のパラメータを指定するよう求められます。
Keeper管理者のメールアドレス(会社のKeeper管理コンソールにログインするため)
Keeper管理者のマスターパスワード
二要素認証コード(アカウントで有効な場合)
SSOドメイン名(この属性はKeeper管理コンソールのSSO Connectのプロビジョニング画面で定義します)
Keeperで設定したドメインごとに、SSO Connectを個別にインストールする必要があることにご注意ください。
次で、個々のパラメータを設定できるようになります。設定を空白のままにする(を押す)と、デフォルトの設定が適用されます。
SSO Connect外部ホスト名またはIPアドレス
外部SSLポート(デフォルトは8443)
ローカル(プライベート)IP
ローカル(プライベート)ポート
証明書を使用してSAMLレスポンス/リクエストを復号および署名する(True/False)
「ファーストネーム(First Name)」のSAML属性マッピング
「ラストネーム(Last Name)」のSAML属性マッピング
「メール(Email)」のSAML属性マッピング
IdPタイプ(Google、Okta、Azureなど...)
キーストアのパスワード(Javaキーストアを使用する場合)
PKCS#12パスフレーズ(SSL鍵を使用する場合)
鍵ファイルのフルパスと名前
IdP SAMLメタデータファイルのフルパスと名前
以下の質問は、HSM(ハードウェアセキュリティモジュール)を使用した、鍵の安全な保管に関するものです。HSMを利用していない場合、またはSSO ConnectでHSMを利用したくない場合は、このセクションは省略できます。
セキュアキーストレージを設定します(y/N):
セキュアキーストレージのタイプ(Gemalto SafeNet Luna HSM):
Enter
(AWS Cavium CloudHsmV2もサポートされています)セキュアストレージデバイスのアクセスパラメータ(スロット、パスワード):
Enter
スロット:
<自スロット番号(your slot)>
(Gemaltoでは必須、多くの場合0または1)パスワード:
********
(Gemaltoでは必須、これはHSMのクリプトオフィサーのパスワードです)証明書チェーンファイル(/home/ubuntu/keeperSSO/data/sso_keystore.jks):
Enter
(必須)証明書チェーンファイルのパスワード(なし):
セキュアキーストレージを有効化します(Y/n):
設定が正常に実行されると、各インスタンスのサービスを再起動したときに、他のすべてのSSO Connectサービスに同期されます。SSO Connectが起動してKeeperサーバーと通信できるだけの設定が完了すると、設定は再起動時に同じドメイン上の他のすべてのSSO Connectインスタンスに同期されます。
注意:JKSキーストアタイプでは、キーストアとパスフレーズの両方を同じにすることが必要な場合があります
SSO Connectは、コンフィグレーションセッションの終了後に自動的に開始されないため、以下のように開始する必要があります。
豊富なコマンドラインパラメータを使用したSSHによるLinux設定
SSO Connectは、多くのコマンドラインオプションをサポートしており、スクリプトに利用して、SSL鍵のローテーションなどの操作を自動化できます。
コマンドラインパラメータオプションの完全なリストを表示するには、「-h」フラグをご使用ください。
オプション | 説明 |
-hまたは-help | ヘルプテキストを表示します。 |
-cまたは-config | プロンプトを使用してSSOConnectを設定します。 |
-vまたは-version | バージョンを出力します。 |
-lまたは-list | 設定内容をコンソールに出力します。 |
-dまたは-debug | トラブルシューティングのための、クラスパスなどの情報をコンソールに出力します。 |
-sまたは-sync | 完全な同期を実行します。システムがすでに初期化されている必要があります。 |
SSOConnectは、以下のコマンドラインスイッチを使用して設定することもできます。
設定 | 引数 | 説明 |
---|---|---|
-username | 文字列 | SSO Connectのこのインスタンスを設定できる管理者のユーザー名 |
-password | 文字列 | Keeperマスターパスワード |
-twofactor | 文字列 | 二要素認証トークン |
-initialize | 文字列 | インスタンスを初期化するSSO名。 |
-enableSKS | なし | セキュアキーストレージ(ハードウェアセキュリティモジュールなど)をオンにします |
-disableSKS | なし | セキュアキーストレージ(ハードウェアセキュリティモジュールなど)をオフにします |
注意: インスタンスが初期化済みの場合、データディレクトリ内のコンテンツを削除しないと再初期化できません
数値設定 | 引数 | 説明 |
---|---|---|
-export | 文字列 | SSOConnectサービスプロバイダXMLを引数として指定されたファイル名にエクスポートします。インスタンスがすでに初期化されている必要があります。 |
-sso_connect_host | 文字列 | 公開された/アドバタイズされたFQDN(完全修飾ドメイン名) |
-sso_ssl_port | 数値 | 公開された/アドバタイズされたSSO Connectのポート |
-private_ip | 文字列 | sslサービスをバインドするIPアドレス(指定しない場合は、sso_connect_hostの名前解決されたIPアドレスがデフォルトに設定されます) |
-private_port | 数値 | sslサービスをバインドするポート番号(指定しない場合は、sso_ssl_portが使用されます) |
-key_store_type | 文字列 | jksまたはp12のいずれか |
-key_store_password | 文字列 | キーストアのパスワード |
-key_password | 文字列 | キーストア内の各鍵のパスワード |
-key_type | 文字列 | 値には、「rsa」または「ec」(大文字と小文字を区別しない)が入ります |
-ssl_file | パス | 変換するsslファイルの場所 |
-saml_file | パス | samlファイルの場所 |
-sign_idp_traffic | ブール値 | すべての発着信トラフィックが署名されている場合は真 |
-idp_type | 数値 | 使用したいIDPに対応する番号:0 デフォルト、1 F5 Networks BIG-IP、2 Google、3 Okta、4 Microsoft ADFS、5 Microsoft Azure、6 OneLogin |
-map_first_name | 文字列 | IDPがユーザーのファーストネームを送信するフィールド |
-map_last_name | 文字列 | IDPがユーザーのラストネームを送信するフィールド |
-map_email | 文字列 | IDPがユーザーのメールを送信するフィールド |
-admin_port | 数値 | 127.0.0.1で実行される管理上の設定用WebサーバーのHTTPポート。注意: この値はインスタンスごとに異なります。特定のマシンの設定用Webサーバーを無効にするには、これを0に設定するだけです。 |
コマンドラインオプションには、ユーザー名、パスワード、および二要素認証値(2FAが有効な場合)が必要です。オプションとして設定するか、または入力を求めるプロンプトが表示されます。
たとえば、実行環境のSSL鍵をローテーションするには、コマンドは以下のようになります。
未設定のままにすると、対話型シェルを使用してパスワードを入力するように求められます。
インスタンスを設定すると、変更はHA環境内の他のすべてのSSO Connectインスタンスに即座に反映されます。
SSOConnectは標準のlog4j2ライブラリをロガーとして使用します。SSOConnectは、以下の順序で設定ファイルを検索します。
システム環境変数「logging.config」の値
現在の作業ディレクトリのlog4j2.xml
SSOConnect.jarファイルがあるディレクトリのlog4j2.xml
log4j2の標準的な検索基準に従ったlog4j2設定ファイル
SSOConnect.jarファイル内に含まれるデフォルトのlog4j2.xml
log4j2.xmlファイルの変更は、サービスの再起動後に、そのlog4j2設定ファイルが最初に見つかった場合にのみ反映されます。
Last updated