KeeperPAMコマンド

概要

検出、パスワードローテーション、PAM構成、Keeperゲートウェイ構成など、KeeperPAMの各機能は、pam コマンドおよびそのサブコマンドを使用してコマンダー上で制御・操作できます。

pamコマンド

コマンド: pam

詳細: KeeperPAMの制御を行います。

My Vault> pam
pam command [--options]
​
Command     Description
----------  -----------------------------------------
gateway     Manage Gateways
config      Manage PAM Configurations
rotation    Manage Rotations
action      Execute action on the Gateway
tunnel      Manage Tunnels
split       Split credentials from legacy PAM Machine
legacy      Switch to legacy PAM commands
connection  Manage Connections
rbi         Manage Remote Browser Isolation
project     PAM Project Import/Export

サブコマンド

• gateway

• config

• rotation

• action

• tunnel

• split

• connection

• rbi

• project

サブコマンド: gateway

詳細: Keeperゲートウェイサービスを表示、作成、削除します。Keeperゲートウェイの詳細については、こちらのページご参照ください。

new

サブコマンド: config

詳細: Keeper PAMの設定を表示、作成、編集、削除します。PAM設定とKeeperのローテーション機能の詳細については、パスワードローテーションのページをご参照ください。

new

edit

list

remove

サブコマンド: connection

このコマンドは、PAMマシンおよびPAMデータベースのレコードに紐づいたKCMの接続パラメータおよびユーザーアカウントを編集します。一括での処理には、run-batch コマンドを使用できます。接続を開始するにはKeeperボルトかデスクトップアプリを使用します。

要件: PAMユーザー認証情報、PAMマシンまたはPAMデータベースのレコードが共有フォルダに登録されており、ゲートウェイが構成済みで、すべてがPAM構成で連携されていることを確認してください。

edit

例

例1: RDP接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にします。

例2: SSH接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にしたうえで、出力を表示しないサイレントモードで実行します。

例3: MSSQL接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、typescript形式の録画を有効にします。

サブコマンド: rbi

このコマンドを使用すると、レコードのリモートブラウザ分離設定を編集できます。

edit

サブコマンド: rotation

詳細: レコードのKeeperローテーションの設定を表示および作成します。

edit

JSONでローテーションスケジュールを設定する例

schedulejson または -sj パラメーターを使用して、JSON形式でスケジュールを設定します。 以下は、PAMユーザーレコードを毎月1日の午前4時 (現地時間) にローテーションする例です。

PAMユーザーレコードを毎週土曜日の午後10時 (現地時間) にローテーションします。

以下は有効なスケジュールタイプです。

ON DEMAND

ジョブをオンデマンド (手動) で発動します。

DAILY

ジョブが毎日実行されます。

• type : DAILY

• time : ジョブを実行する時刻 (24時間表記)

• tz : ご自身のIANAタイムゾーン (例: America/Chicago)

• intervalCount : 任意。実行の間隔 (日数) を指定できます。これにより、実行する日をスキップできます。

WEEKLY

ジョブが毎週実行されます。

• type : WEEKLY

• weekday : 実行する曜日 (以下のいずれかをすべて大文字で指定)

  • SUNDAY

  • MONDAY

  • TUESDAY

  • WEDNESDAY

  • THURSDAY

  • FRIDAY

  • SATURDAY

• time : ジョブを実行する時刻 (24時間表記)

• tz : ご自身のIANAタイムゾーン (例: America/Chicago)

• intervalCount : 任意。intervalCount に 1 より大きい値を設定した場合、weekday の指定は無視されます。ジョブは日曜日を起点として、指定した間隔 (日数) に基づき、週に複数回実行されます。実行日は intervalCount の値に従って決定されます。

MONTHLY_BY_DAY

ジョブが毎月、特定の日に実行されます。

• type : MONTHLY_BY_DAY

• monthDay : 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年でのみ有効となりますのでご留意ください。

• time : ジョブを実行する時刻 (24時間表記)

• tz : ご自身のIANAタイムゾーン (例: America/Chicago)

• intervalCount : 任意。2以上の値を指定すると、monthDay にジョブが実行されたあと、指定した日数ごとに再実行されます。

MONTHLY_BY_WEEKDAY ジョブが毎月、特定の曜日と時刻に実行されます。

• type : MONTHLY_BY_WEEKDAY

• weekday : 曜日名。すべて大文字で指定してください。

  • SUNDAY

  • MONDAY

  • TUESDAY

  • WEDNESDAY

  • THURSDAY

  • FRIDAY

  • SATURDAY

• occurrence : その月のどの週で実行するかを指定します。5週目の場合はLASTを使用します。

  • FIRST

  • SECOND

  • THIRD

  • FOURTH

  • LAST

• time : ジョブを実行する時刻 (24時間表記)

• tz : ご自身のIANAタイムゾーン (例: America/Chicago)

• intervalCount : 任意。値が 1 以外に設定された場合、指定した曜日から開始し、intervalCount 週ごとに実行されます。

YEARLY

ジョブは毎年、指定した「月」「日」「時刻」に実行されます。

• type : YEARLY

• month : 月の名前。すべて大文字で指定します。

  • JANUARY

  • FEBRUARY

  • MARCH

  • APRIL

  • MAY

  • JUNE

  • JULY

  • AUGUST

  • SEPTEMBER

  • OCTOBER

  • NOVEMBER

  • DECEMBER

• monthDay : 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年に該当する場合があります。

• time : ジョブを実行する時刻 (24時間表記)

• tz : ローカルの IANA タイムゾーン (例: America/Chicago)

• intervalCount : 任意。1以外を設定すると、毎年ではなくintervalCount年ごとに実行されます。

パスワード複雑性の設定例 (PAMユーザー用)

--complexity または -x パラメータを使用して、パスワードの複雑性を指定します。

以下の要件を満たす20文字のパスワードを生成する設定

• 最低1文字の大文字

• 最低4文字の小文字

• 最低2文字の数字

• 最低2文字の記号 (.=+- を使用)

値はカンマ区切り (CSV形式) のもので、以下の項目で構成されています。

1. パスワードの全体の長さ

2. 最低限必要な大文字の数

3. 最低限必要な小文字の数

4. 最低限必要な数字の数

5. 最低限必要な記号の数

6. 特殊文字セット。最後のカンマの後に、使用したい記号を入力します。使用できるのは、以下の記号セットに含まれる文字のみです。空白のままにすると、この記号セットが使用されます。

list

ローテーションが設定されているすべてのリソースの一覧を表示します。

info

特定のリソースに対するローテーション設定の情報を表示します。

script

ポストローテーションPAMスクリプトを管理します。

サブコマンド: action

詳細: Keeperゲートウェイを介して特権アカウントを検出

gateway-info

特定のKeeperゲートウェイの情報を表示します。

discover

検出ジョブを管理します。

discover start

検出ジョブを開始します。

discover status

検出ジョブのステータスを表示します。

discover remove

実行中の検出ジョブを停止します。

discover process

検出ジョブの結果を処理します。

discover rule

検出ルールを管理します。

discover rule add

検出ルールを追加します。

rotate

特定のリソース、リソースのフォルダ、リソースタイトル内のパターンに対して、認証情報のローテーションを実行します。設定済みのメールプロバイダを使用して、ワンタイム共有リンクをメールで送信することもできます。

job-info

実行中のジョブの情報を表示します。

job-cancel

実行中のジョブをキャンセルします。

service list

特定のKeeperゲートウェイに関連するサービスとスケジュールタスクを表示します。

service add

サービスを特定のKeeperゲートウェイおよびPAMマシンに関連付けます。関連付けられると、Keeperはそのサービスの認証情報を指定されたPAMマシン上で更新し、サービスが実行中であれば再起動します。

service remove

特定のPAMマシン上のサービスに対する関連付けを削除します。

サブコマンド: tunnel

詳細: ローカルマシンから対象インフラへのKeeperトンネルの表示および作成を行います。

start

ローカルデバイスから対象のリソースへのトンネルを開始します。

list

すべての実行中のトンネルの一覧を表示します。

stop

現在実行中のトンネルを停止します。

tail

Keeperトンネル内の情報を表示します。

edit

既存のトンネルの構成を編集します。

サブコマンド: split

詳細: レガシーPAMレコードを新しいKeeperPAM形式に分割します。

サブコマンド: project

詳細: KeeperPAMプロジェクトを作成します (ボルトのUIにあるクイックスタートサンドボックスに類似）。

PAMインポートコマンドは、数千の管理対象企業を持つMSPなどの顧客が、フォルダ、ゲートウェイ、マシン、ユーザー、接続、トンネル、(オプションで) ローテーションの作成を自動化するのに役立ちます。

pam project import --name=project1 --filename=/path/to/import.json --dry-run

• --name, -n → プロジェクト名 (JSON内の "project":"" を上書きします)

• --filename, -f → インポートデータを読み込むJSONファイル

• --dry-run, -d → ボルトを変更せずにインポートをテストします。

JSONインポートに関するドキュメント

• サーバーホスト名の一覧からWindowsサーバーをPAMリソースとしてインポートする手順については、「PAMリソースのインポート」のページをご参照ください。

• pam project import用テンプレートの詳細な仕様については、こちらのGitHubのREADMEをご確認ください。

• ご不明な点がございましあら、コマンダーチーム ([email protected]) までご連絡ください。