KeeperPAMコマンド
検出、パスワードローテーション、接続、トンネル接続などのKeeperPAM機能の管理
概要
検出、パスワードローテーション、PAM構成、Keeperゲートウェイ構成など、KeeperPAMの各機能は、pam コマンドおよびそのサブコマンドを使用してコマンダー上で制御・操作できます。
pamコマンド
コマンド: pam
詳細: KeeperPAMの制御を行います。
My Vault> pam
pam command [--options]
Command Description
---------- -----------------------------------------
gateway Manage Gateways
config Manage PAM Configurations
rotation Manage Rotations
action Execute action on the Gateway
tunnel Manage Tunnels
split Split credentials from legacy PAM Machine
legacy Switch to legacy PAM commands
connection Manage Connections
rbi Manage Remote Browser Isolation
project PAM Project Import/Exportサブコマンド
rbi
サブコマンド: gateway
詳細: Keeperゲートウェイサービスを表示、作成、削除します。Keeperゲートウェイの詳細については、こちらのページご参照ください。
My Vault> pam gateway help
pam command [--options]
Command Description
--------- ------------------
list List Gateways
new Create new Gateway
remove Remove Gatewaynew
My Vault> pam gateway new -h
usage: dr-create-gateway [-h] --name GATEWAY_NAME --application KSM_APP [--token-expires-in-min TOKEN_EXPIRE_IN_MIN]
[--return_value] [--config-init {json,b64}]
options:
-h, --help show this help message and exit
--name GATEWAY_NAME, -n GATEWAY_NAME
Name of the Gateway
--application KSM_APP, -a KSM_APP
KSM Application name or UID. Use command `sm app list` to view available KSM Applications.
--token-expires-in-min TOKEN_EXPIRE_IN_MIN, -e TOKEN_EXPIRE_IN_MIN
Time for the one time token to expire. Maximum 1440 minutes (24 hrs). Default: 60
--return_value, -r Return value from the command for automation purposes
--config-init {json,b64}, -c {json,b64}
Initialize client config and return configuration string.サブコマンド: config
詳細: Keeper PAMの設定を表示、作成、編集、削除します。PAM設定とKeeperのローテーション機能の詳細については、パスワードローテーションのページをご参照ください。
My Vault> pam config help
pam command [--options]
Command Description
--------- -------------------------------------------------------------
new Create new PAM Configuration
edit Edit PAM Configuration
list List available PAM Configurations associated with the Gateway
remove Remove a PAM Configurationnew
My Vault> pam config new -h
usage: pam config new [-h] [--environment {local,aws,azure}] [--title TITLE] [--gateway GATEWAY_UID]
[--shared-folder SHARED_FOLDER_UID] [--schedule DEFAULT_SCHEDULE] [--port-mapping PORT_MAPPING]
[--network-id NETWORK_ID] [--network-cidr NETWORK_CIDR] [--aws-id AWS_ID]
[--access-key-id ACCESS_KEY_ID] [--access-secret-key ACCESS_SECRET_KEY] [--region-name REGION_NAMES]
[--azure-id AZURE_ID] [--client-id CLIENT_ID] [--client-secret CLIENT_SECRET]
[--subscription_id SUBSCRIPTION_ID] [--tenant-id TENANT_ID] [--resource-group RESOURCE_GROUP]
[--connections {on,off,default}] [--tunneling {on,off,default}] [--rotation {on,off,default}]
[--remote-browser-isolation {on,off,default}] [--connections-recording {on,off,default}]
[--typescript-recording {on,off,default}]
options:
-h, --help show this help message and exit
--environment {local,aws,azure}, -env {local,aws,azure}
PAM Configuration Type
--title TITLE, -t TITLE
Title of the PAM Configuration
--gateway GATEWAY_UID, -g GATEWAY_UID
Gateway UID or Name
--shared-folder SHARED_FOLDER_UID, -sf SHARED_FOLDER_UID
Share Folder where this PAM Configuration is stored. Should be one of the folders to which the
gateway has access to.
--schedule DEFAULT_SCHEDULE, -sc DEFAULT_SCHEDULE
Default Schedule: Use CRON syntax
--port-mapping PORT_MAPPING, -pm PORT_MAPPING
Port Mapping
--connections {on,off,default}, -c {on,off,default}
Set connections permissions
--tunneling {on,off,default}, -u {on,off,default}
Set tunneling permissions
--rotation {on,off,default}, -r {on,off,default}
Set rotation permissions
--remote-browser-isolation {on,off,default}, -rbi {on,off,default}
Set remote browser isolation permissions
--connections-recording {on,off,default}, -cr {on,off,default}
Set recording connections permissions for the resource
--typescript-recording {on,off,default}, -tr {on,off,default}
Set TypeScript recording permissions for the resource
network:
Local network configuration
--network-id NETWORK_ID
Network ID
--network-cidr NETWORK_CIDR
Network CIDR
aws:
AWS configuration
--aws-id AWS_ID AWS ID
--access-key-id ACCESS_KEY_ID
Access Key Id
--access-secret-key ACCESS_SECRET_KEY
Access Secret Key
--region-name REGION_NAMES
Region Names
azure:
Azure configuration
--azure-id AZURE_ID Azure Id
--client-id CLIENT_ID
Client Id
--client-secret CLIENT_SECRET
Client Secret
--subscription_id SUBSCRIPTION_ID
Subscription Id
--tenant-id TENANT_ID
Tenant Id
--resource-group RESOURCE_GROUP
Resource Groupedit
My Vault> pam config edit -h
usage: pam config edit [-h] [--environment {local,aws,azure,domain,oci}] [--title TITLE] [--gateway GATEWAY_UID] [--shared-folder SHARED_FOLDER_UID]
[--schedule DEFAULT_SCHEDULE] [--port-mapping PORT_MAPPING] [--network-id NETWORK_ID] [--network-cidr NETWORK_CIDR]
[--aws-id AWS_ID] [--access-key-id ACCESS_KEY_ID] [--access-secret-key ACCESS_SECRET_KEY] [--region-name REGION_NAMES]
[--azure-id AZURE_ID] [--client-id CLIENT_ID] [--client-secret CLIENT_SECRET] [--subscription_id SUBSCRIPTION_ID]
[--tenant-id TENANT_ID] [--resource-group RESOURCE_GROUPS] [--domain-id DOMAIN_ID] [--domain-hostname DOMAIN_HOSTNAME]
[--domain-port DOMAIN_PORT] [--domain-use-ssl {true,false}] [--domain-scan-dc-cidr {true,false}]
[--domain-network-cidr DOMAIN_NETWORK_CIDR] [--domain-admin DOMAIN_ADMINISTRATIVE_CREDENTIAL] [--oci-id OCI_ID]
[--oci-admin-id OCI_ADMIN_ID] [--oci-admin-public-key OCI_ADMIN_PUBLIC_KEY] [--oci-admin-private-key OCI_ADMIN_PRIVATE_KEY]
[--oci-tenancy OCI_TENANCY] [--oci-region OCI_REGION] [--remove-resource-record REMOVE_RECORDS]
[--connections {on,off,default}] [--tunneling {on,off,default}] [--rotation {on,off,default}]
[--remote-browser-isolation {on,off,default}] [--connections-recording {on,off,default}]
[--typescript-recording {on,off,default}]
uid
positional arguments:
uid The Config UID to edit
options:
-h, --help show this help message and exit
--environment, -env {local,aws,azure,domain,oci}
PAM Configuration Type
--title, -t TITLE Title of the PAM Configuration
--gateway, -g GATEWAY_UID
Gateway UID or Name
--shared-folder, -sf SHARED_FOLDER_UID
Share Folder where this PAM Configuration is stored. Should be one of the folders to which the gateway has access to.
--schedule, -sc DEFAULT_SCHEDULE
Default Schedule: Use CRON syntax
--port-mapping, -pm PORT_MAPPING
Port Mapping
--remove-resource-record, -rrr REMOVE_RECORDS
Resource Record UID to remove
--connections, -c {on,off,default}
Set connections permissions
--tunneling, -u {on,off,default}
Set tunneling permissions
--rotation, -r {on,off,default}
Set rotation permissions
--remote-browser-isolation, -rbi {on,off,default}
Set remote browser isolation permissions
--connections-recording, -cr {on,off,default}
Set recording connections permissions for the resource
--typescript-recording, -tr {on,off,default}
Set TypeScript recording permissions for the resource
network:
Local network configuration
--network-id NETWORK_ID
Network ID
--network-cidr NETWORK_CIDR
Network CIDR
aws:
AWS configuration
--aws-id AWS_ID AWS ID
--access-key-id ACCESS_KEY_ID
Access Key Id
--access-secret-key ACCESS_SECRET_KEY
Access Secret Key
--region-name REGION_NAMES
Region Names
azure:
Azure configuration
--azure-id AZURE_ID Azure Id
--client-id CLIENT_ID
Client Id
--client-secret CLIENT_SECRET
Client Secret
--subscription_id SUBSCRIPTION_ID
Subscription Id
--tenant-id TENANT_ID
Tenant Id
--resource-group RESOURCE_GROUPS
Resource Group
domain:
Domain configuration
--domain-id DOMAIN_ID
Domain ID
--domain-hostname DOMAIN_HOSTNAME
Domain hostname
--domain-port DOMAIN_PORT
Domain port
--domain-use-ssl {true,false}
Domain use SSL flag
--domain-scan-dc-cidr {true,false}
Domain scan DC CIDR flag
--domain-network-cidr DOMAIN_NETWORK_CIDR
Domain Network CIDR
--domain-admin DOMAIN_ADMINISTRATIVE_CREDENTIAL
Domain administrative credential
oci:
OCI configuration
--oci-id OCI_ID OCI ID
--oci-admin-id OCI_ADMIN_ID
OCI Admin ID
--oci-admin-public-key OCI_ADMIN_PUBLIC_KEY
OCI admin public key
--oci-admin-private-key OCI_ADMIN_PRIVATE_KEY
OCI admin private key
--oci-tenancy OCI_TENANCY
OCI tenancy
--oci-region OCI_REGION
OCI regionlist
My Vault> pam config list -h
usage: pam config list [-h] [--config PAM_CONFIGURATION] [--verbose] [--format {table,json}]
options:
-h, --help show this help message and exit
--config, -c PAM_CONFIGURATION
Specific PAM Configuration UID
--verbose, -v Verbose
--format {table,json}
Output format (table, json)remove
My Vault> pam config remove -h
usage: pam config remove [-h] uid
positional arguments:
uid PAM Configuration UID. To view all rotation settings with their UIDs, use command `pam config list`
options:
-h, --help show this help message and exit
サブコマンド: connection
このコマンドは、PAMマシンおよびPAMデータベースのレコードに紐づいたKCMの接続パラメータおよびユーザーアカウントを編集します。一括での処理には、run-batch コマンドを使用できます。接続を開始するにはKeeperボルトかデスクトップアプリを使用します。
要件: PAMユーザー認証情報、PAMマシンまたはPAMデータベースのレコードが共有フォルダに登録されており、ゲートウェイが構成済みで、すべてがPAM構成で連携されていることを確認してください。
edit
usage: pam connection edit [-h] [--configuration CONFIG] [--admin-user ADMIN]
[--protocol {,http,kubernetes,mysql,postgresql,rdp,sql-server,ssh,telnet,vnc}]
[--connections {on,off,default}] [--connections-recording {on,off,default}]
[--typescript-recording {on,off,default}] [--connections-override-port CONNECTIONS_OVERRIDE_PORT]
[--silent]
record
positional arguments:
record The record UID or path of the PAM resource record with network information to use for connections
options:
-h, --help show this help message and exit
--configuration, -c CONFIG
The PAM Configuration UID or path to use for connections. Use command `pam config list` to view available
PAM Configurations.
--admin-user, -a ADMIN
The record path or UID of the PAM User record to configure the admin credential on the PAM Resource
--protocol, -p {,http,kubernetes,mysql,postgresql,rdp,sql-server,ssh,telnet,vnc}
Set connection protocol
--connections, -cn {on,off,default}
Set connections permissions
--connections-recording, -cr {on,off,default}
Set recording connections permissions for the resource
--typescript-recording, -tr {on,off,default}
Set TypeScript recording permissions for the resource
--connections-override-port, -cop CONNECTIONS_OVERRIDE_PORT
Port to use for connections. If not provided, the port from the record will be used.例
1. My Vault> pam connection edit "/Share Folder Name/Record Name" -c ocYDOuzwt3n0iYXuYk0lHw
-a "/Share Folder Name/Record Name" -p=rdp -cn=on -cr=on -cop=3389
2. My Vault> pam connection edit "/{{ Email }}/{{ Email }} SSH" -c ocYDOuzwt3n0iYXuYk0lHw
-a "/Share Folder Name/Record Name" -p=ssh -cn=on -cr=on -cop=22 -s
3. My Vault> pam connection edit "/{{ Email }}/{{ Email }} MSSQL" -c ocYDOuzwt3n0iYXuYk0lHw
-a "/Share Folder Name/Record Name" -p=sql-server -cn=on -tr=on -cop=1433例1: RDP接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にします。
例2: SSH接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にしたうえで、出力を表示しないサイレントモードで実行します。
例3: MSSQL接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、typescript形式の録画を有効にします。
サブコマンド: rbi
このコマンドを使用すると、レコードのリモートブラウザ分離設定を編集できます。
edit
usage: pam rbi edit [-h] --record RECORD [--configuration CONFIG] [--autofill-credentials AUTOFILL] [--key-events {on,off,default}]
[--remote-browser-isolation {on,off,default}] [--connections-recording {on,off,default}] [--silent]
options:
-h, --help show this help message and exit
--record, -r RECORD The record UID or path of the RBI record.
--configuration, -c CONFIG
The PAM Configuration UID or path to use for connections. Use command `pam config list` to view available PAM Configurations.
--autofill-credentials, -a AUTOFILL
The record UID or path of the RBI Autofill Credentials record.
--key-events, -k {on,off,default}
Toggle Key Events settings
--remote-browser-isolation, -rbi {on,off,default}
Set RBI permissions
--connections-recording, -cr {on,off,default}
Set recording connections permissions for the resource
--silent, -s Silent mode - don't print PAM User, PAM Config etc.
サブコマンド: rotation
詳細: レコードのKeeperローテーションの設定を表示および作成します。
My Vault> pam rotation help
pam command [--options]
Command Description
--------- -----------------------------------
set Set Record Rotation Configuration
list List Record Rotation Configurations
info Get Rotation Info
script Add, delete, or edit script fieldedit
My Vault> pam rotation edit --help
usage: pam rotation edit [-h] (--record RECORD_NAME | --folder FOLDER_NAME) [--force] [--config CONFIG]
[--iam-aad-config IAM_AAD_CONFIG_UID] [--resource RESOURCE] [--schedulejson SCHEDULE_JSON_DATA |
--schedulecron SCHEDULE_CRON_DATA | --on-demand | --schedule-config] [--complexity PWD_COMPLEXITY]
[--admin-user ADMIN] [--enable | --disable]
options:
-h, --help show this help message and exit
--record, -r RECORD_NAME
Record UID, name, or pattern to be rotated manually or via schedule
--folder, -fd FOLDER_NAME
Used for bulk rotation setup. The folder UID or name that holds records to be configured
--force, -f Do not ask for confirmation
--config, -c CONFIG UID or path of the configuration record.
--iam-aad-config, -iac IAM_AAD_CONFIG_UID
UID of a PAM Configuration. Used for an IAM or Azure AD user in place of --resource.
--resource, -rs RESOURCE
UID or path of the resource record.
--schedulejson, -sj SCHEDULE_JSON_DATA
JSON of the scheduler. Example: -sj '{"type": "WEEKLY", "utcTime": "15:44", "weekday": "SUNDAY",
"intervalCount": 1}'
--schedulecron, -sc SCHEDULE_CRON_DATA
Cron tab string of the scheduler. Example: to run job daily at 5:56PM UTC enter following cron -sc "56 17
* * *"
--on-demand, -od Schedule On Demand
--schedule-config, -sf
Schedule from Configuration
--schedule-only, -so Only update the rotation schedule without changing other settings
--complexity, -x PWD_COMPLEXITY
Password complexity: length, upper, lower, digits, symbols. Ex. 32,5,5,5,5[,SPECIAL CHARS]
--admin-user, -a ADMIN
UID or path for the PAMUser record to configure the admin credential on the PAM Resource as the Admin when
rotating
--enable, -e Enable rotation
--disable, -d Disable rotationJSONでローテーションスケジュールを設定する例
schedulejson または -sj パラメーターを使用して、JSON形式でスケジュールを設定します。
以下は、PAMユーザーレコードを毎月1日の午前4時 (現地時間) にローテーションする例です。
pam rotation edit -r XXXX -sj '{"type": "MONTHLY_BY_DAY", "monthDay": 1, "time": "04:00", "tz": "America/Chicago"}'PAMユーザーレコードを毎週土曜日の午後10時 (現地時間) にローテーションします。
pam rotation edit -r XXXX -sj '{"type": "WEEKLY", "weekday": "SATURDAY", "time": "22:00", "tz": "America/New_York"}'code以下は有効なスケジュールタイプです。
ON DEMAND
ジョブをオンデマンド (手動) で発動します。
pam rotation edit -r XXXX --on-demandDAILY
ジョブが毎日実行されます。
type: DAILYtime: ジョブを実行する時刻 (24時間表記)tz: ご自身のIANAタイムゾーン (例: America/Chicago)intervalCount: 任意。実行の間隔 (日数) を指定できます。これにより、実行する日をスキップできます。
WEEKLY
ジョブが毎週実行されます。
type: WEEKLYweekday: 実行する曜日 (以下のいずれかをすべて大文字で指定)SUNDAY
MONDAY
TUESDAY
WEDNESDAY
THURSDAY
FRIDAY
SATURDAY
time: ジョブを実行する時刻 (24時間表記)tz: ご自身のIANAタイムゾーン (例: America/Chicago)intervalCount: 任意。intervalCountに 1 より大きい値を設定した場合、weekdayの指定は無視されます。ジョブは日曜日を起点として、指定した間隔 (日数) に基づき、週に複数回実行されます。実行日はintervalCountの値に従って決定されます。
MONTHLY_BY_DAY
ジョブが毎月、特定の日に実行されます。
type: MONTHLY_BY_DAYmonthDay: 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年でのみ有効となりますのでご留意ください。time: ジョブを実行する時刻 (24時間表記)tz: ご自身のIANAタイムゾーン (例:America/Chicago)intervalCount: 任意。2以上の値を指定すると、monthDayにジョブが実行されたあと、指定した日数ごとに再実行されます。
MONTHLY_BY_WEEKDAY ジョブが毎月、特定の曜日と時刻に実行されます。
type: MONTHLY_BY_WEEKDAYweekday: 曜日名。すべて大文字で指定してください。SUNDAY
MONDAY
TUESDAY
WEDNESDAY
THURSDAY
FRIDAY
SATURDAY
occurrence: その月のどの週で実行するかを指定します。5週目の場合はLASTを使用します。FIRST
SECOND
THIRD
FOURTH
LAST
time: ジョブを実行する時刻 (24時間表記)tz: ご自身のIANAタイムゾーン (例:America/Chicago)intervalCount: 任意。値が 1 以外に設定された場合、指定した曜日から開始し、intervalCount週ごとに実行されます。
YEARLY
ジョブは毎年、指定した「月」「日」「時刻」に実行されます。
type:YEARLYmonth: 月の名前。すべて大文字で指定します。JANUARY
FEBRUARY
MARCH
APRIL
MAY
JUNE
JULY
AUGUST
SEPTEMBER
OCTOBER
NOVEMBER
DECEMBER
monthDay: 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年に該当する場合があります。time: ジョブを実行する時刻 (24時間表記)tz: ローカルの IANA タイムゾーン (例:America/Chicago)intervalCount: 任意。1以外を設定すると、毎年ではなくintervalCount年ごとに実行されます。
パスワード複雑性の設定例 (PAMユーザー用)
--complexity または -x パラメータを使用して、パスワードの複雑性を指定します。
以下の要件を満たす20文字のパスワードを生成する設定
最低1文字の大文字
最低4文字の小文字
最低2文字の数字
最低2文字の記号 (
.=+-を使用)
pam rotation edit -r XXXX -x 20,1,4,2,2,.=+-値はカンマ区切り (CSV形式) のもので、以下の項目で構成されています。
パスワードの全体の長さ
最低限必要な大文字の数
最低限必要な小文字の数
最低限必要な数字の数
最低限必要な記号の数
特殊文字セット。最後のカンマの後に、使用したい記号を入力します。使用できるのは、以下の記号セットに含まれる文字のみです。空白のままにすると、この記号セットが使用されます。
!@#$%^?();',.=+[]<>{}-_/\\*&:"`~|list
ローテーションが設定されているすべてのリソースの一覧を表示します。
My Vault> pam rotation list --help
usage: pam rotation list [-h] [--verbose]
optional arguments:
-h、--help show this help message and exit
--verbose、-v Verbose outputinfo
特定のリソースに対するローテーション設定の情報を表示します。
My Vault> pam rotation info --help
usage: dr-router-get-rotation-info-parser [-h] --record-uid RECORD_UID
optional arguments:
-h、--help show this help message and exit
--record-uid RECORD_UID, -r RECORD_UID
Record UID to rotatescript
ポストローテーションPAMスクリプトを管理します。
My Vault> pam rotation script --help
pam command [--options]
Command Description
--------- ---------------------------------
list List script fields
add List Record Rotation Schedulers
edit Add, delete, or edit script field
delete Delete script fieldサブコマンド: action
詳細: Keeperゲートウェイを介して特権アカウントを検出
My Vault> pam action help
pam command [--options]
Command Description
------------ ---------------------
gateway-info Info command
discover Discover command
rotate Rotate command
job-info View Job details
job-cancel View Job details
service Manage services and scheduled tasks
debug PAM debug informationgateway-info
特定のKeeperゲートウェイの情報を表示します。
My Vault> pam action gateway-info --help
usage: dr-info-command [-h] [--gateway GATEWAY_UID] [--verbose]
optional arguments:
-h、--help show this help message and exit
--gateway GATEWAY_UID, -g GATEWAY_UID
Gateway UID
--verbose、-v Verbose Outputdiscover
検出ジョブを管理します。
My Vault> pam action discover --help
pam command [--options]
Command Description
--------- ----------------------------------
start Start a discovery process
status Status of discovery jobs
remove Cancel or remove of discovery jobs
process Process discovered items
rule Manage discovery rulesdiscover start
検出ジョブを開始します。
My Vault> pam action discover start --help
usage: dr-discover-start-command [-h] --gateway GATEWAY [--resource RESOURCE_UID] [--lang LANGUAGE] [--include-machine-dir-users] [--inc-azure-aadds]
[--skip-rules] [--skip-machines] [--skip-databases] [--skip-directories] [--skip-cloud-users] [--cred CREDENTIALS]
[--cred-file CREDENTIAL_FILE]
options:
-h, --help show this help message and exit
--gateway GATEWAY, -g GATEWAY
Gateway name of UID.
--resource RESOURCE_UID, -r RESOURCE_UID
UID of the resource record. Set to discover specific resource.
--lang LANGUAGE Language
--include-machine-dir-users
Include directory users found on the machine.
--inc-azure-aadds Include Azure Active Directory Domain Service.
--skip-rules Skip running the rule engine.
--skip-machines Skip discovering machines.
--skip-databases Skip discovering databases.
--skip-directories Skip discovering directories.
--skip-cloud-users Skip discovering cloud users.
--cred CREDENTIALS List resource credentials.
--cred-file CREDENTIAL_FILE
A JSON file containing list of credentials.discover status
検出ジョブのステータスを表示します。
My Vault> pam action discover status --help
usage: dr-discover-status-command [-h] [--gateway GATEWAY] [--job-id JOB_ID] [--history]
options:
-h, --help show this help message and exit
--gateway GATEWAY, -g GATEWAY
Show only discovery jobs from a specific gateway.
--job-id JOB_ID, -j JOB_ID
Detailed information for a specific discovery job.
--history Show history
discover remove
実行中の検出ジョブを停止します。
My Vault> pam action discover remove --help
usage: dr-discover-command-process [-h] --job-id JOB_ID
options:
-h, --help show this help message and exit
--job-id JOB_ID, -j JOB_ID
Discovery job id.discover process
検出ジョブの結果を処理します。
My Vault> pam action discover process --help
usage: dr-discover-command-process [-h] --job-id JOB_ID [--add-all] [--debug-gs-level DEBUG_LEVEL]
options:
-h, --help show this help message and exit
--job-id JOB_ID, -j JOB_ID
Discovery job to process.
--add-all Respond with ADD for all prompts.
--debug-gs-level DEBUG_LEVEL
GraphSync debug level. Default is 0discover rule
検出ルールを管理します。
My Vault> pam action discover rule --help
pam command [--options]
Command Description
--------- --------------
add Add a rule
list List all rules
remove Remove a rule
update Update a rulediscover rule add
検出ルールを追加します。
My Vault> pam action discover rule add --help
usage: pam-action-discover-rule-add [-h] --gateway GATEWAY --action {add,ignore,prompt} --priority PRIORITY [--ignore-case]
[--shared-folder-uid SHARED_FOLDER_UID] --statement STATEMENT
options:
-h, --help show this help message and exit
--gateway, -g GATEWAY
Gateway name of UID.
--action, -a {add,ignore,prompt}
Action to take if rule matches
--priority, -p PRIORITY
Rule execute priority
--ignore-case Ignore value case. Rule value must be in lowercase.
--shared-folder-uid SHARED_FOLDER_UID
Folder to place record.
--statement, -s STATEMENT
Rule statementrotate
特定のリソース、リソースのフォルダ、リソースタイトル内のパターンに対して、認証情報のローテーションを実行します。設定済みのメールプロバイダを使用して、ワンタイム共有リンクをメールで送信することもできます。
My Vault> pam action rotate --help
usage: pam action rotate [-h] [--record-uid RECORD_UID] [--folder FOLDER] [--dry-run]
options:
-h, --help show this help message and exit
--record-uid, -r RECORD_UID
Record UID to rotate
--folder, -f FOLDER Shared folder UID or title pattern to rotate
--dry-run, -n Enable dry-run mode
--email-config NAME Email configuration to use for sending (required with --send-email)
--send-email EMAIL Email address to send one-time share link after successful rotation
--email-message MESSAGE Custom message to include in notification emailjob-info
実行中のジョブの情報を表示します。
My Vault> pam action job-info --help
usage: pam-action-job-command [-h] [--gateway GATEWAY_UID] job_id
positional arguments:
job_id
optional arguments:
-h、--help show this help message and exit
--gateway GATEWAY_UID, -g GATEWAY_UID
Gateway UID.Needed only if there are more than one gateway runningjob-cancel
実行中のジョブをキャンセルします。
My Vault> pam action job-cancel --help
usage: pam-action-job-command [-h] [--gateway GATEWAY_UID] job_id
positional arguments:
job_id
optional arguments:
-h、--help show this help message and exit
--gateway GATEWAY_UID, -g GATEWAY_UID
Gateway UID.Needed only if there are more than one gateway running
service list
特定のKeeperゲートウェイに関連するサービスとスケジュールタスクを表示します。
My Vault> pam action service list -h
usage: pam-action-service-list [-h] --gateway GATEWAY
options:
-h, --help show this help message and exit
--gateway GATEWAY, -g GATEWAY
Gateway name or UIDservice add
サービスを特定のKeeperゲートウェイおよびPAMマシンに関連付けます。関連付けられると、Keeperはそのサービスの認証情報を指定されたPAMマシン上で更新し、サービスが実行中であれば再起動します。
My Vault> pam action service add -h
usage: pam-action-service-add [-h] --gateway GATEWAY --machine-uid MACHINE_UID --user-uid
USER_UID --type {service,task}
options:
-h, --help show this help message and exit
--gateway GATEWAY, -g GATEWAY
Gateway name or UID
--machine-uid MACHINE_UID, -m MACHINE_UID
The UID of the Windows Machine record
--user-uid USER_UID, -u USER_UID
The UID of the User record
--type {service,task}, -t {service,task}
Relationship to add [service, task]service remove
特定のPAMマシン上のサービスに対する関連付けを削除します。
My Vault> pam action service remove -h
usage: pam-action-service-remove [-h] --gateway GATEWAY --machine-uid MACHINE_UID --user-uid
USER_UID --type {service,task}
options:
-h, --help show this help message and exit
--gateway GATEWAY, -g GATEWAY
Gateway name or UID
--machine-uid MACHINE_UID, -m MACHINE_UID
The UID of the Windows Machine record
--user-uid USER_UID, -u USER_UID
The UID of the User record
--type {service,task}, -t {service,task}
Relationship to remove [service, task]サブコマンド: tunnel
詳細: ローカルマシンから対象インフラへのKeeperトンネルの表示および作成を行います。
My Vault> pam tunnel help
pam command [--options]
Command Description
--------- -------------------------
start Start Tunnel
list List all Tunnels
stop Stop Tunnel to the server
tail View Tunnel Log
edit Edit Tunnel settingsstart
ローカルデバイスから対象のリソースへのトンネルを開始します。
My Vault> pam tunnel start -h
usage: pam tunnel start [-h] [--host HOST] [--port PORT] uid
positional arguments:
uid The Record UID of the PAM resource record with network information to use for tunneling
options:
-h, --help show this help message and exit
--host HOST, -o HOST The address on which the server will be accepting connections. It could be an IP address or a
hostname. Ex. set to 127.0.0.1 as default so only connections from the same machine will be accepted.
--port PORT, -p PORT The port number on which the server will be listening for incoming connections. If not set, random
open port on the machine will be used.list
すべての実行中のトンネルの一覧を表示します。
My Vault> pam tunnel list -h
usage: pam tunnel list [-h]
options:
-h, --help show this help message and exitstop
現在実行中のトンネルを停止します。
My Vault> pam tunnel stop -h
usage: pam tunnel stop [-h] uid
positional arguments:
uid The Tunnel UID or Record UID
options:
-h, --help show this help message and exittail
Keeperトンネル内の情報を表示します。
My Vault> pam tunnel tail -h
usage: pam tunnel tail [-h] uid
positional arguments:
uid The Tunnel UID
options:
-h, --help show this help message and exitedit
既存のトンネルの構成を編集します。
My Vault> pam tunnel edit -h
usage: pam tunnel edit [-h] [--configuration CONFIG] [--enable-tunneling] [--tunneling-override-port TUNNELING_OVERRIDE_PORT]
[--disable-tunneling] [--remove-tunneling-override-port]
uid
positional arguments:
uid The Record UID of the PAM resource record with network information to use for tunneling
options:
-h, --help show this help message and exit
--configuration CONFIG, -c CONFIG
The PAM Configuration UID to use for tunneling. Use command `pam config list` to view available PAM
Configurations.
--enable-tunneling, -et
Enable tunneling on the record
--tunneling-override-port TUNNELING_OVERRIDE_PORT, -top TUNNELING_OVERRIDE_PORT
Port to use for tunneling. If not provided, the port from the record will be used.
--disable-tunneling, -dt
Disable tunneling on the record
--remove-tunneling-override-port, -rtop
Remove tunneling override portサブコマンド: split
詳細: レガシーPAMレコードを新しいKeeperPAM形式に分割します。
My Vault> pam split -h
usage: pam split [-h] [--configuration PAM_CONFIG] [--folder PAM_USER_FOLDER] pam_machine_record
positional arguments:
pam_machine_record The record UID or title of the legacy PAM Machine record with built-in PAM User credentials.
options:
-h, --help show this help message and exit
--configuration PAM_CONFIG, -c PAM_CONFIG
The PAM Configuration Name or UID - If the legacy record was configured for rotation this command
will try to autodetect PAM Configuration settings otherwise you'll be prompted to provide the PAM
Config.
--folder PAM_USER_FOLDER, -f PAM_USER_FOLDER
The folder where to store the new PAM User record - folder names/paths are case sensitive!(if skipped
- PAM User will be created into the same folder as PAM Machine)サブコマンド: project
詳細: KeeperPAMプロジェクトを作成します (ボルトのUIにあるクイックスタートサンドボックスに類似)。
PAMインポートコマンドは、数千の管理対象企業を持つMSPなどの顧客が、フォルダ、ゲートウェイ、マシン、ユーザー、接続、トンネル、(オプションで) ローテーションの作成を自動化するのに役立ちます。
My Vault> pam project import -h
usage: pam project import [-h] [--name PROJECT_NAME] [--filename FILE_NAME] [--dry-run] [--sample-data] [--show-template]
[--output {token,base64,json}]
options:
-h, --help show this help message and exit
--name PROJECT_NAME, -n PROJECT_NAME
Project name.
--filename FILE_NAME, -f FILE_NAME
File to load import data from.
--dry-run, -d Test import without modifying vault.
--sample-data, -s Generate sample data.
--show-template, -t Print JSON template required for manual import.
--output {token,base64,json}, -o {token,base64,json}
Output format (token: one-time token, config: base64/json)pam project import --name=project1 --filename=/path/to/import.json --dry-run
--name,-n→ プロジェクト名 (JSON内の"project":""を上書きします)--filename,-f→ インポートデータを読み込むJSONファイル--dry-run,-d→ ボルトを変更せずにインポートをテストします。
JSONインポートに関するドキュメント
サーバーホスト名の一覧からWindowsサーバーをPAMリソースとしてインポートする手順については、「PAMリソースのインポート」のページをご参照ください。
pam project import用テンプレートの詳細な仕様については、こちらのGitHubのREADMEをご確認ください。ご不明な点がございましあら、コマンダーチーム ([email protected]) までご連絡ください。
最終更新