# SSHプロトコル - Linuxマシン ## 概要 本ページでは、**PAMマシン**にLinuxマシンを構成し、**SSHプロトコル**を設定して、KeeperボルトからLinuxマシンへのゼロトラスト接続を確立する方法について取り扱います。 ### 要約 このセットアップでは、以下の手順が必要となります。 1. [接続強制ポリシーの有効化](#id-1-porishno) 2. [Keeperゲートウェイのインストールと構成](#id-2-keepergtoweinoinsutruto) 3. [PAM構成ファイルの作成と設定](#id-3-pamno) 4. [PAMマシンおよびPAMユーザーのレコードタイプ作成](#id-4-pammashinoyobipamyzrekdonoto) 5. [PAM設定とSSH接続プロトコルの構成](#id-5-pamoyobisshpurotokoruno) 以上を完了すると、KeeperボルトからLinuxマシンへゼロトラスト接続を開始できます。 ## 1. 接続強制ポリシーの有効化 管理コンソールから、接続関連の[PAMポリシー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies)を有効にします。
ポリシー内容コマンダーCLI
接続設定を構成ユーザーに、PAMマシン、PAMディレクトリ、PAMデータベース、PAM設定レコードタイプの接続およびセッション録画設定を構成する権限を付与します。
ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS
接続を開始ユーザーにPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプの接続を開始する権限を付与します。
ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION
セッション録画を閲覧ユーザーがセッション録画にアクセスして閲覧できるようにします。
ALLOW_VIEW_KCM_RECORDINGS
## 2. Keeperゲートウェイのインストールと構成 PAMレコードタイプをボルトに作成する前に、**Keeper**ゲートウェイをインフラ内にインストールする必要があります。以下を参照の上、インストールしてください。 * [Windows](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/gateways/windows-installation/README.md) * [Linux](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/gateways/linux-installation) * [Docker](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/gateways/docker-installation/README.md) また、ゲートウェイ**トークン**を用いてKeeperゲートウェイを構成する必要があります。詳細はこちらをご覧ください。 {% hint style="success" %} 手順3と手順4はゲートウェイウィザードで自動化できます。詳しくは[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/quick-start-sandbox)をご参照ください。 {% endhint %} ## 3. PAM構成の設定 PAM構成には、インフラ、設定、関連付けられたKeeperゲートウェイに関する重要な情報が含まれます。対象のインフラに応じて以下のページをご参照ください。 * [ローカル環境の設定](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/local-environment-setup) * [AWS環境の設定](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup) * [Azure環境の設定](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/azure-environment-setup) ## 4. PAMマシンおよびPAMユーザーレコードの作成と構成 ゲートウェイとPAM構成レコードを設定した後、LinuxマシンおよびそのユーザーをボルトのPAMレコードタイプに構成する必要があります。 * [PAMマシン](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-machine): Linuxマシンをこのレコードタイプに構成します。 * [PAMユーザー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-user): Linuxユーザーをこのレコードタイプに構成します。 LinuxマシンをPAMマシンレコードに構成する例については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-machine/example-linux-machine)をご覧ください。 ## 5. PAM設定およびSSHプロトコルの構成 PAMマシンレコードには、Keeperゲートウェイがマシンを特定して接続を確立するために必要な情報が含まれます。PAMユーザーレコードは、接続を認証するために必要な情報を保持します。 PAM設定では、PAMマシンレコード上で対象に対する接続やトンネルの有効化を行います。SSHプロトコルの構成については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/connections/session-protocols/ssh-connections)をご参照ください。 ## 接続の起動 SSHプロトコル接続をPAMマシンレコード上で設定すると、そのレコードには **\[起動]** ボタンを含む接続バナーが表示されます。
上記の画面では、LinuxマシンがPAMマシンレコードに構成されています。**\[起動]** をクリックすると、ボルトクライアントに接続ウィンドウが表示され、指定された対象に接続されます。 ## PAMマシンレコードの共有 PAMマシンレコードは、組織内の他のKeeperユーザーと共有できます。ただし、共有先のユーザーはPAMポリシーが適用されている必要があります。 共有されたPAMマシンレコードにリンクされている管理者用認証情報が共有されることはありません。たとえば、Linuxマシンが構成されたPAMマシンレコードを共有しても、相手ユーザーは直接認証情報にアクセスすることなく、マシンに接続することができます。