はじめに

PAMレコードタイプでの接続設定の開始方法

概要

このガイドでは、Keeperボルト内のPAMレコードタイプでサポートされているすべてのプロトコルの接続設定方法について取り扱います。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

前提条件

接続の設定を行う前に、以下の項目を確認してください。

接続に関するポリシー

以下のポリシーは、ユーザーが接続を使用する権限に影響を与えるため、有効にする必要があります。

KeeperPAMの強制ポリシーは、Keeper管理コンソールの[管理者] > [ロール] > [強制ポリシー] > [特権アクセス管理]にて管理します。

KeeperPAM向けポリシー
ポリシー
コマンダーでのポリシー
定義

接続設定を構成

ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS

PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成レコードタイプでトンネル設定を構成できるようにします。

接続を開始

ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION

PAMマシン、PAMディレクトリ、PAMデータベースのレコードタイプでトンネルを開始できるようにします。

セッション録画を閲覧

ALLOW_VIEW_KCM_RECORDINGS

セッション録画を閲覧できるようにします。

KeeperコマンダーCLI上でもenterprise-roleコマンドを使用してトンネルを有効化できます。

enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS":true
enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION":true
enterprise-role "My Role" --enforcement "ALLOW_VIEW_KCM_RECORDINGS":true

ポリシーの活用事例

あるユーザーに対し接続の開始のみを許可して、接続の設定は変更できないようにする場合は、「接続を開始」のポリシーのみを有効にします。

接続の開始に加えて、接続の設定も変更できるようにする場合は、「接続設定を構成」と「接続を開始」のポリシーを両方を有効にします。

セッション録画

接続を開始すると、セッションを録画することもできます。録画データはPAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプで利用でき、ボルト内で再生できます。セッション録画と再生の詳細については、こちらのページをご覧ください。

Keeperゲートウェイのインストール

Keeperゲートウェイは、インフラへのゼロトラストアクセスを実現するためのホスト型エージェントレスサービスです。このサービスは通常、アクセスが必要な各ネットワーク内のLinuxまたはDocker環境にインストールしておきます。

ゲートウェイのインストールと設定の詳細については、こちらのページをご覧ください。

PAM構成

PAM構成には、インフラの重要な情報、設定、Keeperゲートウェイに関する情報が含まれます。インフラに対するPAM構成の設定は必須となります。PAM構成の作成と設定の詳細については、こちらのページをご覧ください。

PAMマシン、PAMデータベース、PAMディレクトリ

Keeperコネクションは、ボルトクライアントとエンドポイント間で確立される、暗号化セッションです。エンドポイントに関しては、以下のいずれかのPAMレコードタイプで定義する必要があります。

PAMレコードタイプ
対象のエンドポイントのタイプ

PAMマシン

Windows、MacOS、Linuxの各マシン、EC2インスタンス、Azure VM

PAMデータベース

MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle

PAMディレクトリ

Active Directory、OpenLDAP

PAMリモートブラウザ

ウェブベースのアプリケーション

対象のエンドポイントに該当するPAMレコードタイプのページをご参照の上、セットアップ手順をご確認ください。

サポートされている接続プロトコル

以下の表に、Keeperボルトで構成可能な対応プロトコルを記載しました。各プロトコルの設定詳細については、対応するリンクをご覧ください。

プロトコル
PAMレコードタイプ
定義

SSH

PAMマシン

PAMマシンレコードで定義されたターゲットにSSH接続プロトコルを使用して接続

RDP

PAMマシン

PAMマシンレコードで定義されたターゲットにRDP接続プロトコルを使用して接続

MySQL

PAMデータベース

PAMデータベースレコードで定義されたターゲットにMySQL接続プロトコルを使用して接続

SQLサーバー

PAMデータベース

PAMデータベースレコードで定義されたターゲットにSQL Server接続プロトコルを使用して接続

PostgreSQL

PAMデータベース

PAMデータベースレコードで定義されたターゲットに、PostgreSQL接続プロトコルを使用して接続

VNC

PAMマシン

PAMマシンレコードで定義されたターゲットに、VNC接続プロトコルを使用して接続

Telnet

PAMマシン

PAMマシンレコードで定義されたターゲットに、Telnet接続プロトコルを使用して接続

Kubernetes

PAMマシン

PAMマシンレコードで定義されたターゲットに、Kubernetesを使用して接続

リモートブラウザ分離

PAMブラウザ

PAMブラウザレコードで定義されたURLにリモートブラウザ分離 (http/https) プロトコルを使用して接続

接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

接続用認証情報 PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

個人用認証情報 「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

一時的アカウント PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細についてはこちらのページをご覧ください。

前へ接続 (コネクション)次へセッションプロトコル

最終更新