編集

RDP接続

概要

KeeperPAMは、RDPプロトコルを使用して、対象インフラに対するゼロトラスト特権セッション管理を実現します。本ページでは、Keeperボルト内のPAMマシンレコードでRDP接続を設定する方法をご紹介します。ボルトからKeeperゲートウェイを経由し、安全なRDPセッションが対象デバイスへ直接確立されます。

要件

まず、接続の「はじめに」のページに記載されている要件をご確認ください。

本プロトコルを設定するには、以下のPAMレコードが必要となります。

PAMレコード
説明

PAM構成

対象のインフラに関する情報が含まれています。

PAMマシンレコード

SSHプロトコル接続を確立したいエンドポイントに関する情報が含まれています。

PAMユーザーレコード

エンドポイントに接続するために使用されるユーザー認証情報が含まれています。

本ページでは、Azure VMを例に設定方法を説明します。PAMマシンレコードでの具体的な設定方法については、こちらのページをご参照ください。

PAM設定 - RDPプロトコルの構成

接続設定へのアクセス

対象のエンドポイントを使用してPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の [接続] セクションに移動します。

  1. PAMレコードを編集します。

  2. PAM設定セクション内の [セットアップ] をクリックします。

  3. 表示されたウィンドウで [接続] セクションに移動します。

接続設定の構成

PAM設定画面でRDPプロトコル設定を構成する前に、以下のフィールドを構成する必要があります (必須)。

フィールド
説明

PAM構成

対象インフラの詳細を含み、PAMレコードで構成されている対象へのアクセスを提供します。

管理者認証情報レコード

リンクされたPAMユーザーで、対象への認証と管理操作を実行するために使用されます。

以下の表は、PAM設定でのRDPプロトコルに関する接続設定の一覧です。

フィールド
説明

プロトコル

必須 レコードに設定するプロトコルです。選択したプロトコルに基づいて、プロトコル設定が自動的に反映されます。本ページでは、RDPプロトコルを選択してください。

接続を有効にする

必須 このレコードで接続を有効にするには、このトグルをオンにします。

セッション録画

有効にすると、このレコードに対してグラフィカルセッションの録画が有効になります。

キー入力イベントを含める

有効にすると、セッション再生時に個別のキー入力データが含まれるようになります。注: ユーザーが入力した機密情報も記録される可能性がありますのでごご留意ください。

接続ポート

選択したプロトコル接続を確立するために使用されるポートです。デフォルトでは、PAMマシンレコードで定義されたポート値が使用されます。ここでポートを指定すると、デフォルトのポートが上書きされます。

RDPの場合、ポートは3389です。

接続用認証情報

構成すると、接続の認証にこれらの認証情報が使用されます。詳しくはこちらを参照。

ボルトから認証情報を選択できるようにする

有効にすると、ユーザー自身の個人用認証情報を使用して接続を認証できるようになります。詳しくはこちらを参照。

セッション終了時に接続用認証情報をローテーションする

有効にすると、セッション終了時に、構成された接続用認証情報が自動的にローテーションされます。

セキュリティモード

RDP接続で使用するセキュリティモード。データの暗号化方法や認証の種類を決定します。通常は自動ネゴシエーションが行われます。 使用できる値: • any: サーバーとネゴシエートし、RDPサーバーが好みのモードを選択 (デフォルト) • NLA: ネットワークレベル認証 (TLS使用)。"hybrid" や CredSSP とも呼ばれる • RDP Encryption: 標準的なRDP暗号化 (新しいWindowsサーバーでは通常無効) • TLS Encryption: TLS (Transport Layer Security) • Hyper-V/VMConnect: Hyper-V/VMConnectでサポートされるプロトコルの中から自動選択。Hyper-V仮想マシンのコンソールに接続する場合はこのモードが必要です。 デフォルト値: any

認証の無効化

有効にすると接続時の認証が無効になります。ただし、リモートデスクトップセッション中にサーバー側で強制される認証 (ログイン画面など) は引き続き行われます。通常は認証は有効で、サーバーから要求された場合に使用されます。NLAを使用する場合は、認証は必須です。

サーバー証明書の無視

有効にすると、サーバーから返された証明書が検証できなくても無視されます。自己署名証明書など、サーバーが信頼できるとわかっている場合に便利です。

ロードバランス情報/クッキー

接続ブローカーに提供されるロードバランス情報またはクッキー。接続ブローカーを使用していない場合は空欄にします。

RDPソースID

RDPソースの数値ID。複数の論理RDP接続の中からどれを使用するかを指定します。RDPサーバーがこれを必要とする場合のみ設定してください。Hyper-Vを使用している場合は空欄のままで構いません。

事前接続BLOB (VM ID)

RDPソースを識別する任意の文字列。複数の論理RDP接続が同じサーバーに存在する場合に使用されます。RDPプロトコル自体はこの値を解釈せず、意味はサーバー側に依存します。Hyper-Vの場合は、接続先仮想マシンのIDを指定します。

クリップボードにコピー

有効にすると、接続されたプロトコルセッション内でコピーされたテキストはユーザーがアクセスできるようになります。

クリップボードから貼り付け

有効にすると、ユーザーは接続されたプロトコルセッション内でクリップボードからテキストを貼り付けることができます。

オーディオの無効化

デフォルトではオーディオ出力は常に有効になっています。帯域幅を節約したい場合や、オーディオが問題を引き起こす場合には、無効にすることができます。

接続に関するトラブルシューティング

認証や接続に関する問題をトラブルシューティングする際は、以下の点を確認してください。

  • リンクされたPAMユーザーレコードに指定されているユーザーが、対象マシンへのRDP接続権限を持っていること。

  • 必要に応じてグループポリシーを調整するか、Windowsの [リモート デスクトップ ユーザー] グループにそのユーザーを追加して、アクセス権を付与してください。

  • さらに詳しいトラブルシューティング情報が必要な場合は、ゲートウェイログをご参照ください。ログの保存場所はインストール方法によって異なります。

接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

接続用認証情報 PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

個人用認証情報 「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

一時的アカウント PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

セッションレコーディング - RDPプロトコル

このプロトコルでは、ターミナルセッションのグラフィカルな内容と、タイミング情報を含む完全な生のテキスト内容の両方が録画されます。詳しくは以下のページをご覧ください。

ファイル転送 (アップロード)

SFTPファイル転送機能が有効になっている場合、ユーザーは接続セッションウィンドウにファイルをドラッグ&ドロップすることで、対象システムにファイルをアップロードできます。

対象システム上の「SFTPユーザー」に対して、SSH鍵認証またはパスワード認証を設定して有効化しておく必要があります。対象システムにOpenSSHをまだセットアップしていない場合は、Microsoft公式サイトの 「Windows 用 OpenSSH の概要」 をご参照ください。

フィールド
定義

SFTPリソース

現在選択されているリソースでファイル転送を行う場合は「Default」のままにします。将来のゲートウェイバージョンでは、ファイル転送に使用する異なるエンドポイントを選択できるようになります。現在は未対応です。

SFTPユーザー

指定されたSSHサーバーにSFTPで接続する際に認証する「PAMユーザー」レコードです。SFTPを有効にしている場合、このパラメータは必須です。

デフォルトアップロードディレクトリ

アップロードされたファイルが保存されるディレクトリです。空白のままにすると、既定のアップロード先「C:\Users<username>\」が使用されます。

SFTPキープアライブ間隔

SFTP接続を維持するためにSSHサーバーへ送信されるキープアライブパケットの送信間隔 (秒単位) です。「0」を指定するとキープアライブパケットは一切送信されません (空白の場合の既定動作)。最小の有効値は「2」です。

以下の画像では、接続セッションウィンドウにファイル client_id.txt をドラッグ&ドロップして、対象システムにアップロードする様子を示しています。2枚目の画像では、ファイルがアップロードされ、デフォルトのアップロードディレクトリに保存されていることが確認できます。複数のファイルをドラッグ&ドロップしてアップロードすることも可能です。

ファイル転送 (ダウンロード)

現在、リモートのWindowsシステムからローカルマシンにファイルをダウンロードする唯一の方法は、KeeperPAMのSSH接続を使用し、guacctl というスクリプトを利用することです。

このスクリプトを使用するには、リモートマシンでWSL2と任意のLinuxディストリビューションを実行している必要があります。

対象システムに guacctl をダウンロードするには、対象システムへのKeeperPAM SSHセッションを開始し、任意のディレクトリで以下のコマンドを実行します。

wget -O guacctl https://raw.githubusercontent.com/apache/guacamole-server/master/bin/guacctl

ファイルを実行可能に変更します。

chmod +x guacctl

以下の構文でファイルのダウンロードを開始します。

./guacctl -d <filename> または <directory><filename>

./guacctl -d clientID.txt または /mnt/c/Users/helpdesk/Downloads/clientID.txt

複数のファイルをダウンロードする場合は、以下のようにファイル名をスペースで区切ります。

./guacctl -d <filename> <filename> または <filename> <directory><filename>

./guacctl -d clientID.txt /mnt/c/temp/license.txt

以下はその画像です。

ローカルコンピュータに [ファイルを保存] ウィンドウが表示され、任意の場所にファイルを保存できます。複数のファイルをダウンロードする場合は、各ファイルごとに順番に [ファイルを保存] ウィンドウが表示されます。

接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細についてはこちらのページをご覧ください。

前へSSH接続次へMySQL接続

最終更新