# VNC接続

## 概要

KeeperPAMは、VNCプロトコルを使用して、対象インフラストラクチャに対するゼロトラストの特権セッション管理を実現します。本ページでは、Keeperボルト内のPAMマシンレコードでVNC接続を設定する方法についてご紹介します。VNCセッションはボルトから開始され、Keeperゲートウェイを経由して、対象デバイスに直接接続されます。

## 要件 <a href="#prerequisites" id="prerequisites"></a>

まず、接続の「[はじめに](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/connections/getting-started)」のページに記載されている要件をご確認ください。

本プロトコルを設定するには、以下のPAMレコードが必要となります。

<table><thead><tr><th width="198.12109375">PAMレコード</th><th>説明</th></tr></thead><tbody><tr><td><a href="../../getting-started/pam-configuration">PAM構成</a></td><td>対象のインフラに関する情報が含まれています。</td></tr><tr><td><a href="../../getting-started/pam-resources/pam-machine">PAMマシン</a>レコード</td><td>SSHプロトコル接続を確立したいエンドポイントに関する情報が含まれています。</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/pam-resources/pam-user/README.md">PAMユーザー</a>レコード</td><td>エンドポイントに接続するために使用されるユーザー認証情報が含まれています。</td></tr></tbody></table>

本ページでは、Azure VMを使用します。PAMマシンレコードのセットアップの詳細については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-machine/example-azure-virtual-machine)をご参照ください。

## PAM設定 - VNCプロトコル

### 接続設定へのアクセス

対象のエンドポイントを使用してPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の **\[接続]** セクションに移動します。

1. PAMレコードを編集します。
2. PAM設定セクション内の **\[セットアップ]** をクリックします。
3. 表示されたウィンドウで **\[接続]** セクションに移動します。

### 接続設定の構成

PAM設定画面でVNCプロトコル設定を構成する前に、以下のフィールドを構成する必要があります (**必須**)。

<table><thead><tr><th width="255.5078125">フィールド</th><th>説明</th></tr></thead><tbody><tr><td>PAM構成</td><td>対象インフラの詳細を含み、PAMレコードで構成されている対象へのアクセスを提供します。</td></tr><tr><td>管理者認証情報レコード</td><td>リンクされた<a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/pam-resources/pam-user/README.md">PAMユーザー</a>で、対象への認証と管理操作を実行するために使用されます。</td></tr></tbody></table>

以下の表は、PAM設定でのVNCプロトコルに関する接続設定の一覧です。

<table><thead><tr><th width="256.2734375">フィールド</th><th>説明</th></tr></thead><tbody><tr><td>プロトコル</td><td><strong>必須</strong><br>レコードに設定するプロトコルです。選択したプロトコルに基づいて、プロトコル設定が自動的に反映されます。本ページでは、VNCプロトコルを選択してください。</td></tr><tr><td>接続を有効にする</td><td><strong>必須</strong><br>このレコードで接続を有効にするには、このトグルをオンにします。</td></tr><tr><td>セッション録画</td><td>有効にすると、このレコードに対してグラフィカルセッションの録画が有効になります。</td></tr><tr><td>キー入力イベントを含める</td><td>有効にすると、セッション再生時に個別のキー入力データが含まれるようになります。注: ユーザーが入力した機密情報も記録される可能性がありますのでごご留意ください。</td></tr><tr><td>接続ポート</td><td><p>選択したプロトコル接続を確立するために使用されるポートです。デフォルトでは、PAMマシンレコードで定義されたポート値が使用されます。ここでポートを指定すると、デフォルトのポートが上書きされます。</p><p>VNCの場合、ポートは5900です。</p></td></tr><tr><td>接続用認証情報</td><td>構成すると、接続の認証にこれらの認証情報が使用されます。詳しくは<a href="#jie-xu-ren-zheng-fang-shi">こちら</a>を参照。</td></tr><tr><td>ボルトから認証情報を選択できるようにする</td><td>有効にすると、ユーザー自身の個人用認証情報を使用して接続を認証できるようになります。詳しくは<a href="#jie-xu-ren-zheng-fang-shi">こちら</a>を参照。</td></tr><tr><td>セッション終了時に接続用認証情報をローテーションする</td><td>有効にすると、セッション終了時に、構成された接続用認証情報が自動的にローテーションされます。</td></tr><tr><td>接続先ホスト</td><td><p>UltraVNC RepeaterなどのVNCリピーターを使用する場合は<strong>必須</strong>です。</p><p><br>VNCプロキシ (UltraVNC Repeaterなど) に接続する際にリクエストする接続先ホストです。</p></td></tr><tr><td>接続先ポート</td><td><p>UltraVNC RepeaterなどのVNCリピーターを使用する場合は<strong>必須</strong>です。</p><p><br>VNCプロキシ (UltraVNC Repeaterなど) に接続する際にリクエストする接続先ポートです。</p></td></tr><tr><td>クリップボードにコピー</td><td>有効にすると、接続されたプロトコルセッション内でコピーされたテキストはユーザーがアクセスできるようになります。</td></tr><tr><td>クリップボードから貼り付け</td><td>有効にすると、ユーザーは接続されたプロトコルセッション内でクリップボードからテキストを貼り付けることができます。</td></tr><tr><td>読み取り専用</td><td>この接続を読み取り専用にするかどうかを指定します。<code>true</code> に設定すると、接続では一切の入力を受け付けなくなります。ユーザーはターミナル (またはターミナル内で実行されているアプリケーション) を表示できますが、操作することはできません。</td></tr><tr><td>赤/青成分を入れ替え</td><td>画面の色表示がおかしい場合 (青がオレンジや赤に見えるなど)、VNCサーバーが画像データを誤って送信しており、各色の赤と青の成分が入れ替わっている可能性があります。その場合、このパラメータを <code>true</code> に設定すると問題を回避できます。</td></tr><tr><td>ロスレス圧縮を強制</td><td>この接続でロスレス圧縮のみを使用するかどうかを指定します。<code>true</code> に設定すると、すべての画面更新でロスレス圧縮アルゴリズムが使用されます。デフォルトでは、Keeperがロスレス圧縮よりも効率的と判断した場合に、非可逆圧縮が自動的に使用されます。</td></tr><tr><td>エンコーディング</td><td><p>VNCクリップボードで使用する文字エンコーディングを指定します。デフォルトでは、VNC標準で規定されている <code>ISO8859-1</code> が使用されます。<strong>VNCサーバーが異なる非標準エンコーディングを想定している場合のみ、このパラメータを指定してください。</strong></p><p><br>指定できる値は次のとおりです。</p><ul><li><code>ISO8859-1</code>: VNC標準で定義されているクリップボードエンコーディング</li><li><code>UTF-8</code></li><li><code>UTF-16</code></li><li><code>CP1252</code>: Windows固有のコードページ1252 (ISO 8859-1のほぼ上位互換)</li></ul></td></tr><tr><td>カーソル</td><td><code>remote</code> に設定すると、マウスポインターはリモート側で描画され、ローカルのマウス位置は小さな点で表示されます。リモートカーソルはローカルカーソルよりも動作が遅く感じられますが、VNCサーバーがカーソル画像をクライアントに送信できない場合には必要となることがあります。</td></tr><tr><td>色深度</td><td>要求する色深度を、1ピクセルあたりのビット数で指定します。指定できる値は8、16、24、32です。なお、ここで指定した値に関わらず、Keeperは画質に影響がない場合には、自動的にビット数を減らして画像転送を最適化します。</td></tr><tr><td>音声を有効化</td><td><code>true</code> に設定すると、音声サポートが有効になり、VNC接続に加えてPulseAudio用の第2接続が確立されます。デフォルトでは、VNCでの音声サポートは無効になっています。</td></tr><tr><td>接続先ホスト</td><td>UltraVNC RepeaterなどのVNCプロキシに接続する際に指定する接続先ホストを指定します。使用しているVNCプロキシで、接続時にどのVNCサーバーへ接続するかを指定する必要がある場合のみ設定します。プロキシが自動的に特定のサーバーへ接続する場合、このパラメータは不要です。</td></tr><tr><td>接続先ポート</td><td>UltraVNC RepeaterなどのVNCプロキシに接続する際に指定する接続先ポートを指定します。使用しているVNCプロキシで、接続時にどのVNCサーバーへ接続するかを指定する必要がある場合のみ設定します。プロキシが自動的に特定のサーバーへ接続する場合、このパラメータは不要です。</td></tr></tbody></table>

## 接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

[**接続用認証情報**](#jie-xu-yong-ren-zheng-qing-bao)\
PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

[**個人用認証情報**](#ge-ren-yong-ren-zheng-qing-bao)\
「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

[**一時的アカウント**](#akaunto)\
PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

## セッションレコーディング - VNCプロトコル

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FuGn3GGM0fxbX6xJfLA0R%2Fimage.png?alt=media&#x26;token=3004e865-a165-4d45-bead-8968bf6837c6" alt=""><figcaption></figcaption></figure>

このプロトコルでは、ターミナルセッションのグラフィカルな内容と、タイミング情報を含む完全な生のテキスト内容の両方が録画されます。詳しくは以下のページをご覧ください。

* [セッションのレコーディングと再生](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/session-recording-and-playback)

## 接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細については[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/tenpurto/README.md)をご覧ください。