VNC接続

概要

KeeperPAMは、VNCプロトコルを使用して、対象インフラストラクチャに対するゼロトラストの特権セッション管理を実現します。本ページでは、Keeperボルト内のPAMマシンレコードでVNC接続を設定する方法についてご紹介します。VNCセッションはボルトから開始され、Keeperゲートウェイを経由して、対象デバイスに直接接続されます。

要件

まず、接続の「はじめに」のページに記載されている要件をご確認ください。

本プロトコルを設定するには、以下のPAMレコードが必要となります。

PAMレコード
説明

対象のインフラに関する情報が含まれています。

PAMマシンレコード

SSHプロトコル接続を確立したいエンドポイントに関する情報が含まれています。

PAMユーザーレコード

エンドポイントに接続するために使用されるユーザー認証情報が含まれています。

本ページでは、Azure VMを使用します。PAMマシンレコードのセットアップの詳細については、こちらのページをご参照ください。

PAM設定 - VNCプロトコル

接続設定へのアクセス

対象のエンドポイントを使用してPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の [接続] セクションに移動します。

  1. PAMレコードを編集します。

  2. PAM設定セクション内の [セットアップ] をクリックします。

  3. 表示されたウィンドウで [接続] セクションに移動します。

接続設定の構成

PAM設定画面でVNCプロトコル設定を構成する前に、以下のフィールドを構成する必要があります (必須)。

フィールド
説明

PAM構成

対象インフラの詳細を含み、PAMレコードで構成されている対象へのアクセスを提供します。

管理者認証情報レコード

リンクされたPAMユーザーで、対象への認証と管理操作を実行するために使用されます。

以下の表は、PAM設定でのVNCプロトコルに関する接続設定の一覧です。

フィールド
説明

プロトコル

必須 レコードに設定するプロトコルです。選択したプロトコルに基づいて、プロトコル設定が自動的に反映されます。本ページでは、VNCプロトコルを選択してください。

接続を有効にする

必須 このレコードで接続を有効にするには、このトグルをオンにします。

セッション録画

有効にすると、このレコードに対してグラフィカルセッションの録画が有効になります。

キー入力イベントを含める

有効にすると、セッション再生時に個別のキー入力データが含まれるようになります。注: ユーザーが入力した機密情報も記録される可能性がありますのでごご留意ください。

接続ポート

選択したプロトコル接続を確立するために使用されるポートです。デフォルトでは、PAMマシンレコードで定義されたポート値が使用されます。ここでポートを指定すると、デフォルトのポートが上書きされます。

VNCの場合、ポートは5900です。

接続用認証情報

構成すると、接続の認証にこれらの認証情報が使用されます。詳しくはこちらを参照。

ボルトから認証情報を選択できるようにする

有効にすると、ユーザー自身の個人用認証情報を使用して接続を認証できるようになります。詳しくはこちらを参照。

セッション終了時に接続用認証情報をローテーションする

有効にすると、セッション終了時に、構成された接続用認証情報が自動的にローテーションされます。

接続先ホスト

UltraVNC RepeaterなどのVNCリピーターを使用する場合は必須です。 VNCプロキシ (UltraVNC Repeaterなど) に接続する際にリクエストする接続先ホストです。

接続先ポート

UltraVNC RepeaterなどのVNCリピーターを使用する場合は必須です。 VNCプロキシ (UltraVNC Repeaterなど) に接続する際にリクエストする接続先ポートです。

クリップボードにコピー

有効にすると、接続されたプロトコルセッション内でコピーされたテキストはユーザーがアクセスできるようになります。

クリップボードから貼り付け

有効にすると、ユーザーは接続されたプロトコルセッション内でクリップボードからテキストを貼り付けることができます。

接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

接続用認証情報 PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

個人用認証情報 「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

一時的アカウント PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

セッションレコーディング - VNCプロトコル

このプロトコルでは、ターミナルセッションのグラフィカルな内容と、タイミング情報を含む完全な生のテキスト内容の両方が録画されます。詳しくは以下のページをご覧ください。

接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細についてはこちらのページをご覧ください。

最終更新