search
github編集

カスタムフィールドを使用したゲートウェイ構成

Keeperボルトのカスタムフィールドを使用したKeeperゲートウェイの高度な構成

circle-info

これらの構成機能は実験的な段階にあり、ユーザーの皆様にお試しいただけますと幸いです。弊社では、これらの機能とパフォーマンスの評価しており、将来的に正式に統合することを検討中です。

hashtag
PAMリソースレコードタイプにおけるカスタムフィールドを使用した高度なゲートウェイ構成

Keeperボルトでローテーションを設定する際、ローテーションするアセットの認証情報は対応するPAMリソースレコードタイプに保存されます。これらのレコードタイプにはカスタムフィールドを作成できます。

これらのカスタムフィールドを使用して追加のゲートウェイ構成を定義します。構成が定義されると、Keeperゲートウェイはその内容に基づいて動作を調整します。

以下は、カスタムフィールドで可能なすべての構成となります。

カスタムフィールド名
タイプ
デフォルト値
説明

Shell

テキスト

None

ゲートウェイがローテーションスクリプトやポストローテーションスクリプトを実行する際に使用するカスタムシェルのパスを指定できます。これにより、スクリプトの実行環境を細かく制御できます。 値の例: C:\MY\SHLL

NOOP

テキスト

False

ゲートウェイがローテーション処理を行うか、スキップしてポストローテーションスクリプトのみを実行するかを制御します。

Trueに設定すると、ローテーション処理をスキップし、ポストローテーションスクリプトだけを実行します。

False (デフォルト) では、通常どおりローテーションが実行されます。 値の例: True

Kerberos

テキスト

False

Kerberos認証を使用するWinRM接続専用の設定です。 通常は、ゲートウェイが内部ロジックに基づいてKerberosの使用可否を自動判定しますが、接続に問題がある場合、このフィールドを True に設定することで自動判定を無効化し、常にKerberosを使用するように強制できます。 値の例: True

Private Key Type

テキスト

ssh-rsa

ゲートウェイバージョン 1.3.4以降。 このカスタムフィールドは、レコードに保存されている秘密キーのタイプまたはアルゴリズムに関係します。 秘密鍵を追加する際、通常はユーザーが何も指定しなくても、既存の鍵と同じアルゴリズムがローテーション時に自動的に使用されます。 ECDSA鍵を使用している場合は、鍵サイズも保持されます。 キータイプを上書きする必要がある場合に使用可能なオプション: ssh-rsa (注: 4096ビット) ssh-dss (注: 1024ビット、廃止) ecdsa-sha2-nistp256 ecdsa-sha2-nistp384

ecdsa-sha2-nistp521

ssh-ed25519

Private Key Rotate

テキスト

True

ゲートウェイバージョン 1.3.4以降。

TRUE: (デフォルト) カスタムフィールドが存在しない場合でも、秘密鍵があれば自動的にローテーションが実行されます。

FALSE: 秘密鍵が存在していてもローテーションを実行しません。レコード内の鍵をそのまま保持したい場合に使用します。

注記

  • カスタムフィールドの値の大文字と小文字は区別されません。

hashtag
高度なゲートウェイ構成 (PAM構成でのカスタムフィールド)

Keeperボルトでローテーションを設定する際には、対象インフラストラクチャに関する重要な情報、各種設定、および関連付けるKeeperゲートウェイをPAM構成に保存します。PAM構成では、カスタムフィールドを作成できます。

追加のゲートウェイ構成は、これらのカスタムフィールドを使用してPAM構成上で定義します。Keeperゲートウェイは、定義された構成内容に基づいて動作を調整します。

以下は、カスタムフィールドによる構成項目となります。

カスタムフィールド名
タイプ
既定値
説明

Azure Authority FQDN

テキスト

Azure SDKの既定値

認証に使用されるAzure Active Directoryの認証エンドポイントを上書きします。

指定しない場合は、Azure SDKで構成されている既定の認証エンドポイントが使用されます (例: login.microsoftonline.com)。

このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。

例: login.microsoftonline.us

Azure Graph Endpoint

テキスト

Azure SDKの既定値

Azure連携で使用されるMicrosoft Graph APIのベースURLを上書きします。

指定しない場合は、Azure SDKで構成されている既定のGraphエンドポイントが使用されます (例: https://graph.microsoft.com/v1.0)。

このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。

例: graph.microsoft.us/v1.0

hashtag
PAM構成へのカスタムフィールドの追加

circle-info

カスタムフィールドは、Keeperコマンダーの使用でのみPAM構成に追加できます。

以下は、Keeperコマンダーを使用してPAM構成にカスタムフィールドを追加する手順となります。

  1. Keeperコマンダーにログインします。

  2. すべてのPAM構成を一覧表示し、対象となるPAM構成のUIDを取得します。

  1. PAM構成にカスタムフィールドを追加します。 以下の例では、Azure Authority FQDN というカスタムフィールドに login.microsoftonline.us という値を設定しています。

record-update コマンドを使用してカスタムフィールドを追加する方法の詳細については、こちらのページをご参照ください。

  1. 以下のコマンドを実行すると、手順3で設定したカスタムフィールドを確認できます。

  • PAM構成のカスタムフィールドは、Keeperコマンダーからのみ変更および確認できます。

前へAWS KMSでのゲートウェイ構成次へプロキシ構成

最終更新