Linuxにインストール

KeeperゲートウェイをLinuxにインストール

概要

本ページでは、Windows上でKeeperゲートウェイをインストール、構成、アップデートする方法について取り扱います。

要件

インストール

インストールコマンド

以下のコマンドを実行すると、プレビュー版Keeperゲートウェイがインストールされ、サービスとして実行されます。

curl -fsSL https://keepersecurity.com/pam/beta/install | \
  sudo bash -s -- --preview --token XXXXXX

注: XXXXXをKeeperゲートウェイの作成時に表示されるワンタイムアクセストークンに置き換えます。

インストール場所

ゲートウェイは以下の場所にインストールされます。

/usr/local/bin/keeper-gateway

同じディレクトリにgatewayというエイリアスも作成されます。

gateway -> /usr/local/bin/keeper-gateway

ゲートウェイサービス管理

Keeperゲートウェイをサービスとして管理するために、ゲートウェイのインストール中に以下が作成されます。

  • keeper-gatewayというフォルダ

  • keeper-gwというユーザー

keeper-gatewayフォルダ

keeper-gatewayフォルダは以下の場所に作成され、ゲートウェイ構成ファイルが含まれています。

/etc/keeper-gateway

keeper-gwユーザー

ゲートウェイのインストール中に新しいユーザーのkeeper-gwが作成され、/etc/sudoers.d/のsudoersリストに追加されます。

keeper-gwはkeeper-gatewayフォルダの所有者で、ゲートウェイサービスを実行します。これは、ゲートウェイサービスでローテーションを実行し、ポストローテーションスクリプトを実行する際に必要となります。

ゲートウェイ サービスの管理

以下は、Keeperゲートウェイをサービスとして起動、再起動、停止するためのコマンドです。

sudo systemctl start keeper-gateway
sudo systemctl restart keeper-gateway
sudo systemctl stop keeper-gateway

Keeperゲートウェイ構成ファイル

Keeperゲートウェイ構成ファイルには、KeeperシークレットマネージャーAPIからのデータを認証および復号化するために使用される暗号化キー、クライアント識別子、宛先サーバー情報を含むトークンのセットが含まれています。この構成ファイルは、ゲートウェイ作成時に生成されるワンタイムアクセストークンから作成されます。

Keeperゲートウェイがサービスとしてインストールされ実行されている場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

/etc/keeper-gateway/gateway-config.json

Keeperゲートウェイがローカルにインストールされていて、サービスとして実行されていない場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

<User>/.keeper/gateway-config.json

Keeperゲートウェイログファイル

デバッグ情報を含むログが自動的に作成され、ローカルマシンに保存されます。

ゲートウェイがサービスとして実行されている場合、ログファイルは以下の場所に保存されます。

/var/log/keeper-gateway/

ゲートウェイがサービスとして実行されていない場合、ログファイルは以下の場所に保存されます。

<User>/.keeper/logs/

詳細ログ

詳細ログを追加するには、以下のファイルを変更します。

/etc/systemd/system/keeper-gateway.service

以下のようにgateway startコマンドに-dフラグを追加します。

ExecStart=/bin/bash -c "/usr/local/bin/gateway start --service -d --config-file /etc/keeper-gateway/gateway-config.json"

サービスに変更を適用します。

sudo systemctl daemon-reload
sudo systemctl restart keeper-gateway

ログの追跡

sudo journalctl -u keeper-gateway.service -f

アップグレード

Keeperゲートウェイをアップグレードするには以下のコマンドを実行します。

curl -fsSL https://keepersecurity.com/pam/beta/install | sudo bash -s -- --preview

自動アップデート

Keeperゲートウェイのインストールでアップデートを自動チェックするように設定し、常に最新バージョンにアップデートされるようにします。詳細については、こちらののページをご参照ください。

アンインストール

Keeperゲートウェイをアンインストールするには以下のコマンドを実行します。

curl -fsSL https://keepersecurity.com/pam/beta/uninstall | sudo bash -s -- --preview

ネットワーク構成

ゲートウェイは、以下へのアウトバウンド接続のみを確立します。

目的地
必要なポート
備考

Keeperクラウド

TLSポート443

対象インフラとの通信には、ネイティブプロトコル (SSH、RDPなど) を使用する必要があります。

Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])

ポート3478でTCPおよびUDP

ユーザーのボルトとゲートウェイサービス間で、安全で暗号化された接続を確立するために必要です。

Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])

ポート49152から65535までのTCPおよびUDPのアウトバウンドアクセス

指定されたポート範囲でアウトバウンドアクセスを確立するために必要です。

ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。

最終更新