Windowsにインストール

KeeperゲートウェイをWindowsにインストール

概要

本ページでは、Windows上でKeeperゲートウェイをインストール、構成、アップデートする方法について取り扱います。

要件

先へ進む前に、ゲートウェイデバイスが作成されていることを確かにしてください。

インストール

こちらのウェブページから最新のWindows用Keeper Gatewayをダウンロードします。

システム権限でサービスを実行するか、サービスアカウントを使用します。

Windows版Keeperゲートウェイ

新規インストール

サービスのインストール時に、「Enter a Keeper One-Time Access Token」 (Keeperワンタイムアクセストークンを入力) を選択し、ゲートウェイ作成時に表示されるトークンを指定します。インストールが完了すると、サービスが自動的に起動して、Keeperクラウドに登録されます。

アップグレード

既存のゲートウェイをアップグレードする場合は、「Enter a Keeper One-Time Access Token」 (Keeperワンタイムアクセストークンを入力) のチェックを外して、既存の設定が維持されるようにしてください。

インストール場所

デフォルトのインストール場所は以下となります。

C:\ProgramFiles (x86)\Keeper Gateway\<version>

セットアップオプション

  • Windowsサービスのインストール: ゲートウェイをWindowsサービスとしてインストールします

    • サービスアカウントを使用する: チェックすると、指定されたサービスアカウントが使用されます。チェックしない場合は、ゲートウェイをインストールしたアカウントが使用されます。

    • Windowsサービスを開始する: チェックすると、インストール後すぐにKeeperゲートウェイサービスを開始します。

    • 自動アップデートを有効にする

  • デバッグログをオンにする: ゲートウェイのログファイルで詳細ログを有効にします。本番環境では推奨されません。Keeperサポートとデバッグする際のみ使用してください。

  • 以前のインストールからKeeperゲートウェイ構成とログを削除する

Keeperゲートウェイサービスアカウントの指定

「Use service account」 (サービスアカウントを使用する) をチェックした場合は、目的のサービスアカウントの認証情報を入力します。

サービスアカウントのセットアップ

ワンタイムトークンの指定

最後にKeeperボルトで提供されたワンタイムアクセストークンを入力します。

[次へ] をクリックした後、次の画面で [インストール] をクリックしてKeeperゲートウェイをインストールします。

ゲートウェイサービス管理

Keeperゲートウェイをサービスとしてインストールして実行すると、Windowsサービスマネージャー内で「Keeper Gateway Service」としてアクセスして簡単に管理できるようになります。

Keeper Gateway Service

構成ファイル

Keeperゲートウェイ構成ファイルには、KeeperシークレットマネージャーAPIからのデータを認証および復号化するために使用される暗号化キー、クライアント識別子、宛先サーバー情報を含むトークンのセットが含まれています。この構成ファイルは、ゲートウェイ作成時に生成されるワンタイムアクセストークンから作成されます。

Keeperゲートウェイがサービスとしてインストールされ実行されている場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

C:\ProgramData\KeeperGateway\config\gateway-config.json

Keeperゲートウェイがローカルにインストールされていて、サービスとして実行されていない場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

C:\Users\<User>\.keeper\gateway-config.json

ログファイル

デバッグ情報を含むログが自動的に作成され、ローカルマシンに保存されます。

ゲートウェイがサービスとして実行されている場合、ゲートウェイログファイルは以下の場所に保存されます。

C:\ProgramData\KeeperGateway\logs\

ゲートウェイがサービスとして実行されていない場合、ゲートウェイログファイルは以下の場所に保存されます。

C:\Users\<User>\.keeper\logs\

詳細ログ

詳細ログを有効にするには以下を行います。

  • [Windowsサービス] > [Keeper Gateway] > [プロパティ] に移動します。

  • サービスを停止します。

  • 「Start Parameter」--debugまたは-dに設定します。

  • 「Start」をクリックしてサービスを開始します。

    • サービスを開始せずに [OK] をクリックしないでください。パラメータ設定が反映されません。

詳細ログモード

アップグレード

アップグレードするには、サービスを停止し、最新のファイルをインストールしてから、サービスを開始します。

  • gateway-config.json構成ファイルをバックアップします。

  • 最新のKeeperゲートウェイをインストーラを実行します。

  • インストール中、「Keeperワンタイム アクセストークンを入力する」は選択しないでください。

自動アップデート

インストーラのプロセス中に「Enable automatic updates」 (自動更新を有効にする) を選択すると、新しいバージョンが利用できるようになった際にKeeper Gatewayが自動的に更新されるようになります。

ヘルスチェック

ゲートウェイサービスの動作状況を確認するために、ヘルスチェックを設定できます。Dockerのオーケストレーションやロードバランサー、自動監視ツールと連携させる際に便利です。設定方法や具体例については、「ヘルスチェック」ページをご参照ください。

サイレントインストール

このセクションでは、WindowsシステムでKeeperゲートウェイのサイレントインストールを実行する手順について解説します。サイレントインストールでは、メッセージを一切表示せずに、セットアップ処理をバックグラウンドで実行します。

Keeperゲートウェイをサイレントインストールするには、コマンドプロンプトまたはスクリプトで以下のコマンドを使用します。

keeper-gateway_windows_x86.exe /verysilent /suppressmsgboxes /norestart /token=<TOKEN>

<TOKEN>をKeeperゲートウェイインストール用に生成した実際のトークンに置き換えます。

構成オプション

既存の構成: 以前に Keeperゲートウェイをインストールしていて、既存の構成を使用したい場合は、以下の方法でトークンの入力を迂回できます。

/existingconfig=1

また、以下の他のオプションも使用できます。

インストールログファイル: インストール処理中にログファイルを生成するには、以下のオプションを使用して、ログファイルパスを指定します。

/log=<Optional log file>

Windows サービス アカウント

特定のWindowsサービスアカウントでKeeperゲートウェイを実行する場合は、以下のオプションを使用してアカウントの詳細を指定します。

/mergetasks="service/account" /serviceuser=<ACCOUNT USERNAME> /servicepass=<ACCOUNT PASSWORD>

<ACCOUNT USERNAME><ACCOUNT PASSWORD>を、使用するサービスアカウントの認証情報に置き換えます。

自動アップデータ

自動アップデータ機能を有効にして、Keeperゲートウェイが自動的にアップデートをチェックして適用できるようにするには、以下のオプションを使用します。

/autoupdate=1

アンインストール

サービスをアンインストールするには以下を行います。

  • 「プログラムの追加と削除」からKeeperゲートウェイをアンインストールします。

  • 必要に応じて、configuration.jsonファイルを削除します。

ネットワーク構成

Keeperゲートウェイはアウトバウンド専用の接続を確立するため、インバウンドのファイアウォールルールは必要ありません。ただし、以下のアウトバウンド接続は許可されている必要があります。

目的地
必要なポート
備考

Keeper Cloud (keepersecurity.[com|eu|com.au|jp|ca|us])

TLSポート443

Keeper Cloudと通信して、ネイティブプロトコル (例: SSH、RDP) を使用して対象インフラストラクチャへアクセスします。

Keeper KRelay Server (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])

ポート3478でのTCPおよびUDP通信を許可する必要があります。 また、TCPおよびUDPのポート49152〜65535へのアウトバウンドアクセスも許可されている必要があります。

エンドユーザーのボルトと対象システム間で、ゲートウェイを介した安全かつ暗号化されたリレー接続を実現します。

ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。

チェックサムの検証

Keeperゲートウェイの最新バージョンに対応するSHA256ハッシュは、https://keepersecurity.com/pam/latest.txtで公開されています。

チェックサムの計算と検証方法

Linux

sha256sum keeper-gateway_linux_x86_64
cat keeper-gateway_X.X.X_SHA256SUMS | grep keeper-gateway_linux_x86_64

PowerShell

GGet-FileHash -Algorithm SHA256 keeper-gateway_windows_x86_64.exe | Format-List
Get-Content keeper-gateway_X.X.X_SHA256SUMS | Select-String keeper-gateway_windows_x86_64.exe
前へLinuxにインストール次へ自動アップデータ

最終更新