# Linuxマシンの例

## 概要

本ページでは、Keeperボルト内でLinuxマシンをPAMマシンレコードとして構成する方法について取り扱います。

## 要件

まず以下を確認してください。

1. [Keeperゲートウェイがインストール済みで、設定済み](https://docs.keeper.io/jp/keeperpam/secrets-manager/about/one-time-token)であること
2. 対象の環境向けに[PAM構成](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)が設定されていること

## PAMマシンレコード

Linuxマシンなどのマシンは、PAMマシンレコードタイプで構成できます。

### PAMマシンの作成

PAMマシンの作成手順

1. **\[新規作成]** をクリックします。
2. 用途に応じて、**\[ローテーション]**、**\[トンネル]**、**\[コネクション]** のいずれかを選択します。
3. ポップアップウィンドウで以下を行います。
   1. **\[新しいレコード]** を選択
   2. レコードを作成する共有フォルダを選択
   3. タイトルを入力
   4. 対象として **\[マシン]** を選択
4. **\[次へ]** をクリックし、必要な情報をすべて入力します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F05aybhB2IRWKyg1YOS8p%2Fimage.png?alt=media&#x26;token=21f896a1-e529-4fc2-8040-397957e88685" alt=""><figcaption></figcaption></figure>

### PAMマシンレコードにLinuxマシンを構成

ローカルLinux仮想マシン (ホスト名: linux-machine) があると仮定します。以下の表は、構成可能なフィールドとそれぞれの値が記載されています。

<table><thead><tr><th width="230">フィールド</th><th width="253">説明</th><th>値</th></tr></thead><tbody><tr><td>タイトル (必須)</td><td>PAMマシンレコードの名前</td><td><code>Linux Machine</code></td></tr><tr><td>ホスト名またはIPアドレス (必須)</td><td>マシンリソースのアドレス、RDPエンドポイント、サーバー名</td><td>linux-machine</td></tr><tr><td>ポート (必須)</td><td>Linuxリソースに接続するためのポート</td><td>22</td></tr><tr><td>オペレーティングシステム</td><td>対象のオペレーティングシステム</td><td><code>linux</code></td></tr><tr><td>インスタンス名</td><td>AzureまたはAWSのインスタンス名</td><td><strong>必須</strong> (AWS/Azureマシンの場合)</td></tr><tr><td>インスタンスID</td><td>AzureまたはAWSのインスタンスID</td><td><strong>必須</strong> (AWS/Azureマシンの場合)</td></tr><tr><td>プロバイダグループ</td><td>AzureまたはAWSのプロバイダグループ</td><td><strong>必須</strong> (マネージドAzureマシンの場合)</td></tr><tr><td>プロバイダリージョン</td><td>AzureまたはAWSのプロバイダリージョン</td><td><strong>必須</strong> (マネージドAWSマシンの場合)</td></tr></tbody></table>

### PAMマシンにPAM設定を構成

レコードの「PAM設定」セクションでは、KeeperPAMの接続およびトンネル設定を構成し、PAMユーザー認証情報をリンクしてローテーションや接続を実行できます。トンネルにはリンクされた認証情報は必要ありません。以下は、Linuxマシンの構成可能なフィールドとそれぞれの値となります。

<table><thead><tr><th>フィールド</th><th width="235">説明</th><th>必須か否か</th></tr></thead><tbody><tr><td>PAM構成</td><td>環境を定義する関連PAM構成レコード</td><td><strong>必須</strong><br>要件で作成したPAM構成です。</td></tr><tr><td>管理者認証情報レコード</td><td>接続および管理操作に使用されるリンクされたPAMユーザーの認証情報</td><td><strong>必須</strong><br>詳しくは<a href="#rekdo">こちらの項目</a>をご参照ください。</td></tr><tr><td>プロトコル</td><td>ゲートウェイから対象へのセッション作成に使用するネイティブプロトコル</td><td><strong>必須</strong> (例: SSH)</td></tr><tr><td>セッションレコーディング</td><td>録画かタイプスクリプトのオプション</td><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/session-recording-and-playback/README.md">こちらのページ</a>をご参照ください。</td></tr><tr><td>接続パラメータ</td><td>プロトコルの種類に基づいて異なる接続固有のプロトコル設定</td><td><p><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/ssh-connections/README.md">こちらのページ</a>をご参照ください。<br></p><p>最低でも接続ポートの指定を推奨します (例: SSHの場合は「22」)。</p></td></tr></tbody></table>

### 管理者認証情報レコード

PAMマシンの**管理者認証情報レコード**により、管理者ユーザーをボルト内のPAMマシンレコードにリンクします。この管理者ユーザーは、パスワードのローテーションや接続の認証に使用されます。

ユーザーアカウントはPAMユーザーレコードで構成できます。PAMユーザーに関して詳しくは、こちらのページをご参照ください。

#### 管理者ではないユーザーを管理者認証情報レコードとして設定

管理者認証情報を使用して接続を認証しない場合は、リソースの通常ユーザーを管理者認証情報として指定することもできます。

## PAMマシンレコードの共有

PAMマシンレコードは、組織内の他のKeeperユーザーと共有できます。ただし、受信者はKeeperPAM機能を共有されたPAMレコードで使用するために、[適切なPAM関連ポリシーが適用](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies)されている必要があります。

PAMマシンレコードを共有する際、リンクされている管理者認証情報は共有されません。たとえば、PAMマシンがLinuxマシンとして構成されている場合、受信者はPAMマシンレコード上のLinuxマシンに接続できますが、リンクされている認証情報へは直接アクセスできません。

* 詳細については、[アクセス制御](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/sharing-and-access-control)のページをご参照ください。