トンネルの設定
デスクトップアプリでトンネルを設定
最終更新
デスクトップアプリでトンネルを設定
最終更新
KeeperPAMのトンネルでは、対象システムへの直接的なネットワーク経路を必要とせずにインフラへアクセスするための安全で一時的な接続を確立します。RDP、SSH、LDAPS、データベースなどのプロトコルに対して暗号化されたトンネルを確立することで、ジャストインタイムアクセスが実現します。ユーザーはKeeperPAMプラットフォームを通じて認証を行い、そこから接続を仲介しポリシーを適用します。
トンネルはKeeperデスクトップアプリおよびKeeperコマンダーCLIからご利用になれます。
トンネルを設定する前に、以下をご確認ください。
以下のトンネル関連の強制適用ポリシーを有効にしてトンネル使用権限を制御します。
KeeperPAMの強制ポリシーへは、管理コンソールを開いて、[管理者] > [ロール] > [強制適用ポリシー] > [特権アクセス管理] の順に移動します。
トンネル設定を構成
ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS
PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成の各レコードタイプでトンネル設定を構成できるようにします。
トンネルを開始
ALLOW_LAUNCH_PAM_TUNNELS
PAMマシン、PAMディレクトリ、PAMデータベースの各レコードタイプでトンネルを開始できるようにします。
トンネルの開始のみの権限のみを付与し、トンネルの設定を構成する権限を付与しない場合は、「トンネルを開始」ポリシーのみを有効にします。
トンネルの開始に加え、トンネルの設定を構成する権限も付与する場合は、「トンネル設定を構成」と「トンネルを開始」の両方のポリシーを有効にします。
Keeperゲートウェイは、顧客のネットワークにインストールし、対象インフラへのゼロトラストアクセスを実現するエージェントレスのホスティングサービスです。通常、このサービスはアクセスが必要な各ネットワークにおいて、LinuxまたはDocker環境にインストールします。
Keeperトンネルは、ボルトクライアントと対象エンドポイントとの間で確立される、安全で暗号化されたTCP/IP接続です。対象のエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。
Windows/MacOS/Linuxの各マシン、EC2インスタンス、Azure VM
MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle
Active Directory、OpenLDAP
設定の詳細については対象エンドポイントに該当するPAMレコードタイプのページをご参照ください。
対象エンドポイントでPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の [トンネル] セクションへ移動します。
PAMレコードを編集する
PAM設定セクション内の [セットアップ] をクリックする
表示されたウィンドウで [トンネル] セクションに移動する
以下の表は、PAM設定画面の [トンネル] セクションで設定可能な項目となります。
PAM構成
必須
PAM構成には対象インフラの詳細が含まれており、PAMレコードで設定された対象へのアクセスが可能になります。
トンネルを有効にする
必須
チェックするとそのレコードでトンネルを有効にします。
前回のポートを再利用する
チェックすると、前回使用されたトンネルポートが再利用されます。これにより、ポート番号が毎回変更されなくなります。
トンネルポート
Keeperゲートウェイが対象インフラへ接続する際に使用するポートです。指定がない場合は、Keeperレコードで設定されている「ローテーションポート」が使用されます。 指定したポートがすでに使用中である場合、トンネルは開始できません。
以下の画像のPAMマシンレコードでは以下が設定されています。
トンネルが有効
トンネルはローカルホストからリモートサーバーのポート3306に接続
以降のトンネルでは同じローカルポートを使用
PAMレコードにトンネルを設定すると、PAMレコードに [トンネル接続を開始] ボタンが表示されます。
[トンネル接続を開始] ボタンをクリックしてトンネルを開始します。この場合、ローカルポート番号は49644が選択されます。以降、このリソースに対するトンネルは同じローカルポートとトンネルが使用されます。
上記のスクリーンショットでは、対象エンドポイントであるAWSクラウド上で実行されているMySQLデータベースがPAMマシンレコードに定義および設定されています。トンネル設定が完了した後、ローカルホスト127.0.0.1およびローカルポート59644でトンネルが開始されました。
このMySQLデータベースには、MySQL Workbenchツールなど任意のネイティブアプリケーションを使用してアクセスできます。
同様に、ローカルデバイスのCLIから以下のコマンドを使用してデータベースへの接続を開始できます。
関連コマンド
トンネルでは、エンドツーエンドの暗号化を用いてユーザーのローカルデバイスから対象のインフラへの経路を確立します。セキュリティ上の理由から、Keeperが低レベル通信を傍受したり干渉したりすることはありません。そのため、パスワードやSSHキーなど、プロトコルで必要となる認証情報はすべて、ユーザーのローカルデバイス上で利用可能である必要があります。Keeperがプロトコル層を傍受することはありません。
KeeperPAMでは、認証情報を共有することなくリモートインフラへアクセスするのに2つの方法がご利用になれます。
以下のようにで enterprise-roleコマンドを使用することでもトンネルを有効にできます。
詳しくはこちらのをご参照ください。
PAM構成には、対象インフラ、設定、に関する重要な情報が含まれています。インフラストラクチャ用PAM構成の設定は必須となります。詳しくはこちらのをご参照ください。
Keeperデスクトップのユーザーインターフェースに加え、でもトンネリング機能を利用できます。
トンネルとともに認証情報をユーザーに提供する場合、認証情報の自動ローテーションを行って認証情報がスケジュールに基づいて無効化されるようにすることを推奨します。詳しくはのページをご参照ください。
多様なプロトコルを通じてインタラクティブなセッションを確立するための
自動入力機能を備えたによるウェブベースのインタラクティブセッションの確立
KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。