KeeperPAMコマンド

検出、パスワードローテーション、接続、トンネル接続などのKeeperPAM機能の管理

概要

KeeperPAMでは、検出、パスワードローテーション、PAM設定、Keeper Gateway設定が可能であり、コマンダーからpamコマンドとサブコマンドを使用して制御および管理できます。これらのコマンドは、Keeperシークレットマネージャーのパスワードローテーション機能と検出機能をサポートしています。

pamコマンド

コマンド: pam

詳細: KeeperPAMの制御を行います。

My Vault> pam --help
pam command [--options]

Command    Description
---------  -----------------------------
gateway    Manage Gateways
config     Manage PAM Configurations
rotation   Manage Rotations
action     Execute action on the Gateway
tunnel     Manage Tunnels

サブコマンド: gateway

詳細: Keeperゲートウェイサービスを表示、作成、削除します。Keeperゲートウェイの詳細については、こちらのページご参照ください。

My Vault> pam gateway help
pam command [--options]

Command    Description
---------  ------------------
list       List Gateways
new        Create new Gateway
remove     Remove Gateway

サブコマンド: config

詳細: Keeper PAMの設定を表示、作成、編集、削除します。PAM設定とKeeperのローテーション機能の詳細については、パスワードローテーションのページをご参照ください。

My Vault> pam config help
pam command [--options]

Command    Description
---------  -------------------------------------------------------------
new        Create new PAM Configuration
edit       Edit PAM Configuration
list       List available PAM Configurations associated with the Gateway
remove     Remove a PAM Configuration

サブコマンド: connection

要件: PAMユーザー認証情報、PAMマシンまたはPAMデータベースのレコードが共有フォルダに登録されており、ゲートウェイが構成済みで、すべてがPAM構成で連携されていることを確認してください。

このコマンドは、PAMマシンおよびPAMデータベースのレコードに紐づいたKCMの接続パラメータおよびユーザーアカウントを編集します。一括での処理には、run-batch コマンドを使用できます。

edit

usage: pam connection edit [-h] [--configuration CONFIG] [--admin-user ADMIN]
                           [--protocol {,http,kubernetes,mysql,postgresql,rdp,sql-server,ssh,telnet,vnc}]
                           [--connections {on,off,default}] [--connections-recording {on,off,default}]
                           [--typescript-recording {on,off,default}]
                           [--connections-override-port CONNECTIONS_OVERRIDE_PORT] [--silent]
                           record

positional arguments:
  record                The record UID or path of the PAM resource record with network information to use for
                        connections

options:
  -h, --help            show this help message and exit
  --configuration CONFIG, -c CONFIG
                        The PAM Configuration UID or path to use for connections. Use command `pam config list` to
                        view available PAM Configurations.
  --admin-user ADMIN, -a ADMIN
                        The record path or UID of the PAM User record to configure the admin credential on the PAM
                        Resource
  --protocol {,http,kubernetes,mysql,postgresql,rdp,sql-server,ssh,telnet,vnc}, -p {,http,kubernetes,mysql,postgresql,rdp,sql-server,ssh,telnet,vnc}
                        Set connection protocol
  --connections {on,off,default}, -cn {on,off,default}
                        Set connections permissions
  --connections-recording {on,off,default}, -cr {on,off,default}
                        Set recording connections permissions for the resource
  --typescript-recording {on,off,default}, -tr {on,off,default}
                        Set TypeScript recording permissions for the resource
  --connections-override-port CONNECTIONS_OVERRIDE_PORT, -cop CONNECTIONS_OVERRIDE_PORT
                        Port to use for connections. If not provided, the port from the record will be used.
  --silent, -s          Silent mode - don't print PAM User, PAM Config etc.

1. My Vault> pam connection edit "/Share Folder Name/Record Name" -c ocYDOuzwt3n0iYXuYk0lHw 
-a "/Share Folder Name/Record Name" -p=rdp -cn=on -cr=on -cop=3389

2. My Vault> pam connection edit "/{{ Email }}/{{ Email }} SSH" -c ocYDOuzwt3n0iYXuYk0lHw 
-a "/Share Folder Name/Record Name" -p=ssh -cn=on -cr=on -cop=22 -s

3. My Vault> pam connection edit "/{{ Email }}/{{ Email }} MSSQL" -c ocYDOuzwt3n0iYXuYk0lHw 
-a "/Share Folder Name/Record Name" -p=sql-server -cn=on -tr=on -cop=1433

例1:RDP接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にします。

例2:SSH接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にしたうえで、出力を表示しないサイレントモードで実行します。

例3:MSSQL接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、typescript形式の録画を有効にします。

サブコマンド: rotation

詳細: レコードのKeeperローテーションの設定を表示および作成します。

My Vault> pam rotation help
pam command [--options]

Command    Description
---------  -----------------------------------
set        Set Record Rotation Configuration
list       List Record Rotation Configurations
info       Get Rotation Info
script     Add, delete, or edit script field

edit

My Vault> pam rotation edit --help
usage: pam rotation edit [-h] (--record RECORD_NAME | --folder FOLDER_NAME) [--force] [--config CONFIG] [--iam-aad-config IAM_AAD_CONFIG_UID] [--resource RESOURCE]
                         [--schedulejson SCHEDULE_JSON_DATA | --schedulecron SCHEDULE_CRON_DATA | --on-demand | --schedule-config] [--complexity PWD_COMPLEXITY]
                         [--admin-user ADMIN] [--enable | --disable]

options:
  -h, --help            show this help message and exit
  --record RECORD_NAME, -r RECORD_NAME
                        Record UID, name, or pattern to be rotated manually or via schedule
  --folder FOLDER_NAME, -fd FOLDER_NAME
                        Used for bulk rotation setup. The folder UID or name that holds records to be configured
  --force, -f           Do not ask for confirmation
  --config CONFIG, -c CONFIG
                        UID or path of the configuration record.
  --iam-aad-config IAM_AAD_CONFIG_UID, -iac IAM_AAD_CONFIG_UID
                        UID of a PAM Configuration. Used for an IAM or Azure AD user in place of --resource.
  --resource RESOURCE, -rs RESOURCE
                        UID or path of the resource record.
  --schedulejson SCHEDULE_JSON_DATA, -sj SCHEDULE_JSON_DATA
                        JSON of the scheduler. Example: -sj '{"type": "WEEKLY", "utcTime": "15:44", "weekday": "SUNDAY", "intervalCount": 1}'
  --schedulecron SCHEDULE_CRON_DATA, -sc SCHEDULE_CRON_DATA
                        Cron tab string of the scheduler. Example: to run job daily at 5:56PM UTC enter following cron -sc "56 17 * * *"
  --on-demand, -od      Schedule On Demand
  --schedule-config, -sf
                        Schedule from Configuration
  --complexity PWD_COMPLEXITY, -x PWD_COMPLEXITY
                        Password complexity: length, upper, lower, digits, symbols. Ex. 32,5,5,5,5[,SPECIAL CHARS]
  --admin-user ADMIN, -a ADMIN
                        UID or path for the PAMUser record to configure the admin credential on the PAM Resource as the Admin when rotating
  --enable, -e          Enable rotation
  --disable, -d         Disable rotation

JSONでローテーションスケジュールを設定する例

schedulejson または -sj パラメーターを使用して、JSON形式でスケジュールを設定します。 以下は、PAMユーザーレコードを毎月1日の午前4時 (現地時間) にローテーションする例です。

pam rotation edit -r XXXX -sj '{"type": "MONTHLY_BY_DAY", "monthDay": 1, "time": "04:00", "tz": "America/Chicago"}'

PAMユーザーレコードを毎週土曜日の午後10時 (現地時間) にローテーションします。

pam rotation edit -r XXXX -sj '{"type": "WEEKLY", "weekday": "SATURDAY", "time": "22:00", "tz": "America/New_York"}'code

以下は有効なスケジュールタイプです。

DAILY

ジョブが毎日実行されます。

  • type: DAILY

  • time: ジョブを実行する時刻 (24時間表記)

  • tz: ご自身のIANAタイムゾーン (例: America/Chicago)

  • intervalCount: 任意。実行の間隔 (日数) を指定できます。これにより、実行する日をスキップできます。

WEEKLY

ジョブが毎週実行されます。

  • type: WEEKLY

  • weekday: 実行する曜日 (以下のいずれかをすべて大文字で指定)

    • SUNDAY

    • MONDAY

    • TUESDAY

    • WEDNESDAY

    • THURSDAY

    • FRIDAY

    • SATURDAY

  • time: ジョブを実行する時刻 (24時間表記)

  • tz: ご自身のIANAタイムゾーン (例: America/Chicago)

  • intervalCount: 任意。intervalCountに 1 より大きい値を設定した場合、weekdayの指定は無視されます。ジョブは日曜日を起点として、指定した間隔 (日数) に基づき、週に複数回実行されます。実行日はintervalCountの値に従って決定されます。

MONTHLY_BY_DAY

ジョブが毎月、特定の日に実行されます。

  • type: MONTHLY_BY_DAY

  • monthDay: 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年でのみ有効となりますのでご留意ください。

  • time: ジョブを実行する時刻 (24時間表記)

  • tz: ご自身のIANAタイムゾーン (例: America/Chicago)

  • intervalCount: 任意。2以上の値を指定すると、monthDayにジョブが実行されたあと、指定した日数ごとに再実行されます。

MONTHLY_BY_WEEKDAY ジョブが毎月、特定の曜日と時刻に実行されます。

  • type: MONTHLY_BY_WEEKDAY

  • weekday: 曜日名。すべて大文字で指定してください。

    • SUNDAY

    • MONDAY

    • TUESDAY

    • WEDNESDAY

    • THURSDAY

    • FRIDAY

    • SATURDAY

  • occurrence: その月のどの週で実行するかを指定します。5週目の場合はLASTを使用します。

    • FIRST

    • SECOND

    • THIRD

    • FOURTH

    • LAST

  • time: ジョブを実行する時刻 (24時間表記)

  • tz: ご自身のIANAタイムゾーン (例: America/Chicago)

  • intervalCount: 任意。値が 1 以外に設定された場合、指定した曜日から開始し、intervalCount 週ごとに実行されます。

YEARLY

ジョブは毎年、指定した「月」「日」「時刻」に実行されます。

  • type: YEARLY

  • month: 月の名前。すべて大文字で指定します。

    • JANUARY

    • FEBRUARY

    • MARCH

    • APRIL

    • MAY

    • JUNE

    • JULY

    • AUGUST

    • SEPTEMBER

    • OCTOBER

    • NOVEMBER

    • DECEMBER

  • monthDay: 月の日付 (1から始まり、その月の最大日数まで)。29日はうるう年に該当する場合があります。

  • time: ジョブを実行する時刻 (24時間表記)

  • tz: ローカルの IANA タイムゾーン (例: America/Chicago)

  • intervalCount: 任意。1以外を設定すると、毎年ではなくintervalCount年ごとに実行されます。

パスワード複雑性の設定例 (PAMユーザー用)

--complexity または -x パラメータを使用して、パスワードの複雑性を指定します。

以下の要件を満たす20文字のパスワードを生成する設定

  • 最低1文字の大文字

  • 最低4文字の小文字

  • 最低2文字の数字

  • 最低2文字の記号 (.=+- を使用)

pam rotation edit -r XXXX -x 20,1,4,2,2,.=+-

値はカンマ区切り (CSV形式) のもので、以下の項目で構成されています。

  1. パスワードの全体の長さ

  2. 最低限必要な大文字の数

  3. 最低限必要な小文字の数

  4. 最低限必要な数字の数

  5. 最低限必要な記号の数

  6. 特殊文字セット。最後のカンマの後に、使用したい記号を入力します。使用できるのは、以下の記号セットに含まれる文字のみです。空白のままにすると、この記号セットが使用されます。

!@#$%^?();',.=+[]<>{}-_/\\*&:"`~|

list

My Vault> pam rotation list --help
usage: pam rotation list [-h] [--verbose]

optional arguments:
  -h、--help     show this help message and exit
  --verbose、-v  Verbose output

info

My Vault> pam rotation info --help 
usage: dr-router-get-rotation-info-parser [-h] --record-uid RECORD_UID

optional arguments:
  -h、--help            show this help message and exit
  --record-uid RECORD_UID, -r RECORD_UID
                        Record UID to rotate

script

My Vault> pam rotation script --help
pam command [--options]

Command    Description
---------  ---------------------------------
list       List script fields
add        List Record Rotation Schedulers
edit       Add, delete, or edit script field
delete     Delete script field

サブコマンド: action

詳細: Keeperゲートウェイを介して特権アカウントを検出

My Vault> pam action help
pam command [--options]

Command              Description
-------------------  ----------------
gateway-info         Info command
unreleased-discover  Discover command
rotate               Rotate command
job-info             View Job details
job-cancel           View Job details

gateway-info

My Vault> pam action gateway-info --help
usage: dr-info-command [-h] [--gateway GATEWAY_UID] [--verbose]

optional arguments:
  -h、--help            show this help message and exit
  --gateway GATEWAY_UID, -g GATEWAY_UID
                        Gateway UID
  --verbose、-v         Verbose Output

discover

My Vault> pam action discover --help
pam command [--options]

Command    Description
---------  ----------------------------------
start      Start a discovery process
status     Status of discovery jobs
remove     Cancel or remove of discovery jobs
process    Process discovered items
rule       Manage discovery rules

discover start

My Vault> pam action discover start --help
usage: dr-discover-start-command [-h] --gateway GATEWAY [--resource RESOURCE_UID] [--lang LANGUAGE] [--include-machine-dir-users] [--inc-azure-aadds]
                                 [--skip-rules] [--skip-machines] [--skip-databases] [--skip-directories] [--skip-cloud-users] [--cred CREDENTIALS]
                                 [--cred-file CREDENTIAL_FILE]

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Gateway name of UID.
  --resource RESOURCE_UID, -r RESOURCE_UID
                        UID of the resource record. Set to discover specific resource.
  --lang LANGUAGE       Language
  --include-machine-dir-users
                        Include directory users found on the machine.
  --inc-azure-aadds     Include Azure Active Directory Domain Service.
  --skip-rules          Skip running the rule engine.
  --skip-machines       Skip discovering machines.
  --skip-databases      Skip discovering databases.
  --skip-directories    Skip discovering directories.
  --skip-cloud-users    Skip discovering cloud users.
  --cred CREDENTIALS    List resource credentials.
  --cred-file CREDENTIAL_FILE
                        A JSON file containing list of credentials.

discover status

My Vault> pam action discover status --help
usage: dr-discover-status-command [-h] [--gateway GATEWAY] [--job-id JOB_ID] [--history]

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Show only discovery jobs from a specific gateway.
  --job-id JOB_ID, -j JOB_ID
                        Detailed information for a specific discovery job.
  --history             Show history

discover remove

My Vault> pam action discover remove --help
usage: dr-discover-command-process [-h] --job-id JOB_ID

options:
  -h, --help            show this help message and exit
  --job-id JOB_ID, -j JOB_ID
                        Discovery job id.

discover process

My Vault> pam action discover process --help
usage: dr-discover-command-process [-h] --job-id JOB_ID [--add-all] [--debug-gs-level DEBUG_LEVEL]

options:
  -h, --help            show this help message and exit
  --job-id JOB_ID, -j JOB_ID
                        Discovery job to process.
  --add-all             Respond with ADD for all prompts.
  --debug-gs-level DEBUG_LEVEL
                        GraphSync debug level. Default is 0

discover rule

My Vault> pam action discover rule --help
pam command [--options]

Command    Description
---------  --------------
add        Add a rule
list       List all rules
remove     Remove a rule
update     Update a rule

discover rule add

My Vault> pam action discover rule add --help
usage: dr-discover-rule-add [-h] --gateway GATEWAY --action {add,ignore,prompt} --priority PRIORITY [--ignore-case] [--shared-folder-uid SHARED_FOLDER_UID]
                            --statement STATEMENT

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Gateway name of UID.
  --action {add,ignore,prompt}, -a {add,ignore,prompt}
                        Action to take if rule matches
  --priority PRIORITY, -p PRIORITY
                        Rule execute priority
  --ignore-case         Ignore value case. Rule value must be in lowercase.
  --shared-folder-uid SHARED_FOLDER_UID
                        Folder to place record.
  --statement STATEMENT, -s STATEMENT
                        Rule statement

rotate

My Vault> pam action rotate --help
usage: dr-rotate-command [-h] --record-uid RECORD_UID

optional arguments:
  -h、--help            show this help message and exit
  --record-uid RECORD_UID, -r RECORD_UID
                        Record UID to rotate

job-info

My Vault> pam action job-info --help
usage: pam-action-job-command [-h] [--gateway GATEWAY_UID] job_id

positional arguments:
  job_id

optional arguments:
  -h、--help            show this help message and exit
  --gateway GATEWAY_UID, -g GATEWAY_UID
                        Gateway UID.Needed only if there are more than one gateway running

job-cancel

My Vault> pam action job-cancel --help
usage: pam-action-job-command [-h] [--gateway GATEWAY_UID] job_id

positional arguments:
  job_id

optional arguments:
  -h、--help            show this help message and exit
  --gateway GATEWAY_UID, -g GATEWAY_UID
                        Gateway UID.Needed only if there are more than one gateway running

service list

My Vault> pam action service list -h
usage: pam-action-service-list [-h] --gateway GATEWAY

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Gateway name or UID

service add

My Vault> pam action service add -h
usage: pam-action-service-add [-h] --gateway GATEWAY --machine-uid MACHINE_UID --user-uid
                              USER_UID --type {service,task}

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Gateway name or UID
  --machine-uid MACHINE_UID, -m MACHINE_UID
                        The UID of the Windows Machine record
  --user-uid USER_UID, -u USER_UID
                        The UID of the User record
  --type {service,task}, -t {service,task}
                        Relationship to add [service, task]

service remove

My Vault> pam action service remove -h
usage: pam-action-service-remove [-h] --gateway GATEWAY --machine-uid MACHINE_UID --user-uid
                                 USER_UID --type {service,task}

options:
  -h, --help            show this help message and exit
  --gateway GATEWAY, -g GATEWAY
                        Gateway name or UID
  --machine-uid MACHINE_UID, -m MACHINE_UID
                        The UID of the Windows Machine record
  --user-uid USER_UID, -u USER_UID
                        The UID of the User record
  --type {service,task}, -t {service,task}
                        Relationship to remove [service, task]

サブコマンド: tunnel

詳細: ローカルマシンから対象インフラへのKeeperトンネルの表示および作成を行います。

My Vault> pam tunnel help
pam command [--options]

Command    Description
---------  -------------------------
start      Start Tunnel
list       List all Tunnels
stop       Stop Tunnel to the server
tail       View Tunnel Log
edit       Edit Tunnel settings

start

My Vault> pam tunnel start -h
usage: pam tunnel start [-h] [--host HOST] [--port PORT] uid

positional arguments:
  uid                   The Record UID of the PAM resource record with network information to use for tunneling

options:
  -h, --help            show this help message and exit
  --host HOST, -o HOST  The address on which the server will be accepting connections. It could be an IP address or a
                        hostname. Ex. set to 127.0.0.1 as default so only connections from the same machine will be accepted.
  --port PORT, -p PORT  The port number on which the server will be listening for incoming connections. If not set, random
                        open port on the machine will be used.

list

My Vault> pam tunnel list -h
usage: pam tunnel list [-h]

options:
  -h, --help  show this help message and exit

stop

My Vault> pam tunnel stop -h
usage: pam tunnel stop [-h] uid

positional arguments:
  uid         The Tunnel UID or Record UID

options:
  -h, --help  show this help message and exit

tail

My Vault> pam tunnel tail -h
usage: pam tunnel tail [-h] uid

positional arguments:
  uid         The Tunnel UID

options:
  -h, --help  show this help message and exit

edit

My Vault> pam tunnel edit -h
usage: pam tunnel edit [-h] [--configuration CONFIG] [--enable-tunneling] [--tunneling-override-port TUNNELING_OVERRIDE_PORT]
                       [--disable-tunneling] [--remove-tunneling-override-port]
                       uid

positional arguments:
  uid                   The Record UID of the PAM resource record with network information to use for tunneling

options:
  -h, --help            show this help message and exit
  --configuration CONFIG, -c CONFIG
                        The PAM Configuration UID to use for tunneling. Use command `pam config list` to view available PAM
                        Configurations.
  --enable-tunneling, -et
                        Enable tunneling on the record
  --tunneling-override-port TUNNELING_OVERRIDE_PORT, -top TUNNELING_OVERRIDE_PORT
                        Port to use for tunneling. If not provided, the port from the record will be used.
  --disable-tunneling, -dt
                        Disable tunneling on the record
  --remove-tunneling-override-port, -rtop
                        Remove tunneling override port
前へ共有コマンド次へ接続コマンド

最終更新