KCM バージョン 2.20.0
2025年7月23日リリース
概要
Keeperコネクションマネージャー2.20.0には、以下の重要なアップデートが反映されています。アップグレードの前に、必ずリリースノート全体をご確認ください。
リモートブラウザ分離 (RBI) をサポートするための必須変更
EL7のサポート終了
RBIにおけるHTTPS証明書エラーの無視に対応
クリップボードサイズの制限を設定可能に
SSHの証明書認証サポートの追加
バグ修正
リモートブラウザ分離 (RBI) 対応のための必須変更
必須作業: 最新バージョンのkcm-setup.runスクリプトをダウンロードします。
curl -O https://keepersecurity.com/kcm/kcm-setup.run続いて、以下のいずれかの方法で対応します。
setup.runを使用してAppArmorプロファイルを自動追加する方法
KCMインストール後にdocker-compose.ymlを手動で変更していない場合は、以下の手順で変更を自動適用できます。
Keeper Securityから最新の
kcm-setup.runをダウンロードします。コマンド
sudo ./kcm-setup.run upgradeで最新版へアップグレードします。コマンド
sudo ./kcm-setup.run reconfigureでdocker-compose.ymlを再生成します。
カスタマイズされた
docker-compose.ymlにAppArmorプロファイルを追加する方法
docker-compose.ymlを手動で変更している場合は、以下の手順に従って、guacdコンテナが新しいプロファイルを参照するように、docker-compose.ymlを手動で編集する必要があります。
Keeper Securityから最新の
kcm-setup.runをダウンロードします。コマンド
sudo ./kcm-setup.run upgradeで最新版へアップグレードします。/etc/kcm-setup/docker-compose.ymlを編集し、guacdコンテナのsecurity_optセクションに"apparmor:..."オプションを追加して、次のような構成にします。security_opt: - "seccomp:/etc/kcm-setup/guacd-docker-seccomp.json" - "apparmor:guacd-apparmor-profile"コマンド
sudo ./kcm-setup.run applyを実行して、docker-compose.ymlに加えた変更を適用します。
AppArmorプロファイルの手動抽出 (必要な場合のみ)
AppArmorプロファイルは標準の場所にバンドルされており、Dockerイメージから手動で抽出できます。
sudo docker run --rm --entrypoint=/bin/cat keeper/guacd /opt/keeper/share/guacd/guacd-apparmor-profile > guacd-apparmor-profile抽出したプロファイルは/etc/apparmor.d配下にコピーしてください。これにより、起動時に自動的に読み込まれるようになります。
sudo cp guacd-apparmor-profile /etc/apparmor.d/新しいプロファイルは、システムの再起動またはapparmor_parserを手動で実行することで読み込めます。
sudo apparmor_parser -r /etc/apparmor.d/guacd-apparmor-profileUbuntu環境でのDockerインストールに関する重要なお知らせ
Ubuntuが提供するdocker.ioパッケージは使用しないでください。テストの結果、この旧バージョンのDockerパッケージではAppArmorプロファイルとの互換性に問題がある可能性があることが確認されています。特に、再起動後にコンテナが設定されたAppArmorプロファイルを正しく再適用できない事象が報告されています。
代わりに、Docker公式が提供するこちらのパッケージを使用してください。
なお、Dockerがまだインストールされていない場合、kcm-setup.runを使用することでDockerの公式パッケージが自動でインストールされます。これにより、KCMのインストールと適切なDockerバージョンの導入を同時に行うことができます。
EL7のサポート終了について
CentOS 7およびRHEL 7は、2024年6月をもってサポート終了となりました。これに伴い、KCMではEL7向けのビルド提供を終了します。KCMバージョン2.19.3が最後のEL7対応バージョンとなり、KCM2.20.0以降ではEL7はサポート対象外となります。
現在もRHEL 7、CentOS 7、またはその他のEL7派生ディストリビューション上でKCMをRPMパッケージにより運用している場合は、EL8への移行を推奨します。EL8環境であればKCM 2.20.0へのアップグレードが可能です。なお、EL9およびEL10のサポートについては、今後のリリースで追加予定です。
RBIにおけるHTTPS証明書エラーの無視をサポート
KCM-404: 自己署名証明書の無視に対応
リモートブラウザ分離 (RBI) は、SSL/TLS証明書の検証を厳密に行います。ただし、接続先の初期URLのドメインが自己署名証明書など無効な証明書を使用していると事前に分かっており、管理者がそれでもRBI経由でのアクセスを許可したい場合には、初期URLに対して証明書の検証をスキップできるようになりました。
注意: このバイパス機能は初期URLのドメインにのみ適用されます。以下のような場合には無効となります。
初期URLが設定されていない (接続パラメータが空白の) 場合。
証明書が無効なドメインが、初期URLのドメインと完全一致しない場合 (リダイレクト等で異なるドメインに遷移するケースなど)。
クリップボードサイズ制限の設定に対応
KCM-405: 接続ごとにクリップボードの制限サイズを設定可能に
KCMではこれまで、接続内で使用されるクリップボードの最大サイズは256KBに制限されていました。今回のアップデートにより、接続ごとにこの上限を管理者が変更できるようになりました。これにより、より大きなデータをコピーする場合にも柔軟に対応できます。
SSHの証明書認証に対応
KCM-433: SSH接続における証明書認証をサポート
証明書認証を要求するSSHサーバーに対応するため、KCMではこれまでの秘密鍵に加えて、署名済みの公開鍵を指定できるパラメータが追加されました。CAにより署名された公開鍵をこの新しいパラメータとして設定することで、SSHサーバーとの証明書認証ができます。
バグ修正
RBI関連
KCM-390: YouTubeショート動画の読み込み時にRBI接続が失敗する不具合を修正。
KCM-396: URLパターンが一定数を超えると登録されず、警告も表示されない不具合を修正。
KCM-410: 「autofill-rules.yml」が大きすぎる場合にKCMの自動入力が失敗する不具合を修正。
KCM-413: 日本語入力時にRBIがフリーズする不具合を修正。
KCM-417: TOTPの自動入力時にメモリエラーが発生する不具合を修正。
KCM-419: CloudflareのログインページでreCAPTCHA認証に干渉してログインできなくなる自動入力の不具合を修正。
KCM-425: iPadでのRBIにおいてタッチ操作が機能しない不具合を修正。
KCM-431: 自動入力が手動操作に干渉する不具合を修正。
KCM-435: Googleサービスへのログイン時にRBIが使用できない不具合を修正。
ターミナル関連
KCM-399: MySQL接続において、バイナリ型のカラムデータがターミナル出力を乱す不具合を修正。
KCM-437:
vim使用時にKCMのターミナルエミュレーターが文字化けする不具合を修正。
その他のバグ修正
KCM-380: FIPSモードが有効なRHEL環境でKSM連携が使用できない不具合を修正。
KCM-386:
guacamole-db-mysqlイメージがaarch64環境で正常に動作しない不具合を修正。KCM-392: Guacamolウェブアプリでポーランド語の言語リソースが存在しないという警告が表示される不具合を修正。
KCM-400: キー入力ログの途中で誤ったタイムスタンプが表示される不具合を修正。
KCM-403: 短い動画で、セッション録画のヒートマップが正しく表示されない不具合を修正。
KCM-411: ファイルアップロードの進捗バーが、実際のアップロード完了前に100%になる不具合を修正。
KCM-426: KSMの静的トークンマッピングがユーザー単位の設定で正しく動作しない不具合を修正。
KCM-427: 録画の再生時にフリーズする不具合を修正。
KCM-439:
__guac_wol_send_packet()関数がIPv6アドレスに対して誤った構造体を使用していた不具合を修正。
依存関係の更新
KCM-453: KCMにおけるサードパーティ製の依存ライブラリを更新。
最終更新