Keeperコネクションマネージャー
オンプレミスまたはクラウドホストのリモートアクセスゲートウェイ。
各リリースノートを読むには、左のナビゲーションをクリックしてください。
KCM バージョン 2.19.3
2025年2月28日リリース
KCM バージョン 2.19.2
2024年12月7日リリース
RBIのTOTP自動入力サポート
ユーザー名とパスワードの自動入力サポートに加えて、RBIはTOTPコードの自動入力もできるようになりました。TOTPコードを受け取るフィールドは、自動入力ルールでtotp-code-fieldプロパティを使用して宣言する必要があります。
totp-code-field
現在のTOTPコードを受け取るべき入力フィールドのユニークなDOM要素に一致するCSSセレクタやXPath式。
XPathを使用する場合、CSSとXPathを明確に区別するために、式は先頭にスラッシュを付ける必要があります。
RBIがTOTPコードを生成できるようにするには、ハッシュアルゴリズムや生成される各コードの桁数などの必要な詳細情報とともに、TOTPシークレットを事前に設定する必要があります。
Two-Factor Code Algorithm (二要素コードアルゴリズム)
totp-algorithm
SHA1
TOTPコードを生成するために使用されるハッシュアルゴリズム。使用できる値は、SHA1、SHA256、
SHA512。
Digits in Two-Factor Code (二要素コードの桁数)
totp-digits
6
生成されるTOTPコードに含まれる桁数です。許容される値は6、7、8です。
Two-Factor Code Period (Seconds) (二要素コードの有効期間 (秒数))
totp-period
30
生成されたTOTPコードが有効である時間 (秒単位)。
Two-Factor Code Secret (二要素コードのシークレット)
totp-secret
該当なし
TOTPコードの生成に使用されるシークレットキーです。このキーは、対象のウェブサイトの各ユーザーに固有であり、パラメータートークンを使用してKSMからその都度取得できます (詳細については以下をご参照ください)。
追加の${*_TOTP_SECRET}トークンを使用することで、KSMを通じてTOTPシークレットをKeeperボルトからその都度取得できます。例えば、RBI接続に関連付けられたユーザーアカウントのTOTPコードを取得するには、${KEEPER_USER_TOTP_SECRET}パラメータトークンを使用します。
${KEEPER_SERVER_TOTP_SECRET}
取得: 指定されたレコードに関連付けられたTOTPシークレットを取得します。
一致: 「url」接続パラメーターに指定された値と一致するホスト名またはIPアドレスを持つレコード。
${KEEPER_USER_TOTP_SECRET}
取得: 指定されたレコードに関連付けられたTOTPシークレットを取得します。
一致: 「username」接続パラメーターに指定された値と一致するログインを持つレコード。
以下のトークンは定義されてはいますが、現在はRDPではTOTPコード生成が必要ないため実際的な用途がなく、使用されません。
${KEEPER_GATEWAY_TOTP_SECRET}
取得: レコードに関連付けられたTOTPシークレット。。
一致: 「gateway-hostname」接続パラメータの値と一致するホスト名またはIPアドレスのレコード
${KEEPER_GATEWAY_USER_TOTP_SECRET}
取得: レコードに関連付けられたTOTPシークレット。
一致: 「gateway-username」接続パラメータと一致するログイン情報を持つレコード
Duo v2からv4への移行
Duo Web SDK v4への移行はv2と互換性がありません。Duoがそのバージョンのサポートを終了したにもかかわらず (Duoに許可を依頼して)、お客様がv2でKCMを使用している場合は、以下の対応が必要です
Duoの設定を更新し、v2 (「レガシー」) ではなくv4 (「ユニバーサルプロンプト」) を使用するようにする。
KCMの設定を編集し、Duoアカウントから取得した新しいプロパティ/変数とそれに対応する値を使用する (下記参照)。
v2を使用していて、v4への移行のために設定を変更できないお客様は、移行が完了するまでKCM 2.19.0またはそれ以前のバージョンを引き続き使用する必要があります。
Duoは、Web SDKのv2のサポートを終了し、v4 (Duoの「ユニバーサルプロンプト」としても知られるバージョン) を推奨しています。v2はこれを必要とする顧客のみが使用できるように維持されています。現在、KCMはこの新しいバージョンに対応するように更新されています。DuoのWeb SDK v4はv2とは互換性がなく、異なる設定オプションを使用します。
duo-api-hostname
DUO_API_HOSTNAME
必須。ユーザーの認証情報を確認するために使用されるDuo APIエンドポイントのホスト名。Guacamoleが「Web SDK」アプリケーションとして追加された際にDuoによって割り当てられます。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-auth-timeout
DUO_AUTH_TIMEOUT
進行中のDuo認証試行のタイムアウト (分単位)。この期間を超える認証試行は無効になります。デフォルトでは、Duo認証試行は5分後にタイムアウトします。
duo-client-id
DUO_CLIENT_ID
必須。KCMが「Web SDK」アプリケーションとして追加された際にDuoから提供されたクライアントID。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-client-secret
DUO_CLIENT_SECRET
必須。KCMが「Web SDK」アプリケーションとして追加された際にDuoから提供されたクライアントシークレット。この値は、Duoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-redirect-uri
DUO_REDIRECT_URI
必須。認証されたユーザーのブラウザをKCMにリダイレクトするためにDuoサービスが使用できるユーザー向けのURI。
duo-application-key、duo-integration-key、duo-secret-keyプロパティ (およびDUO_APPLICATION_KEY、DUO_INTEGRATION_KEY、DUO_SECRET_KEY環境変数) は、DuoのWeb SDK v2特有のものであり、現在は機能しません。
KCMインストールスクリプト (kcm-setup.run) の詳細モード
kcm-setup.run) の詳細モードKCMインストールスクリプトの新しいデバッグ/詳細モードは、主にKCM開発チームが顧客の問題をトラブルシュートするために使用するデバッグ情報を取得するために役立ちます。この変数は、その文脈外で顧客に役立つ可能性は低く、使用することで得られる膨大な詳細情報が混乱を招く可能性があります。
kcm-setup.runスクリプトは、KCM_SETUP_DEBUG環境変数をサポートするようになり、この変数を設定するとスクリプトは詳細モードで実行され、実行されるすべてのコマンドとその出力が表示されます。このデバッグ出力は、KCM_SETUP_DEBUGの値に応じて、ターミナルやファイルに直接送信することができます。
export KCM_SETUP_DEBUG=/path/to/file
sudo -E ./kcm-setup.runKCM バージョン 2.19.0
2024年6月リリース予定
新機能
KCM-164: リモートブラウザ分離プロトコル (詳しくはこちらのページをご参照ください)
KCM-345: KCMライセンスキーの適用
ライセンスに関する変更 (重要)
KCM 2.19へのアップグレードの一環として、Keeperコネクションマネージャー (KCM) の使用を継続するには、Keeperからライセンスキーの取得が必要となります。有効なライセンスキーがない場合、アップグレードの適用後にKCMを使用できなくなります。
KCMへのアクセスを維持するための適切な手順は以下の通りです。
ライセンスキーを取得するには、こちらのページからKeeperサポートチームまで直接お問い合わせください。
リクエストをいただくと、Keeperからライセンスキーを生成して送信いたします。
以下は、ライセンスキーを使用してKeeperコネクションマネージャーを設定する手順となります。
ライセンスキーKeeperコネクションマネージャーのライセンスキーの有効化アップグレードの際には、他のKeeperコネクションマネージャーのアップグレードと同様に、アップグレード前にデータベースとdocker-compose.ymlファイルを必ずバックアップしておいてください (こちらのページをご参照ください)。
KCM バージョン 2.18.3
4月13日リリース
今回のリリースでは、Keeperの最新GPG署名キー (RPMベースのインストールにのみ関連)、すべての依存関係の最新の互換バージョンへのアップデートに加え、以下の不具合を修正しました。
バグ修正
KCM-332: RDP接続がユーザーの認証情報の入力を待機している間のタイムアウト挙動を修正。
KCM-309: 顧客のKCMサーバーのドメインに関して
kcm-setup.runのプロンプトの文言がわかりにくい問題を修正。KCM-339: CSVから接続をインポートする際の (
attribute) 接尾辞の処理が間違っていた不具合を修正。KCM-341: 「インジェクターを作成できません」というエラーが発生し、設定方法に関係なく「暗号化されたJSON認証」拡張機能の読み込みが妨げられる不具合を修正。
KCM バージョン 2.18.2
2024年2月9日リリース
KCM バージョン 2.18.1
2024年2月2日リリース
KCM Version 2.17.0
2023年8月1日リリース
新機能
KCMセッション記録のキーイベントをKCMのセッション記録プレーヤーで表示できるようになりました。
詳細はこちら(英語)
KCMのターミナル・エミュレータがMacスタイルのキーボード・ショートカットに対応。
KCMがSSHのようなテキストベースのプロトコルで使用しているターミナルエミュレータは、これまでキーボードを使ってクリップボードの内容を貼り付けるためのショートカットとして、Ctrl+Shift+Vのみを使用していました。また、Ctrl+Shift+CやCmd+Cを使ったコピーの試みは無視されます(ターミナル・エミュレータ内でのコピーは、テキストを選択すると常に自動的に行われます)。
新しい環境変数:
SSL_EXTERNAL_PORTSAML IdP から受信した要求を検証するために、KCM は、KCM へのアクセスに使用されるユーザ向 け TCP ポートを知る必要がある。そのポートが標準の HTTPS ポートと異なる場合、
SSL_EXTERNAL_PORTを指定して、ポートが異なることを KCM に通知でき るようになりました。KCM がカスタム HTTPS ポートを使用するように構成されている場合に、SAML 拡張が機能しない問題が解決されました。
改善事項と不具合修正
TOTP が SAML で使用できるようになりました。
SAMLとTOTPは、従来KCMと一緒に使用することができませんでした。これらの競合は解決され、これらのアンチ・リプレイ防御が提供するセキュ リティを犠牲にすることなく、両方を同時に使用できるようになりました。
KCMのKeeper Secret Manager統合がPAMユーザー記録からの秘密鍵の読み取りをサポートしました。
PAMユーザー記録は最近導入されたPAM記録タイプで、Keeper Rotation (英語)で使用されます。
KCM Version 2.16.1
2023年6月6日リリース
KCM Version 2.16.0
2023年6月6日リリース
セキュリティ更新
Apache Guacamoleのベースバージョンを1.3.0から1.5.2に更新
KCMでは、Apache Guacamole 1.3.0をベースとして、アップストリームからの変更をバックポートしてきました。最新のアップストリームリリースは1.5.2なので、私たちのパッケージをそのリリースに最新化し、不要になったパッチを削除する必要があります。
アップストリーム(上り)の Apache Guacamole 1.5.2 リリースには、セキュリティに影響する問題に対処するための変更が含まれています。
この基本バージョンの更新では、互換性への影響はありません。以前のバージョンのKCMで動作していた拡張機能は、引き続き同じように動作することが期待されます。
依存関係のアップデート
KCMが使用する様々なC、Java、JavaScriptの依存関係は、最新の利用可能な互換性のあるバージョンに更新されます。
新機能
applycommand forkcm-setup.runThe
kcm-setup.runinstallation script now provides anapplycommand to more easily allow administrators to apply changes made todocker-compose.yml:./kcm-setup.run applykcm-setup.runインストールスクリプトにapplyコマンドが追加され、管理者がdocker-compose.yml:./kcm-setup.run applyに加えた変更をより簡単に適用できるようになりました。
Unlike
upgrade, theapplycommand strictly applies changes made externally todocker-compose.ymland does not pull new images.upgradeコマンドとは異なり、applyコマンドは外部からdocker-compose.ymlに加えられた変更を厳密に適用し、新しいイメージ(スナップショット)をプルしません。
The installation script has also been updated to use
depends_onwithin declared services to ensure thatstopneed not be run beforeupgradeorapplyare used. Administrators can simply run the command and rely on the script and Docker Compose to automatically stop/start services as needed.インストールスクリプトも更新され、宣言されたサービス内で
depends_onを使用して、upgradeやapplyを使用する前にstopを実行する必要がないようにしています。管理者はコマンドを実行するだけで、スクリプトとDocker Composeが必要に応じて自動的にサービスを停止/開始します。
不具合修正
バッチインポートで一部のUnicode文字がサポートされない問題が解決されました。
KCM Version 2.15.1
2023年5月25日リリース
KCM Version 2.15.0
2023年5月12日
新機能
KCMでは、管理者がAPIを介して、またはCSV、JSON、またはYAMLファイルをアップロードして、接続をバッチインポートできるようになりました。
詳細はこちらの英語のドキュメントをご覧ください。
過去のリリース
Version history for Glyptodon before 2.8.0
All Glyptodon Enterprise 2.x releases are API-compatible with Apache Guacamole 1.1.0. Newer releases of Glyptodon Enterprise 2.x may gain compatibility with additional upstream releases of Apache Guacamole beyond 1.1.0 so long as doing so does not break existing compatibility. The most recent release of Glyptodon Enterprise 2.x is compatible with Apache Guacamole 1.3.0 and incorporates a number of improvements from the Apache Guacamole 1.4.0 release. The log entries here describe which changes have been made from the relevant upstream baseline, as well as any changes to the Glyptodon Enterprise repositories and packages.
Release Schedule / History
Version 2.7
Allow login with standard username/password when SSO is enabled (GLEN-328, GUACAMOLE-1364).
Automatically clear URL state upon clicking "Re-login" (GLEN-320, GUACAMOLE-680).
Update webapp dependencies to latest stable versions (GLEN-329, GUACAMOLE-773).
Update to latest release (9.0.56) of Apache Tomcat (GLEN-329).
Update to latest release (9.4.1) of SQL Server JDBC driver (GLEN-329).
Version 2.6
Migrate to header-based transmission of REST API authentication token (GLEN-324, GUACAMOLE-956).
Add support for authenticating against multiple LDAP servers (GLEN-323, GUACAMOLE-944, GUACAMOLE-957, GUACAMOLE-1130).
Update to latest release (9.0.55) of Apache Tomcat (GLEN-327).
Update to latest release (2.4.1) of FreeRDP (GLEN-327).
Update to latest release (1.10.0) of libssh2 (GLEN-327).
Update to latest release (4.3.0) of libwebsockets (GLEN-327).
Update to latest release (9.4.0) of SQL Server JDBC driver (GLEN-327).
Version 2.5
Add support for broadcasting input events across multiple tiled connections (GLEN-171, GUACAMOLE-724, GUACAMOLE-1204, GUACAMOLE-1381, GUACAMOLE-1383, GUACAMOLE-1398).
Add support for single sign-on using OpenID Connect (GLEN-133, GUACAMOLE-210, GUACAMOLE-680, GUACAMOLE-805).
Add support for single sign-on using SAML (GLEN-257, GUACAMOLE-103, GUACAMOLE-680).
Update webapp dependencies to latest stable versions (GLEN-301, GUACAMOLE-773, GUACAMOLE-1298, GUACAMOLE-1317).
Update to latest release (2.3.2) of FreeRDP (GLEN-301).
Update to latest release (4.2.1) of libwebsockets (GLEN-301).
Update to latest release (9.2.1) of SQL Server JDBC driver (GLEN-301).
Correct filtering of disconnected/failed connections displayed within the same view (GLEN-171, GUACAMOLE-1387).
Correct handling of RDP "AUDIO_INPUT" channel (GLEN-242, GUACAMOLE-1201, GUACAMOLE-1283).
Correct handling of RDP-specific resources when reconnecting to update display size (GLEN-171, GUACAMOLE-1388).
Correct sort order of connection history within connection edit screen (GLEN-304, GUACAMOLE-1366).
Create package for standalone Apache Guacamole deployment (GLEN-280).
Use MariaDB Connector/J driver where MySQL Connector/J is unavailable (GLEN-317, GUACAMOLE-1407).
Automatically enforce HTTP request size limits (GLEN-301, GUACAMOLE-1298).
Defer handling of "Meta" key until its identity is confirmed by the browser in context of the current set of pressed keys (GLEN-306, GUACAMOLE-1386).
Do not automatically reattempt authentication after logging out (GLEN-133, GLEN-257, GUACAMOLE-680).
Backport latest updates and improvements to translations (GLEN-303, GUACAMOLE-1160, GUACAMOLE-1207, GUACAMOLE-1265, GUACAMOLE-1291, GUACAMOLE-1337, GUACAMOLE-1339, GUACAMOLE-1355).
Migrate to now-upstreamed version of guacamole-auth-json (GLEN-301, GUACAMOLE-1218).
Version 2.4
Ensure unexpected failures during session expiration do not prevent other sessions from expiring (GLEN-278, GUACAMOLE-1299).
Add support for forcing use of lossless compression (GLEN-277, GUACAMOLE-1302).
Add support for pass-through of multi-touch events (GLEN-276, GUACAMOLE-1204).
Add package build for CentOS / RHEL 8 (GLEN-182).
Package support for integrating UDS Enterprise / OpenUDS (GLEN-279).
Version 2.3
This release of Glyptodon Enterprise is a hotfix for an incorrect build of the glyptodon-guacamole-auth-jdbc-sqlserver package which resulted in the SQL Server JDBC driver not loading during web application startup (see GLEN-275). Users of Glyptodon Enterprise that leverage SQL Server for their database should upgrade if they are having trouble as of the 2.2 release. Users that are not leveraging SQL Server will see no difference between 2.3 and 2.2.
Correct SQL Server driver symbolic link (GLEN-275).
Version 2.2
Update to upstream 1.3.0 release (GLEN-259)
Migrate to "/opt/glyptodon" base for installation (GLEN-261)
Adopt and rebuild against Glyptodon builds of core protocol support libraries (GLEN-261)
Update build to leverage libuuid instead of OSSP UUID (GLEN-261, GUACAMOLE-1254)
Correct memory errors related to FreeRDP upgrade (GLEN-261, GUACAMOLE-1191, GUACAMOLE-1259)
Version 2.1
Correct regressions due to FreeRDP 2.0.0 migration (GLEN-251, GUACAMOLE-1053, GUACAMOLE-1059, GUACAMOLE-1076)
Backport improved RDP keymap support (GLEN-252, GUACAMOLE-518, GUACAMOLE-859)
Version 2.0
Update core packaging to use 1.1.0 base version (GLEN-131)
Package support for TOTP authentication factor (GLEN-134, GUACAMOLE-96)
Package support for SQL Server authentication and required JDBC driver (GLEN-132, GUACAMOLE-363, GUACAMOLE-525)
Package support for attaching to Kubernetes pods (GLEN-181, GUACAMOLE-623)
Update documentation within guacamole.properties to reflect support for user groups (GLEN-184, GUACAMOLE-220)
Add interface for monitoring and switching between multiple simultaneous connections within the same tab (GLEN-169, GUACAMOLE-723, GUACAMOLE-822)
Add support for disabling clipboard copy/paste (GLEN-158, GUACAMOLE-381)
Correct handling of audio input under Chrome (GLEN-223, GUACAMOLE-732, GUACAMOLE-905)
Correct RDP support regressions due to migration to FreeRDP 2.0.0 (GLEN-235, GUACAMOLE-952, GUACAMOLE-962, GUACAMOLE-978, GUACAMOLE-979)
Add "Hyper-V / VMConnect" security mode option, allowing connections to Hyper-V to continue to work with FreeRDP 2.0.0 (GLEN-235, GUACAMOLE-952)
Ensure guacd has a writable home directory for the sake of FreeRDP, which requires a writable home directory as of 2.0.0 (GLEN-215)
Correct syntax of SQL Server history queries (GLEN-206, GUACAMOLE-870)
Provide feedback while user logins are in progress (GLEN-168, GUACAMOLE-742)
Automatically re-focus relevant fields after login failure (GLEN-220, GUACAMOLE-302)
Release pressed keys after login succeeds (GLEN-185, GUACAMOLE-817)
Add RDP keyboard mapping for German non-dead tilde key (GLEN-226, GUACAMOLE-917)
Add Belgian French keymap for RDP (GLEN-218, GUACAMOLE-901)
Add Czech translation (GLEN-222, GLEN-237, GUACAMOLE-781)
Add Hungarian keymap for RDP (GLEN-218, GUACAMOLE-837)
Add Japanese translation (GLEN-222, GUACAMOLE-821)
Add Latin American keymap for RDP (GLEN-218, GUACAMOLE-625)
Ensure SFTP directory listings cannot omit files (GLEN-230, GUACAMOLE-818)
Explicitly require Java 8, as Java 7 and older are no longer supported by Apache Guacamole since 1.0.0 (GLEN-131, GUACAMOLE-635)
Tolerate presence of port number within "X-Forwarded-For" headers (GLEN-231, GUACAMOLE-784)
Do not allow error strings to contain HTML (GLEN-229, GUACAMOLE-955)
Use correct interface for translatable errors from extensions (GLEN-241, GUACAMOLE-1007)
Correct REST API caching behavior for IE 11 (GLEN-167, GUACAMOLE-783)
Remove hard-coded application name and version from Spanish translation (GLEN-221, GUACAMOLE-740, GUACAMOLE-741)
Correct potential race condition in connection cleanup (GLEN-228, GUACAMOLE-958)
Correct attribute names declared within guacConfigGroup.schema (GLEN-232, GUACAMOLE-889)
Glyptodon Version 2.8.0
Released on Jan 31, 2022
Features and Improvements
PAM-16, PAM-5, PAM-18: New user interface with Keeper branding
PAM-15: Automatically trim trailing whitespace from guacamole.properties
PAM-6: Add SSH support for ECDSA and ED25519 keys
PAM-4: Add encrypted vault storage plugin for Keeper Secrets Manager
PAM-20: Migrate to Gitbook for documentation
Glyptodon Version 2.8.1
Released April 12, 2022
Features and Improvements
PRIV-59 Session recording playback in the UI
PRIV-60 Allow admins to reset users' TOTP state
PRIV-73 Updated FreeRDP packages to the latest release (2.6.1)
PRIV-50, PRIV-51 Hide dependencies version numbers shown in error messages
Highlight: In-Browser Session Playback
It is now possible to view graphic session recording right in the browser. Once a connection is setup for in-browser recording playback, past sessions can be replayed from the History tab.
Find more information and setup instructions in the docs: https://docs.keeper.io/glyptodon/using-glyptodon/session-recording#in-browser-session-recording-and-playback
KCM Version 2.9.0
Released on April 28, 2022
Version 2.9.0 introduces the world to Keeper Connection Manager.
Also, we are proud to announce support for MySQL connections. Easily add database connections to the Keeper Connection Manager platform to secure and protect MySQL databases. Session recording, privileged access management and secrets management capabilities apply to the MySQL connection type.
Features & Improvements
PRIV-80: Remove file upload limit from SSL termination image
PRIV-72: Allow installer to be run as an https stream
PRIV-79: Rebranding of Glyptodon installer to KCM
PRIV-67: Rebranding of Glyptodon UI to KCM
PRIV-81: Auto-generate secure credentials for "guacadmin" user
PRIV-63: Add support for MySQL connection types
PRIV-55: Disable legacy TLS protocols/ciphers by default
PRIV-56: Allow custom CSP and HSTS headers to be configured
KCM Version 2.9.3
Released on June 16, 2022
Features
PRIV-121: Amazon AWS EC2 discovery and auto-connect [Documentation]
PRIV-69: Support for Wayland server
PRIV-128: Support for ED25519 SSH Keys in Docker Version
PRIV-82: Ability to reconfigure the installation (for example MySQL to PostgreSQL) using the kcm-setup.run script.
PRIV-129: Enforce the parameter GUACAMOLE_ADMIN_PASSWORD to prevent "Default" password.
Bug Fixes
PRIV-137: Sharing Profiles not visible in the Admin UI
KCM Version 2.9.4
Released on August 6, 2022
Features
PRIV-149: Support for Domain parameter in Vault integration for Windows logins See: https://docs.keeper.io/keeper-connection-manager/vault-integration/dynamic-tokens#windows-username-domain-parsing
PRIV-74: Added small margin to SSH connection windows
PRIV-165: Accept a one-time token for UI-based KSM configuration
PRIV-108: Added support for multiple KSM applications (at the Connection Group Level)
PRIV-157: Added support for custom LDAP Root Certificate
PRIV-160: Added support for signed SAML requests
Bug Fixes
PRIV-161: Kubernetes support missing from guacd Docker image
PRIV-168: Add "X-Content-Type-Options" header to SSL termination Docker image
PRIV-173: Update kcm-setup.run to support Amazon Linux 2
PRIV-174: Private key authentication fails for VNC with SFTP file transfer option
PRIV-175: Default CSP ruleset for NGINX image is broken on Safari browsers