KCMをボルトに接続

Keeperボルトを使用した特権セッションの作成

KCMをボルトに接続するには、Keeperシークレットマネージャー (KSM) を使用します。 最初に、管理コンソールで、属しているロールのロールポリシー強制設定で、KSMを有効にする必要があります。KSMを有効にすると、左側のメニューに「シークレットマネージャー」というタブが表示されます。

ネットワークの設定

この統合では、KCM サーバーが、Keeper テナントがホストされているTLS ポート443を介してKeeperシークレットマネージャー (KSM) エンドポイントと通信を行える必要があります。

US: keepersecurity.com EU: keepersecurity.eu AU: keepersecurity.com.au CA: keepersecurity.ca JP: keepersecurity.jp US_GOV: govcloud.keepersecurity.us

ボルトのセットアップ

接続を確立するための認証情報は、Keeperの共有フォルダに保存されます。Keeperシークレットマネージャーアプリケーションが作成され、共有フォルダに関連付けられます。その後、base64デバイス設定が作成され、Keeperコネクションマネージャーサーバーに追加されます。

設定手順

  1. ボルトで共有フォルダを作成し、この共有フォルダにクレデンシャルレコードを格納します。 共有フォルダはこの時点で作成する必要がありますが、クレデンシャルは後で追加できます。

  1. シークレットマネージャータブから、シークレットマネージャーアプリケーションを作成し、共有フォルダを選択します。次に、[デバイス] > [編集] > [デバイスの追加] > メソッドに「設定ファイル」、設定タイプに「Base64」を選択し、base64トークンをコピーするかダウンロードします。

  1. KCMを初めてインストールして以来、Docker Composeに手動で変更を加えていない場合は、recondfigureコマンドを実行してBase64形式の設定を入力します。

sudo ./kcm-setup.run reconfigure

「recondfigure」を実行すると、Docker Composeファイルに加えた変更はすべて失われます。

最初のインストール以降にDocker Composeを変更した場合は、手動で以下のように/etc/kcm-setup/docker-compose.ymlを編集し、Base64設定を「environment」セクションに追加します。

guacamole:
    image: keeper/guacamole:2
    restart: unless-stopped
    volumes:
        - common-storage:/var/lib/guacamole
    environment:
        ACCEPT_EULA: "Y"
        GUACD_HOSTNAME: "guacd"
        MYSQL_HOSTNAME: "db"
        MYSQL_DATABASE: "guacamole_db"
        MYSQL_USERNAME: "guacamole_user"
        MYSQL_PASSWORD: "xxxxxxx"
        KSM_CONFIG: "paste Base64 here"        
  1. ファイルを保存し、upgradeコマンドを実行して変更を反映します。

sudo ./kcm-setup.run apply
  1. Keeperコネクションマネージャーインターフェースから新しい接続を作成します。これで、KCMのホスト名/IPと、このKSMアプリケーションに関連付けられた共有フォルダ内のレコードのホスト名/IPとを照合することで、動的トークンを使用してクレデンシャルを取得できます。

${KEEPER_SERVER_USERNAME}${KEEPER_SERVER_PASSWORD}などのオプションが数多くあります。

セットアップは完了となります。他の照合機能と利用できる変数については、動的トークンのページでをご参照ください。

コマンドラインによる設定

以下は、KeeperコマンダーCLIを使用してKeeperコネクションマネージャーとKeeperシークレットマネージャーの統合を確立するための手順です。

  1. Keeperボルトを設定

Keeperボルトで、接続の作成に使用するクレデンシャルが格納される共有フォルダを作成します。以下の例では、Windows 2022 Serverのパスワード、SSH鍵、MySQLデータベースなどを含む「Connection Manager Secrets」という共有フォルダが作成されています。

Keeperボルトの共有フォルダ
  1. KeeperコマンダーCLIをインストール

CLIツールを使用すると、設定をすばやく指定できます。

コマンダーのインストール方法はいくつか用意されており、バイナリインストーラ、pip3パッケージまたはPythonソースコードがご利用になれます。詳しくは下記のページをご参照ください。

インストールとセットアップシークレットマネージャー
  1. コマンダーにログイン

コマンダーのインストール後、CLIにログインします。

$ keeper shell
...
...

Not Logged In> login you@company.com
...
...

My Vault> 

以下のスクリーンショットの例では、FIDO2キーとマスターパスワードを使用して、Keeper管理者アカウントでログインしています。セキュリティ設定によっては、デバイス検証、MFA、パスワード入力にパスしなければならない場合もあります。

Keeperコマンダーにログイン
  1. 共有フォルダのUIDを取得

コマンドlsfは、共有フォルダを一覧表示して、UIDを表示します。

共有フォルダを一覧表示

この例で使用中の共有フォルダのUIDは、zyMiCn8596yvMln4YwdEdAです。

  1. アプリケーションを作成

共有フォルダに割り当てられたボルトにシークレットマネージャーアプリケーションを作成します。アプリケーションは、1つまたは複数のデバイスで構成されます。ここでは、シークレットマネージャーアプリケーションを作成し、アプリケーションのUIDを取得します。

secrets-manager app create "Connection Manager Example"

secrets-manager app get "Connection Manager Example"

Secrets Manager Application
App Name:Connection Manager Example
App UID:YGHY7nWrvkzEzF0I2AuFfg

この例で結果として生成されるシークレットマネージャーアプリのUIDは、YGHY7nWrvkzEzF0I2AuFfgです。

  1. アプリケーションに共有フォルダを割り当て

この手順では、アプリケーションに共有フォルダを割り当てます。

secrets-manager share add --app "Connection Manager Example" --secret zyMiCn8596yvMln4YwdEdA

成功すると、「Successfully added secrets to app」 (シークレットがアプリに正常に追加されました) という応答が表示されます。

  1. クライアントの設定を生成

この手順では、クライアントデバイスの設定を作成します。このクライアントデバイスの設定は、コネクションマネージャーに直接提供されます。

secrets-manager client add --app "Connection Manager Example" --config-init b64 --name "KCM Device" --unlock-ip
初期化設定の生成

緑色の「Initialized Config」 (初期化設定) セクションをKeeperコネクションマネージャーの設定ファイルに追加します。設定の場所は、以下で説明するように、インストールメソッドによって異なります。

次のセクションで初期化するトークンをコピーします

Dockerの自動インストールメソッド

Docker自動インストールメソッドを使用してKeeperコネクションマネージャーをインストールした場合、自動生成されたDocker Composeファイルを変更して連携トークンを含める必要があります。

  1. ローカルインスタンスでは、コンテナを停止することをお勧めします。そのためには、kcm-setupを使用するか、docker-composeを直接使用します。

sudo ./kcm-setup.run stop

または

sudo su
cd /etc/kcm-setup/
docker-compose -p kcm stop

dockerの簡易メソッドを使用すると、事前設定されたdocker-compose.ymlファイルが作成されます。KSMサポートを追加するには、このファイルを1か所変更する必要があります。

  1. /etc/kcm-setup/docker-compose.ymlファイルを編集します。Linuxシステムでは、nanoやvimなど任意のエディタをご使用ください。

「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。

    guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        volumes:
            - common-storage:/var/lib/guacamole
        environment:
            ACCEPT_EULA:"Y"
            GUACD_HOSTNAME: "guacd"
            MYSQL_HOSTNAME: "db"
            MYSQL_DATABASE: "guacamole_db"
            MYSQL_USERNAME: "guacamole_user"
            MYSQL_PASSWORD: "xxxxxxx"
            KSM_CONFIG: "paste token here"
  1. ファイルを保存してコンテナを更新

ファイルの変更を保存後、コンテナを更新します。

$ sudo ./kcm-setup.run apply

ログインのテストとトークンの初期化

これでKSMとの連携が完了したので、Keeperコネクションマネージャーに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。

ログインも接続の開始もできない場合は、トラブルシューティングセクションをご参照の上、ログファイルの調査方法をご確認ください。

Dockerカスタムインストールメソッド

Dockerカスタムインストールメソッドを使用してKeeperコネクションマネージャーをインストールした場合、Docker Composeファイルを変更して連携トークンを含める必要があります。連携を有効化する手順は以下のとおりです。

  1. ローカルインスタンスで、コンテナを停止します。

cd /path/to/docker-compose.yml
docker-compose stop
  1. docker-compose.ymlファイルを編集します。「guacamole」dockerイメージと環境変数を定義する「environment」 (環境) セクションを探します。以下はサンプルファイルとなります。手順6のトークンを貼り付けます。

    guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        volumes:
            - common-storage:/var/lib/guacamole
        environment:
            ACCEPT_EULA:"Y"
            GUACD_HOSTNAME: "guacd"
            MYSQL_HOSTNAME: "db"
            MYSQL_DATABASE: "guacamole_db"
            MYSQL_USERNAME: "guacamole_user"
            MYSQL_PASSWORD: "xxxxxxx"
            KSM_CONFIG: "paste token here"
            
  1. ファイルを保存してコンテナを更新

ファイルの変更を保存後、コンテナを更新します。

sudo su
docker-compose up -d

ログインのテストとトークンの初期化

これでKSMとの連携が完了したので、Keeperコネクションマネージャーに正常にログインして接続をオープンできることをご確認ください。エラーが発生した場合は、ログファイルを確認してください。

ログインも接続の開始もできない場合は、トラブルシューティングセクションをご参照の上、ログファイルの調査方法をご確認ください。

Last updated