Linuxコマンドラインによる設定
LinuxでのGUIを使用しない設定
コマンドラインでSSOコネクトを設定したい場合は、以下のセクションをご参照ください。 SSOコネクトをすでに設定済みの場合は、IDプロバイダの設定 (Identity Provider Setup) セクションにお進みください。
対話モードを使用したLinuxの設定
Keeper SSOコネクトは、コンフィギュレーションモードで起動でき、この場合、必要なパラメータの入力を求められます。
実行中のSSOコネクトプロセスがある場合は、CTRL-Cを押すか、プロセスを強制終了して停止します。
SSL証明書をSSOコネクトサーバーにコピーします。証明書は、PKCS#12形式またはJavaキーストア形式、つまり
.pfx
、.p12
、.jks
で終わるファイルである必要があります。IdPのSAML XMLメタデータファイルをサーバーにコピーします。
これは、IDPの管理者サイト (Active Directory、Azure、F5、Google、Oktaなど) から取得します。
これは通常、.xmlファイルです。
SSOコネクトディレクトリで、SSOコネクトをコンフィギュレーションモードで起動します:
$ java -jar SSOConnect.jar -config
以下のパラメータを指定するよう求められます。
Keeper管理者のメールアドレス (会社のKeeper管理コンソールにログインするため)
Keeper管理者のマスターパスワード
二要素認証コード (アカウントで有効な場合)
SSOドメイン名 (この属性はKeeper管理コンソールのSSOコネクトのプロビジョニング画面で定義します)
Keeperで設定したドメインごとに、SSOコネクトを個別にインストールする必要があることにご注意ください。
次で、個々のパラメータを設定できるようになります。設定を空白のままにする (を押す) と、デフォルトの設定が適用されます。
SSOコネクト外部ホスト名またはIPアドレス
外部SSLポート (デフォルトは8443)
ローカル (プライベート) IP
ローカル (プライベート) ポート
証明書を使用してSAMLレスポンス/リクエストを復号および署名する (True/False)
「ファーストネーム (First Name)」のSAML属性マッピング
「ラストネーム (Last Name)」のSAML属性マッピング
「メール (Email)」のSAML属性マッピング
IdPタイプ (Google、Okta、Azureなど...)
キーストアのパスワード (Javaキーストアを使用する場合)
PKCS#12パスフレーズ (SSL鍵を使用する場合)
鍵ファイルのフルパスと名前
IdP SAMLメタデータファイルのフルパスと名前
以下の質問は、HSM (ハードウェアセキュリティモジュール) を使用した、鍵の安全な保管に関するものです。HSMを利用していない場合、またはSSOコネクトでHSMを利用したくない場合は、このセクションは省略できます。
セキュアキーストレージを設定します (y/N):
セキュアキーストレージのタイプ (Gemalto SafeNet Luna HSM):
Enter
(AWS Cavium CloudHsmV2もサポートされています)セキュアストレージデバイスのアクセスパラメータ (スロット、パスワード):
Enter
スロット:
<自スロット番号(your slot)>
(Gemaltoでは必須、多くの場合0または1)パスワード:
********
(Gemaltoでは必須、これはHSMのクリプトオフィサーのパスワードです)証明書チェーンファイル (/home/ubuntu/keeperSSO/data/sso_keystore.jks):
Enter
(必須)証明書チェーンファイルのパスワード (なし):
セキュアキーストレージを有効化します (Y/n):
設定が正常に実行されると、各インスタンスのサービスを再起動したときに、他のすべてのSSOコネクトサービスに同期されます。SSOコネクトが起動してKeeperサーバーと通信できるだけの設定が完了すると、設定は再起動時に同じドメイン上の他のすべてのSSOコネクトインスタンスに同期されます。
JKSキーストアタイプでは、キーストアとパスフレーズの両方を同じにすることが必要な場合があります
SSOコネクトは、コンフィグレーションセッションの終了後に自動的に開始されないため、以下のように開始する必要があります。
豊富なコマンドラインパラメータを使用したSSHによるLinux設定
SSOコネクトは、多くのコマンドラインオプションをサポートしており、スクリプトに利用して、SSL鍵のローテーションなどの操作を自動化できます。
コマンドラインパラメータオプションの完全なリストを表示するには、「-h」フラグをご使用ください。
オプション
説明
-hまたは-help
ヘルプテキストを表示します。
-cまたは-config
プロンプトを使用してSSOコネクトを設定します。
-vまたは-version
バージョンを出力します。
-lまたは-list
設定内容をコンソールに出力します。
-dまたは-debug
トラブルシューティングのための、クラスパスなどの情報をコンソールに出力します。
-sまたは-sync
完全な同期を実行します。システムがすでに初期化されている必要があります。
SSOコネクトは、以下のコマンドラインスイッチを使用して設定することもできます。
-username
文字列
SSOコネクトのこのインスタンスを設定できる管理者のユーザー名
-password
文字列
Keeperマスターパスワード
-twofactor
文字列
二要素認証トークン
-initialize
文字列
インスタンスを初期化するSSO名。
-enableSKS
なし
セキュアキーストレージ (ハードウェアセキュリティモジュールなど) をオンにします
-disableSKS
なし
セキュアキーストレージ (ハードウェアセキュリティモジュールなど) をオフにします
インスタンスが初期化済みの場合、データディレクトリ内のコンテンツを削除しないと再初期化できません
-export
文字列
SSOコネクトサービスプロバイダXMLを引数として指定されたファイル名にエクスポートします。インスタンスがすでに初期化されている必要があります。
-sso_connect_host
文字列
公開された/アドバタイズされたFQDN (完全修飾ドメイン名)
-sso_ssl_port
数値
公開された/アドバタイズされたSSOコネクトのポート
-private_ip
文字列
sslサービスをバインドするIPアドレス (指定しない場合は、sso_connect_hostの名前解決されたIPアドレスがデフォルトに設定されます)
-private_port
数値
sslサービスをバインドするポート番号 (指定しない場合は、sso_ssl_portが使用されます)
-key_store_type
文字列
jksまたはp12のいずれか
-key_store_password
文字列
キーストアのパスワード
-key_password
文字列
キーストア内の各鍵のパスワード
-key_type
文字列
値には、「rsa」または「ec」 (大文字と小文字を区別しない) が入ります
-ssl_file
パス
変換するsslファイルの場所
-saml_file
パス
samlファイルの場所
-sign_idp_traffic
ブール値
すべての発着信トラフィックが署名されている場合は真
-idp_type
数値
使用したいIDPに対応する番号:0 デフォルト、1 F5 Networks BIG-IP、2 Google、3 Okta、4 Microsoft ADFS、5 Microsoft Azure、6 OneLogin
-map_first_name
文字列
IDPがユーザーのファーストネームを送信するフィールド
-map_last_name
文字列
IDPがユーザーのラストネームを送信するフィールド
-map_email
文字列
IDPがユーザーのメールを送信するフィールド
-admin_port
数値
127.0.0.1で実行される管理上の設定用ウェブサーバーのHTTPポート。注意: この値はインスタンスごとに異なります。特定のマシンの設定用ウェブサーバーを無効にするには、これを0に設定するだけです。
コマンドラインオプションには、ユーザー名、パスワード、および二要素認証値 (2FAが有効な場合) が必要です。オプションとして設定するか、または入力を求めるプロンプトが表示されます。
たとえば、実行環境のSSL鍵をローテーションするには、コマンドは以下のようになります。
未設定のままにすると、対話型シェルを使用してパスワードを入力するように求められます。
インスタンスを設定すると、変更はHA環境内の他のすべてのSSOコネクトインスタンスに即座に反映されます。
SSOコネクトは標準のlog4j2ライブラリをロガーとして使用します。SSOコネクトは、以下の順序で設定ファイルを検索します。
システム環境変数「logging.config」の値
現在の作業ディレクトリのlog4j2.xml
SSOConnect.jarファイルがあるディレクトリのlog4j2.xml
log4j2の標準的な検索基準に従ったlog4j2設定ファイル
SSOConnect.jarファイル内に含まれるデフォルトのlog4j2.xml
log4j2.xmlファイルの変更は、サービスの再起動後に、そのlog4j2設定ファイルが最初に見つかった場合にのみ反映されます。
Last updated