トラブルシューティング
「-」で始まるUID
記録はUIDランダムに生成されるため、「-」 (ハイフン) で始まる場合があります。この場合、CommanderのCLIはUIDをUID値として認識できなくなります。
「-」で始まる位置パラメータでUIDを使用するには、UIDの前に「--」を追加します。
例:
すると、CommanderのCLIは、UIDをコマンドスイッチと混同することなくUIDを認識できるようになります。この場合、UIDが-UREsVJNP7vU-KTyZ3YF9A
の記録が検索されます。
「-」で始まるUIDと追加のコマンドスイッチの組み合わせ
UIDを追加のコマンドスイッチと組み合わせる場合、UIDをすべてのコマンドスイッチの後に配置する必要があります。つまり、UIDは最後のパラメータとして配置する必要があります。
例:
引数として「-」で始まるUIDの使用
コマンドのフラグの引数としてUIDを使用する必要がある場合は、フラグの後に「=」を追加してUIDを引用符で囲みます。
例:
タイプ指定された記録とタイプ指定されていない記録 (V3とV2)
Commanderを使用すると、タイプ指定された記録とタイプ指定されていない記録 (V3記録とV2記録)への参照が発生する場合があります。これらの記録には基本的な違いがいくつかあり、プラットフォームの一部機能で取り扱いが異なります。
タイプ指定された記録とレガシー記録の識別方法
Commanderで、get
コマンドを使用して記録の詳細情報を表示すると、タイプ指定された記録には常にタイプフィールドが表示されますが、レガシー記録にはタイプフィールドが一切表示されません。
また、ls -l
コマンドでの一覧表示では、Type (タイプ) という列があります。Type列で値がある記録はすべてタイプ指定された記録で、値がない記録はレガシー記録となります。
大きな違い
コマンドの権限
Commanderで操作を実行しようとすると、次のエラーメッセージが表示される場合があります。
この操作を実行するために必要な権限がありません
このメッセージは、現在ログインしているアカウントに、要求された操作を実行する権限がないことを示します。
多くのCommanderコマンドでは、ある種の権限ポリシーを有効にする必要があります。該当する場合は、コマンドの使用に権限が必要な場合がドキュメントに記載されているはずです。
このメッセージの表示につながり得る権限タイプが以下の3種類あります。
ロール強制ポリシー
Keeperのロールでは、そのロールのすべてのユーザーに許可される権限を指定できます。たとえば、ユーザーが記録を共有できるか否か、またはKeeper Secrets Managerを使用できるか否かをロールで設定できます。ユーザーに複数のロールが割り当てられている場合は、最も制限の厳しい権限が適用されます。
管理上の権限
Keeper管理者は、アカウントレベルの操作と機能にアクセスし、これらの権限ポリシーを使用してOFFまたはONにできます。これには、コンプライアンスレポートの実行などが含まれます。
アドオン
一部の機能を使用するには、アドオンの追加が必要です。これらには、Keeper Secrets Managerや、カスタムレポートの実行に必要な高度なレポートとアラートモジュールなどの機能が含まれます。アドオンは、Keeper管理コンソールの安全なアドオンセクションで管理できます。
Pythonのインストールに関する問題
Python 3の最新版がインストールされていることを確かにしてください。
Windowsの場合
WinPythonが正しくインストールされていることを検証するには、インストールフォルダで「WinPythonコマンドプロンプト」を起動して、インストールされたバージョンを確認します。
Macの場合
MacOSに搭載されたデフォルトのpythonインストールファイルは古く、サポートされていません。最新バージョンのPythonをインストールする必要があります。
オペレーティングシステムのセキュリティ設定によっては、アプリケーションの実行またはインストールの「許可」が必要になる場合があります。「システム設定」 > 「プライバシーとセキュリティ」 > 「全般」タブを開いて設定します。
Pythonが正しくインストールされていることを検証するには、ターミナルウィンドウでインストールされたバージョンを確認します。
以下のコマンドは実行しないでください。旧バージョンのpythonが報告されます。
MS-DOS / Windows パスの操作
Microsoft (Windows / DOS) 環境でCommanderを使用する場合、コマンド呼び出しのコンテキストで外部ファイルを参照するときに、ネイティブのファイルシステムパスフォーマット (バックスラッシュ付き) の使用が便利な場合があります (コマンドの出力を画面に表示するのではなく、ファイルを指定して保存する場合など)。
このような場合、Commander でコマンドが正しく解析されるように、ファイルパスを引用符 (シングルまたはダブル) で囲むことを推奨します。
たとえば、list コマンドを実行し、結果を (CSV形式で) C:\Users\user1\my_records.csvに出力する場合のコマンドは、以下のようになります。
セキュリティ監査レポートのスコアの再調整プロセス
背景
Keeperのゼロトラストおよびゼロ知識暗号化モデルにより、エンタープライズレベルのセキュリティ監査レポートでは、対応するボルト自体のセキュリティ監査レポートと矛盾するボルトレベルのセキュリティスコアが発生する場合があります。 ほとんどの場合、これらのスコアの不一致は、各ボルト所有者がウェブボルトにログインするだけで修正でき、管理上の操作は必要ありません。
ただし、上記の方法でセキュリティスコアが再調整されない場合は、以下のプロセスで手動でセキュリティデータを同期させます。
手順
Keeper管理者としてCommanderへログインし、以下を実行します。
<USER_EMAIL_1> ... <USER_EMAIL_N> は、同期させたいボルトに関連付けられたメールアドレスとなります。
あるいは、上記のように個別のボルトに対してではなくすべてのボルトが同期するよう選択できます。
プロセスを完了するには、影響を受ける各ボルトの所有者に、最新版のCommanderを使用してそれぞれのアカウントにログインしてもらいます (インストーラーは、こちらのページの「Assets」の箇所からダウンロードできます)。
上記のどちらかのコマンド呼び出しの直後に、該当ボルトに対して不正確なセキュリティ監査スコアが表示される場合がありますが一時的なもので、該当の各ボルト所有者がCommanderからアカウントにログインすると修正されます。
SSL証明書エラー
Commanderまたは関連するKeeper SDKコードの実行中に、以下のようなSSL証明書エラーが表示された場合:
Certificate validation error.More info:
https://docs.keeper.io/secrets-manager/commander-cli/using-commander/troubleshooting-commander-cli#ssl-certificate-errors
または
requests.exceptions.SSLError:HTTPSConnectionPool(host='keepersecurity.com', port=443):Max retries exceeded with url: /api/rest/authentication/get_device_token (Caused by SSLError(SSLCertVerificationError(1, '[SSL:CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1108)')))
このメッセージが表示された場合は、ネットワークがプロキシを使用してパケットインスペクションを実行しようとしていないことを確かにしてください。高度な暗号化により、Keeperのトラフィックはネットワークプロキシデバイスで傍受できません。ITチームにご相談の上、ファイアウォールのアウトバウンドでkeepersecurity.[com|eu|com.au]向けのトラフィックを許可してもらうようにしてください。
バグを発見した場合
弊社までお知らせください。 commander@keepersecurity.comまでメールをお送りいただくか、Githubリポジトリでチケットをオープンしてください。
脆弱性情報開示プログラム
KeeperはBugcrowdと提携して、脆弱性情報開示プログラムを運営しています。https://bugcrowd.com/keepersecurityからレポートを送信するか、またはsecurity@keepersecurity.comにメールを送信してください。
最終更新