トラブルシューティング

「-」で始まるUID

記録はUIDランダムに生成されるため、「-」 (ハイフン) で始まる場合があります。この場合、CommanderのCLIはUIDをUID値として認識できなくなります。

「-」で始まる位置パラメータでUIDを使用するには、UIDの前に「--」を追加します。

例:

get -- -UREsVJNP7vU-KTyZ3YF9A

すると、CommanderのCLIは、UIDをコマンドスイッチと混同することなくUIDを認識できるようになります。この場合、UIDが-UREsVJNP7vU-KTyZ3YF9Aの記録が検索されます。

「-」で始まるUIDと追加のコマンドスイッチの組み合わせ

UIDを追加のコマンドスイッチと組み合わせる場合、UIDをすべてのコマンドスイッチの後に配置する必要があります。つまり、UIDは最後のパラメータとして配置する必要があります。

例:

get --format json -- -UREsVJNP7vU-KTyZ3YF9A

引数として「-」で始まるUIDの使用

コマンドのフラグの引数としてUIDを使用する必要がある場合は、フラグの後に「=」を追加してUIDを引用符で囲みます。

例:

secrets-manager share add --app TestApp --secret="-fwZjKGbKnZCo1Fh8gsf5w"

タイプ指定された記録とタイプ指定されていない記録 (V3とV2)

Commanderを使用すると、タイプ指定された記録とタイプ指定されていない記録 (V3記録とV2記録)への参照が発生する場合があります。これらの記録には基本的な違いがいくつかあり、プラットフォームの一部機能で取り扱いが異なります。

タイプ指定された記録 (V3) とは

記録タイプを持つ記録は「タイプ指定された」 とみなされ、「V3」と呼ばれる場合もあります。 これらの記録は、定義およびカスタマイズが可能な柔軟な構造とセキュリティが強化された最新の暗号化モデルを備えています。

タイプ指定された記録は、Keeper Secrets Managerなどの一部の機能に必要です。

レガシー記録 (V2) とは

記録タイプのリリース前に作成された古い記録は、「タイプ指定なし」、「レガシー」、または「V2」記録と呼ばれます。 これらの記録には、ログイン、パスワード、url、totp、ファイル添付フィールド (およびメモ) を含む決まった構造があります。その他のフィールドは、カスタムフィールドとして記録に追加する必要があります。

タイプ指定された記録とレガシー記録の識別方法

Commanderで、getコマンドを使用して記録の詳細情報を表示すると、タイプ指定された記録には常にタイプフィールドが表示されますが、レガシー記録にはタイプフィールドが一切表示されません。

Typed Record
My Vault> get uxRrj[...]ZAM0bSQ

                 UID: uxRrj[...]ZAM0bSQ
                Type: databaseCredentials
               Title:LastPass Database
               Notes:LP DB Notes
         type (text):SQL
              (host): hostName | 3030
             (login):SQL_Admin
     Database (text):MyDB
     
Legacy Record
My Vault> get 4XjSH[...]Gy1LAEg

                 UID:4XjSH[...]Gy1LAEg
               Title:My Record
               Login:Login
            Password:Password

また、ls -lコマンドでの一覧表示では、Type (タイプ) という列があります。Type列で値がある記録はすべてタイプ指定された記録で、値がない記録はレガシー記録となります。

My Vault> ls -l
    #  Record UID  Type                 Title                    Login                      URL
---  ------------- -------------------  -----------------------  -------------------------  -----------------------------------
  1  V[...]w       login                Typed                    MyLogin                    example.com
  2  q[...]A                            Legacy                   MyLegacyLogin              legacy.com

大きな違い

コマンドの権限

Commanderで操作を実行しようとすると、次のエラーメッセージが表示される場合があります。

この操作を実行するために必要な権限がありません

このメッセージは、現在ログインしているアカウントに、要求された操作を実行する権限がないことを示します。

多くのCommanderコマンドでは、ある種の権限ポリシーを有効にする必要があります。該当する場合は、コマンドの使用に権限が必要な場合がドキュメントに記載されているはずです。

このメッセージの表示につながり得る権限タイプが以下の3種類あります。

ロール強制ポリシー

Keeperのロールでは、そのロールのすべてのユーザーに許可される権限を指定できます。たとえば、ユーザーが記録を共有できるか否か、またはKeeper Secrets Managerを使用できるか否かをロールで設定できます。ユーザーに複数のロールが割り当てられている場合は、最も制限の厳しい権限が適用されます。

管理上の権限

Keeper管理者は、アカウントレベルの操作と機能にアクセスし、これらの権限ポリシーを使用してOFFまたはONにできます。これには、コンプライアンスレポートの実行などが含まれます。

アドオン

一部の機能を使用するには、アドオンの追加が必要です。これらには、Keeper Secrets Managerや、カスタムレポートの実行に必要な高度なレポートとアラートモジュールなどの機能が含まれます。アドオンは、Keeper管理コンソールの安全なアドオンセクションで管理できます。

Pythonのインストールに関する問題

Python 3の最新版がインストールされていることを確かにしてください。

Windowsの場合

C:\>pip3 --version

WinPythonが正しくインストールされていることを検証するには、インストールフォルダで「WinPythonコマンドプロンプト」を起動して、インストールされたバージョンを確認します。

Macの場合

MacOSに搭載されたデフォルトのpythonインストールファイルは古く、サポートされていません。最新バージョンのPythonをインストールする必要があります。

オペレーティングシステムのセキュリティ設定によっては、アプリケーションの実行またはインストールの「許可」が必要になる場合があります。「システム設定」 > 「プライバシーとセキュリティ」 > 「全般」タブを開いて設定します。

Pythonが正しくインストールされていることを検証するには、ターミナルウィンドウでインストールされたバージョンを確認します。

$ pip3 --version

以下のコマンドは実行しないでください。旧バージョンのpythonが報告されます。

$  --version

MS-DOS / Windows パスの操作

Microsoft (Windows / DOS) 環境でCommanderを使用する場合、コマンド呼び出しのコンテキストで外部ファイルを参照するときに、ネイティブのファイルシステムパスフォーマット (バックスラッシュ付き) の使用が便利な場合があります (コマンドの出力を画面に表示するのではなく、ファイルを指定して保存する場合など)。

このような場合、Commander でコマンドが正しく解析されるように、ファイルパスを引用符 (シングルまたはダブル) で囲むことを推奨します。

たとえば、list コマンドを実行し、結果を (CSV形式で) C:\Users\user1\my_records.csvに出力する場合のコマンドは、以下のようになります。

list --format csv --output 'C:\Users\user1\my_records.csv'

セキュリティ監査レポートのスコアの再調整プロセス

背景

Keeperのゼロトラストおよびゼロ知識暗号化モデルにより、エンタープライズレベルのセキュリティ監査レポートでは、対応するボルト自体のセキュリティ監査レポートと矛盾するボルトレベルのセキュリティスコアが発生する場合があります。 ほとんどの場合、これらのスコアの不一致は、各ボルト所有者がウェブボルトにログインするだけで修正でき、管理上の操作は必要ありません。

ただし、上記の方法でセキュリティスコアが再調整されない場合は、以下のプロセスで手動でセキュリティデータを同期させます。

手順

Keeper管理者としてCommanderへログインし、以下を実行します。

security-audit sync --hard <USER_EMAIL_1> <USER_EMAIL_2> ... <USER_EMAIL_N> 

<USER_EMAIL_1> ... <USER_EMAIL_N> は、同期させたいボルトに関連付けられたメールアドレスとなります。

あるいは、上記のように個別のボルトに対してではなくすべてのボルトが同期するよう選択できます。

security-audit sync --hard @all

プロセスを完了するには、影響を受ける各ボルトの所有者に、最新版のCommanderを使用してそれぞれのアカウントにログインしてもらいます (インストーラーは、こちらのページの「Assets」の箇所からダウンロードできます)。

上記のどちらかのコマンド呼び出しの直後に、該当ボルトに対して不正確なセキュリティ監査スコアが表示される場合がありますが一時的なもので、該当の各ボルト所有者がCommanderからアカウントにログインすると修正されます。

SSL証明書エラー

Commanderまたは関連するKeeper SDKコードの実行中に、以下のようなSSL証明書エラーが表示された場合:

Certificate validation error.More info:

https://docs.keeper.io/secrets-manager/commander-cli/using-commander/troubleshooting-commander-cli#ssl-certificate-errors

または

requests.exceptions.SSLError:HTTPSConnectionPool(host='keepersecurity.com', port=443):Max retries exceeded with url: /api/rest/authentication/get_device_token (Caused by SSLError(SSLCertVerificationError(1, '[SSL:CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1108)')))

このメッセージが表示された場合は、ネットワークがプロキシを使用してパケットインスペクションを実行しようとしていないことを確かにしてください。高度な暗号化により、Keeperのトラフィックはネットワークプロキシデバイスで傍受できません。ITチームにご相談の上、ファイアウォールのアウトバウンドでkeepersecurity.[com|eu|com.au]向けのトラフィックを許可してもらうようにしてください。

バグを発見した場合

弊社までお知らせください。 commander@keepersecurity.comまでメールをお送りいただくか、Githubリポジトリでチケットをオープンしてください。

脆弱性情報開示プログラム

KeeperはBugcrowdと提携して、脆弱性情報開示プログラムを運営しています。https://bugcrowd.com/keepersecurityからレポートを送信するか、またはsecurity@keepersecurity.comにメールを送信してください。

最終更新