設定パラメータの保護

Keeperボルトを利用して、通常はguacamole.propertiesファイルまたはDocker Composeファイルにハードコードされる設定シークレットを保護および保存できます。

Dockerの自動インストールメソッド

Docker自動インストールメソッドを使用してKeeper Connection Managerをインストールした場合、設定シークレットは自動生成されたDocker Composeファイル内で保護されます。

rootとして、/etc/kcm-setup/docker-compose.ymlファイルを編集します。

保護したい各設定シークレットについて、そのエントリをKeeperボルトの直接検索に置き換えることができます。この良い例が、ハードコードされたMySQLデータベースのパスワードをボルトの記録に置き換えることです。

変更前

MYSQL_HOSTNAME: "db"
MYSQL_DATABASE: "guacamole_db"
MYSQL_USERNAME: "guacamole_user"
MYSQL_PASSWORD: "your_mysql_database_password"

変更後

MYSQL_HOSTNAME: "db"
MYSQL_DATABASE: "guacamole_db"
MYSQL_USERNAME: "guacamole_user"
MYSQL_PASSWORD_KSM_SECRET: keeper://2ZlOFQAYi4DubJWBtSbRxw/field/password

それぞれの*_KSM_SECRET変数の値は、必要な設定値を取得するために使用しなければならないシークレットのKeeper表記であることが必要です。たとえば、SOME_VARIABLE_KSM_SECRETが有効なKeeper表記に設定された場合、SOME_VARIABLEに通常関連付けられているGuacamoleプロパティの値は、KSMのそのシークレットから取得されます。

ファイルの変更を保存したら、コンテナを更新します。

$ sudo ./kcm-setup.run upgrade

Docker Composeのインストールメソッド

docker-compose.ymlファイルを編集します。

保護したい各設定シークレットについて、そのエントリをKeeperボルトの直接検索に置き換えることができます。この良い例が、ハードコードされたMySQLデータベースのパスワードをボルトの記録に置き換えることです。

MYSQL_HOSTNAME: "db"
MYSQL_DATABASE: "guacamole_db"
MYSQL_USERNAME: "guacamole_user"
MYSQL_PASSWORD_KSM_SECRET: keeper://2ZlOFQAYi4DubJWBtSbRxw/field/password

各*_KSM_SECRET変数の値は、必要な設定値を取得するために使用しなければならないシークレットのKeeper表記であることが必要です。たとえば、SOME_VARIABLE_KSM_SECRETが有効なKeeper表記に設定された場合、SOME_VARIABLEに通常関連付けられているGuacamoleプロパティの値は、KSMのそのシークレットから取得されます。

ファイルの変更を保存したら、コンテナを更新します。

sudo su
docker-compose up -d

その他の設定オプション

dockerインストールでは、ADDITIONAL_GUACAMOLE_PROPERTIES_KSMパラメータを使用して、guacamole.propertiesファイルからguacamole.properties.ksmにパラメータを移動できます。