LinuxベースのDocker

本ガイドでは、Dockerを実行できるLinux インスタンスでKeeper Automatorを実行するための手順を解説します。

セットアップ

(1) Dockerのインストール

Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。

sudo yum install docker

Dockerサービスが実行されていない場合は、Dockerサービスを開始します。

sudo service docker start

次に、サービスが自動的に開始するように設定します。

sudo systemctl enable docker.service

root以外のユーザーにDockerの実行を許可するには（セキュリティ要件を満たしている場合）、以下のコマンドを実行します。

sudo chmod 666 /var/run/docker.sock

(2) Automatorイメージの取得

docker pullコマンドを使用して、最新のKeeper Automatorイメージを取得します。

docker pull keeper/automator

(3) サービスの開始

以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。

docker run -d -p443:443/tcp \
  --name "Keeper-Automator" \
 --restart on-failure:3 \
 keeper/automator

(4) 証明書の更新

dockerコンテナ内にconfigフォルダを作成します。

docker exec -it Keeper-Automator mkdir /usr/mybin/config

証明書ガイドで作成したssl-certificate.pfxファイルをコンテナにコピーします。

docker cp ssl-certificate.pfx \
  Keeper-Automator:/usr/mybin/config/ssl-certificate.pfx

.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルも作成して、dockerコンテナにコピーする必要があります。

echo "my_pfx_password..." > ssl-certificate-password.txt

docker cp ssl-certificate-password.txt \
 Keeper-Automator:/usr/mybin/config/ssl-certificate-password.txt

(5) SSL証明書を使用してコンテナを再起動

証明書がインストールされましたので、Dockerコンテナを再起動します。

docker restart "Keeper-Automator"

(6) Keeper Commanderをインストール

この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。

ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。 Commanderをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。

$ keeper shell

My Vault> login admin@company.com
.
.
My Vault>

(7) Commanderで初期化

Keeper Commanderにログインし、automator createで始まる一連のコマンドを使用してAutomatorを有効化します。

My Vault> automator create --name="My Automator" --node="Azure Cloud"

ノード名（この場合はAzure Cloud）は、以下のように管理コンソールのUIに表示されます。

コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。

                    Automator ID:1477468749950
                            Name:My Automator
                             URL:
                         Enabled:No
                     Initialized:No
                          Skills:Device Approval

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます（team、 team_for_user、device）。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。

automator setup "My Automator"

新しい設定でAutomatorを初期化します。

automator init "My Automator"

Automatorサービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はその例です。

$ curl https://automator.lurey.com/health
OK

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。

• Keeper管理コンソールへログインします。

• [管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

• [Export SP Cert]をクリックします。

• AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。

• [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

• [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

サービスの確保

Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。

ユーザー体験のテスト

Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

サービスの再起動

Keeper Automatorサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。

docker restart "Keeper-Automator"

トラブルシューティング

サービスが始まらない

Keeper Automatorのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。

docker logs -f "Keeper-Automator"

以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。

docker exec -it "Keeper-Automator" /bin/sh