Linuxコマンドラインによる設定

LinuxでのGUIを使用しない設定

コマンドラインでSSO Connectを設定したい場合は、以下のセクションをご参照ください。 SSO Connectをすでに設定済みの場合は、IDプロバイダの設定(Identity Provider Setup)セクションにお進みください。

対話モードを使用したLinuxの設定

Keeper SSO Connectは、コンフィギュレーションモードで起動でき、この場合、必要なパラメータの入力を求められます。

  1. 実行中のSSOConnectプロセスがある場合は、CTRL-Cを押すか、プロセスを強制終了して停止します。

  2. SSL証明書をSSO Connectサーバーにコピーします。証明書は、PKCS#12形式またはJavaキーストア形式、つまり.pfx.p12.jksで終わるファイルである必要があります。

  3. IdPのSAML XMLメタデータファイルをサーバーにコピーします。

    • これは、IDPの管理者サイト(Active Directory、Azure、F5、Google、Oktaなど)から取得します。

    • これは通常、.xmlファイルです。

  4. SSO Connectディレクトリで、SSO Connectをコンフィギュレーションモードで起動します: $ java -jar SSOConnect.jar -config

  5. 以下のパラメータを指定するよう求められます。

  6. Keeper管理者のメールアドレス(会社のKeeper管理コンソールにログインするため)

  7. Keeper管理者のマスターパスワード

  8. 二要素認証コード(アカウントで有効な場合)

  9. SSOドメイン名(この属性はKeeper管理コンソールのSSO Connectのプロビジョニング画面で定義します)

    • Keeperで設定したドメインごとに、SSO Connectを個別にインストールする必要があることにご注意ください。

次で、個々のパラメータを設定できるようになります。設定を空白のままにする(を押す)と、デフォルトの設定が適用されます。

  • SSO Connect外部ホスト名またはIPアドレス

  • 外部SSLポート(デフォルトは8443)

  • ローカル(プライベート)IP

  • ローカル(プライベート)ポート

  • 証明書を使用してSAMLレスポンス/リクエストを復号および署名する(True/False)

  • 「ファーストネーム(First Name)」のSAML属性マッピング

  • 「ラストネーム(Last Name)」のSAML属性マッピング

  • 「メール(Email)」のSAML属性マッピング

  • IdPタイプ(Google、Okta、Azureなど...)

  • キーストアのパスワード(Javaキーストアを使用する場合)

  • PKCS#12パスフレーズ(SSL鍵を使用する場合)

  • 鍵ファイルのフルパスと名前

  • IdP SAMLメタデータファイルのフルパスと名前

以下の質問は、HSM(ハードウェアセキュリティモジュール)を使用した、鍵の安全な保管に関するものです。HSMを利用していない場合、またはSSO ConnectでHSMを利用したくない場合は、このセクションは省略できます。

  • セキュアキーストレージを設定します(y/N):

  • セキュアキーストレージのタイプ(Gemalto SafeNet Luna HSM):Enter (AWS Cavium CloudHsmV2もサポートされています)

  • セキュアストレージデバイスのアクセスパラメータ(スロット、パスワード):Enter

  • スロット: <自スロット番号(your slot)> (Gemaltoでは必須、多くの場合0または1)

  • パスワード: ******** (Gemaltoでは必須、これはHSMのクリプトオフィサーのパスワードです)

  • 証明書チェーンファイル(/home/ubuntu/keeperSSO/data/sso_keystore.jks):Enter (必須)

  • 証明書チェーンファイルのパスワード(なし):

  • セキュアキーストレージを有効化します(Y/n):

設定が正常に実行されると、各インスタンスのサービスを再起動したときに、他のすべてのSSO Connectサービスに同期されます。SSO Connectが起動してKeeperサーバーと通信できるだけの設定が完了すると、設定は再起動時に同じドメイン上の他のすべてのSSO Connectインスタンスに同期されます。

注意:JKSキーストアタイプでは、キーストアとパスフレーズの両方を同じにすることが必要な場合があります

SSO Connectは、コンフィグレーションセッションの終了後に自動的に開始されないため、以下のように開始する必要があります。

$ java -jar SSOConnect.jar

豊富なコマンドラインパラメータを使用したSSHによるLinux設定

SSO Connectは、多くのコマンドラインオプションをサポートしており、スクリプトに利用して、SSL鍵のローテーションなどの操作を自動化できます。

コマンドラインパラメータオプションの完全なリストを表示するには、「-h」フラグをご使用ください。

$ java -jar SSOConnect.jar -h 

Usage: java -jar path\_to\_jars/SSOConnect.jar \[option \[option\_argument\]\]\[option \[option\_argument\]\]\[...\]

SSOConnectは、以下のコマンドラインスイッチを使用して設定することもできます。

注意: インスタンスが初期化済みの場合、データディレクトリ内のコンテンツを削除しないと再初期化できません

コマンドラインオプションには、ユーザー名、パスワード、および二要素認証値(2FAが有効な場合)が必要です。オプションとして設定するか、または入力を求めるプロンプトが表示されます。

たとえば、実行環境のSSL鍵をローテーションするには、コマンドは以下のようになります。

$ java -jar SSOConnect.jar -key_store_type p12 -key_store_password XXX -key_password XXX -ssl_file /path/to/sslfile -saml_file /path/to/samlfile -username you@company.com -password masterpass -twofactor 123456

未設定のままにすると、対話型シェルを使用してパスワードを入力するように求められます。

インスタンスを設定すると、変更はHA環境内の他のすべてのSSO Connectインスタンスに即座に反映されます。

SSOConnectは標準のlog4j2ライブラリをロガーとして使用します。SSOConnectは、以下の順序で設定ファイルを検索します。

  • システム環境変数「logging.config」の値

  • 現在の作業ディレクトリのlog4j2.xml

  • SSOConnect.jarファイルがあるディレクトリのlog4j2.xml

  • log4j2の標準的な検索基準に従ったlog4j2設定ファイル

  • SSOConnect.jarファイル内に含まれるデフォルトのlog4j2.xml

log4j2.xmlファイルの変更は、サービスの再起動後に、そのlog4j2設定ファイルが最初に見つかった場合にのみ反映されます。

PreviousGUIの設定NextLinuxでKeeper SSO Connectをサービスとして実行

Last updated