プラグインと設定
Keeperエンドポイント特権マネージャー (EPM) はサービスとして動作し、ポリシー処理、通信、ログ、ユーザー向け操作などを担うプラグインを備えています。設定により、再インストールせずに挙動を調整できます。本節では、お客様の視点で重要な点を取り扱います。
プラグイン
プラグインは、エージェントの機能を拡張するコンポーネントです。メインのサービスと並行して動き、通常運用では自動的に起動します。別途インストールする必要はなく、製品に含まれます。
各プラグインの役割 (概要)
KeeperAPI
Keeperバックエンドと通信。登録、ポリシー同期、レポート。クラウド管理の展開では必須
Linux、macOS、Windows
KeeperPolicy
エンドポイント上でポリシーを評価。許可/拒否、MFA、承認、正当な理由の入力の判断。ポリシー適用の中核
Linux、macOS、Windows
Logger (KeeperLogger)
ログの一元管理。レベル、保持、出力先。トラブルシュートやコンプライアンス対応に役立つ
Linux、macOS、Windows
KeeperUSession
ユーザーセッションの扱い。複数ユーザー環境やセッション単位の利用形態でもエージェントが正しく動くようにする
Windowsのみ
KeeperClient
システムトレイとクライアントUI。通知、トレイアイコン、ユーザー向け操作
Linux、macOS、Windows
PAM Module
エンドポイント上でPAMポリシーをローカルに適用する中核。昇格、承認、監査などをバックエンドと連携して行う
Linux & macOS
System Extension
macOSのシステムレベル拡張。Mac上でPAM制御 (プロセス/ファイルの動きなど) を監視・適用するために必要なOSフックを備える
macOS
その他のコンポーネント (例: RunAs、RunElevated、承認/正当な理由の入力/MFA用UI) は、プラグインとは別の実行ファイルやジョブとして動作している場合があります。これらは上記プラグインと連携し、一連の機能を実現します。
プラグインを「管理」する必要があるか
通常の利用では不要です。必要なプラグインの起動と監視は、製品の標準動作として自動で行われます。設定を変更した場合 (後述) は、反映のためにプラグインまたはサービスの再起動が必要になることがあります。手順はダッシュボードまたは運用手順書に記載されています。
設定
設定は、エージェントとプラグインの挙動を制御します。運用で意識するのは主に次の2階層です。
プラグイン設定
各プラグインに固有のオプションがあります。主な例は次のとおりです。
KeeperPolicy: ブローカー (メッセージング) のホスト/ポート、購読トピック、ローカル呼び出し用のHTTPSポート、タイムアウト、レート制限、いずれのポリシーにも一致しないときに管理者アカウントへもポリシーを適用するかどうか (管理者向け強制の挙動)
KeeperAPI: バックエンドURL、同期間隔など
Logger: ログレベル、ファイルパス、保持、ローテーション
ダッシュボードから変更できます (例: 構成または [設定の更新] ポリシー経由)。同じ展開グループ内のエージェントに同じ挙動を揃えられます。変更後はプラグインまたはサービスの再起動が必要な場合があります。コンソールの案内に従ってください。
グローバル設定
グローバル設定はエージェント全体に適用されます。ポート (HTTP/HTTPS、MQTT)、ストレージやプラグインなどのパス、ログレベルなど。通常はエージェントの構成ファイル (多くの場合 appsettings.json) で定義するか、ダッシュボードからプッシュして同じ内容を配布します。各エンドポイントのファイルを直接編集しなくてよいよう、管理はダッシュボードを推奨します。
設定を元に戻すまたは再び取得する
展開の構成によっては、プラグイン設定を直近の構成プッシュ時の値 (またはデフォルト構成) に戻せます。変更が期待どおりでなかったときやロールバックするときに便利です。コンソール上の操作名 ([設定を元に戻す]、[ダッシュボードから再読み込み] など) は製品により異なりますが、管理側が意図した構成がエージェントに再び適用されます。
まとめ
プラグインが中核 (ポリシー、API、ログ、クライアント) を担い、設定はダッシュボードから挙動を調整するつまみです。開発者向けや管理者向けの詳細ドキュメントを開かなくても、必要な制御ができます。
最終更新