認証方式

概要

Keeperの接続は、以下のいずれかの方法で認証できます。

• 接続用認証情報 PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」により、ターゲットへのセッションが認証されます。ユーザーが接続を開始するうえで、当該認証情報へアクセスする必要はありません。

• 個人用認証情報 「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自身のKeeperボルトに安全に保存した個人用またはプライベートな認証情報で、ターゲットへのセッションを認証できます。

• 一時的アカウント PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効な場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。セッション終了後に自動的に削除され、常設の特権を残しません。対象システムに永続的なアカウントを置かないジャストインタイムアクセスに用いられます。

接続用認証情報

PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプで接続用認証情報を設定すると、対象システムへのセッションは、設定した接続用認証情報で認証されます。

接続用認証情報の構成手順

1. PAMマシン、PAMデータベース、またはPAMディレクトリのいずれかのレコードタイプを開き、[PAM設定] に移動します。

2. [接続] タブを開きます。

3. [接続用認証情報] ドロップダウンで、接続に使用するPAMユーザーレコードを選択します。

1. 接続用認証情報を設定したら、[更新] をクリックしてPAM設定を閉じ、レコードを保存します。

2. 「セッション終了時に接続用認証情報をローテーションする」にチェックを入れると、各セッション終了後に接続用認証情報が自動でローテーションされます。

接続用認証情報を設定すると、該当のPAMレコードタイプに、使用中の接続用認証情報が表示されます。

個人用認証情報

PAMマシン、PAMデータベース、およびPAMディレクトリの各レコードタイプでは、ユーザーが自身のKeeperボルトに保存した個人用またはプライベートな認証情報でセッションを認証できるよう設定できます。有効にすると、セッション開始時にユーザーが自身のKeeperボルトから認証情報を選べます。

ユーザー自身の認証情報の利用を許可する手順は次のとおりです。

1. PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプで [PAM設定] を開きます。

2. [接続] タブに移動します。

3. 「ボルトから認証情報を選択できるようにする」にチェックを入れます。

1. 手順3の設定後、[更新] をクリックしてPAM設定を閉じ、レコードを保存します。

ユーザーが起動ボタンをクリックすると、自身のKeeperボルトから認証情報を選ぶ画面が表示されます。

一時的アカウント

PAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプでは、一時的アカウントでセッションを認証できるよう設定できます。

一時的アカウントは、セッション専用に作成されるシステム生成の時間制限付き特権アカウントです。セッション終了後に自動的に削除されます。対象システムに永続アカウントを置かないジャストインタイムアクセスで用いられます。

一時的アカウントを有効にする手順

1. PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプで [PAM設定] を開きます。

2. [JIT] タブに移動します。

3. [接続用に一時的アカウントを作成する] を有効にします。 ※マシンの場合は、ユーザーを生成する対象のシステム種別 (例: Linux) を指定する必要があります。Linux向けの一時的アカウントはLinuxユーザーになります。

4. (任意) [接続中にアカウントを昇格させる] を有効にすると、セッション認証に使うアカウントを、指定したグループまたはロールに昇格できます。グループまたはロールは有効なものを指定してください。

1. 上記を有効にしたら、[更新] をクリックしてPAM設定を閉じ、レコードを保存します。レコードはおおむね次のように表示されます。

プロトコル構成

プロトコルに関する追加の設定は、以下をご参照ください。