はじめに

PAMレコードタイプでの接続設定の開始方法

概要

このガイドでは、Keeperボルト内のPAMレコードタイプでサポートされているすべてのプロトコルの接続設定方法について取り扱います。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

前提条件

接続の設定を行う前に、以下の項目を確認してください。

接続に関するポリシー

以下のポリシーは、ユーザーが接続を使用する権限に影響を与えるため、有効にする必要があります。

KeeperPAMの強制ポリシーは、Keeper管理コンソールで、[管理者] > [ロール] > [強制ポリシー] > [特権アクセス管理] の順に開いて管理します。

ポリシー

コマンダーでのポリシー

定義

接続設定を構成

ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS

PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成レコードタイプでトンネル設定を構成できるようにします。

接続を開始

ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION

PAMマシン、PAMディレクトリ、PAMデータベースのレコードタイプでトンネルを開始できるようにします。

セッション録画を閲覧

ALLOW_VIEW_KCM_RECORDINGS

セッション録画を閲覧できるようにします。

KeeperコマンダーCLI上でも enterprise-role コマンドを使用してトンネルを有効化できます。

enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS":true
enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION":true
enterprise-role "My Role" --enforcement "ALLOW_VIEW_KCM_RECORDINGS":true

ポリシーの活用事例

あるユーザーに対し接続の開始のみを許可して、接続の設定は変更できないようにする場合は、「接続を開始」のポリシーのみを有効にします。

接続の開始に加えて、接続の設定も変更できるようにする場合は、「接続設定を構成」と「接続を開始」の2つのポリシーをいずれも有効にします。

セッション録画

接続を開始すると、セッションを録画することもできます。録画データはPAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプで利用でき、ボルト内で再生できます。セッション録画と再生の詳細については、こちらのページをご参照ください。

Keeperゲートウェイのインストール

Keeperゲートウェイは、インフラへのゼロトラストアクセスを実現するためのホスト型エージェントレスサービスです。このサービスは通常、アクセスが必要な各ネットワーク内のLinuxまたはDocker環境にインストールしておきます。

ゲートウェイのインストールと設定の詳細については、こちらのページをご参照ください。

PAM構成

PAM構成には、インフラの重要な情報、設定、Keeperゲートウェイに関する情報が含まれます。インフラに対するPAM構成の設定は必須となります。PAM構成の作成と設定の詳細については、こちらのページをご参照ください。

PAMマシン、PAMデータベース、PAMディレクトリ

Keeperコネクションは、ボルトクライアントとエンドポイント間で確立される、暗号化セッションです。エンドポイントに関しては、以下のいずれかのPAMレコードタイプで定義する必要があります。

PAMレコードタイプ

対象のエンドポイントのタイプ

PAMマシン

Windows、MacOS、Linuxの各マシン、EC2インスタンス、Azure VM

PAMデータベース

MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle

PAMディレクトリ

Active Directory、OpenLDAP

PAMリモートブラウザ

ウェブベースのアプリケーション

対象のエンドポイントに該当するPAMレコードタイプのページをご参照の上、セットアップ手順をご確認ください。

サポートされている接続プロトコル

以下の表に、Keeperボルトで構成可能な対応プロトコルを示します。各プロトコルの設定詳細は、対応するリンクをご参照ください。

プロトコル

PAMレコードタイプ

定義

SSH

PAMマシン

PAMマシンレコードで定義されたターゲットにSSH接続プロトコルを使用して接続

RDP

PAMマシン

PAMマシンレコードで定義されたターゲットにRDP接続プロトコルを使用して接続

RBI

PAMブラウザ

PAMブラウザレコードで定義されたURLにリモートブラウザ分離 (http/https) プロトコルを使用して接続

MySQL

PAMデータベース

PAMデータベースレコードで定義されたターゲットにMySQL接続プロトコルを使用して接続

SQLサーバー

PAMデータベース

PAMデータベースレコードで定義されたターゲットにSQL Server接続プロトコルを使用して接続

PostgreSQL

PAMデータベース

PAMデータベースレコードで定義されたターゲットにPostgreSQL接続プロトコルを使用して接続

VNC

PAMマシン

PAMマシンレコードで定義されたターゲットにVNC接続プロトコルを使用して接続

Telnet

PAMマシン

PAMマシンレコードで定義されたターゲットにTelnet接続プロトコルを使用して接続

接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

接続用認証情報 PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。
個人用認証情報 「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。
一時的アカウント PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効な場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。セッション終了後に自動的に削除され、常設の特権を残しません。対象システムに永続的なアカウントを置かないジャストインタイムアクセスに用いられます。

接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細は以下をご参照ください。

接続テンプレート

自動再接続

PAMの自動再接続では、セッションが途切れたあとに手動で再接続をやり直す負担が減ります。追加の構成は不要です。デバイスのスリープ、Wi-FiやVPNの一時切断、バックエンドの一時不調などで接続が切れても、Keeperがセッション復旧を自動で試み、作業の中断を抑えられます。

中断が起きると、クライアントは短い待機ののち自動再接続し、セッションウィンドウが開いたままでポリシーが許す限り、一定間隔で再試行を続けます。セッションごとに独立して扱われ、再試行はレート制限（スロットル）やプラットフォームの上限を踏まえた挙動になります。

自動再接続は、ダウンタイムやワークフロー上の途切れを抑え、状況が許す範囲で作業の流れを保ちやすくします。セッション状態の表示も分かりやすくし、再接続の試行は状態の把握と監査のために記録されます。

前へ接続 (コネクション)次へセッションプロトコル

最終更新 26 日前