# カスタムフィールドを使用したゲートウェイ構成
{% hint style="info" %}
これらの構成は実験段階の機能です。実際の環境でお試しいただき、ご意見をお寄せいただけると幸いです。弊社では機能とパフォーマンスを評価しており、将来的に製品へ正式に取り込むかどうかを検討しています。
{% endhint %}
## PAMリソースレコードタイプにおけるカスタムフィールドを使用した高度なゲートウェイ構成
Keeperボルトでローテーションを設定する際、ローテーションするアセットの認証情報は対応する[PAMリソース](/keeperpam/jp/privileged-access-manager/getting-started/pam-resources.md)レコードタイプに保存されます。これらのレコードタイプには[カスタムフィールド](/enterprise-guide/jp/record-types.md#kasutamufrudo)を作成できます。
これらのカスタムフィールドで追加のゲートウェイ構成を定義します。設定内容に応じて、Keeperゲートウェイの動作が切り替わります。
カスタムフィールドで指定できる構成は以下のとおりです。
| カスタムフィールド名 | タイプ | 既定値 | 説明 |
|---|
Shell | テキスト | None | ゲートウェイがローテーションスクリプトやポストローテーションスクリプトを実行する際に使用するカスタムシェルのパスを指定できます。これにより、スクリプトの実行環境を細かく制御できます。
例 C:\MY\SHELL |
NOOP | テキスト | False | ゲートウェイがローテーション処理を行うか、スキップしてポストローテーションスクリプトのみを実行するかを制御します。 True に設定すると、ローテーション処理をスキップし、ポストローテーションスクリプトだけを実行します。
False (デフォルト) では、通常どおりローテーションが実行されます。
例 True
|
Kerberos | テキスト | False | Kerberos認証を使用するWinRM接続専用の設定です。
通常は、ゲートウェイが内部ロジックに基づいてKerberosの使用可否を自動判定しますが、接続に問題がある場合、このフィールドを True に設定することで自動判定を無効化し、常にKerberosを使用するように強制できます。
例 True |
Private Key Type | テキスト | ssh-rsa | ゲートウェイバージョン1.3.4以降。
このカスタムフィールドは、レコードに保存されている秘密鍵の種類またはアルゴリズムを指定するために使います。
秘密鍵を追加するときは、ユーザーが値を指定しなくても、既存の鍵と同じアルゴリズムがローテーション時に自動的に使われます。
ECDSA鍵の場合は、鍵サイズも維持されます。
上書きが必要な場合の指定値の例です。
ssh-rsa (注: 4096ビット)
ssh-dss (注: 1024ビット、廃止)
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384 ecdsa-sha2-nistp521
ssh-ed25519
|
Private Key Rotate | テキスト | True | ゲートウェイバージョン1.3.4以降。
TRUE: (デフォルト) カスタムフィールドが存在しない場合でも、秘密鍵があれば自動的にローテーションが実行されます。
FALSE: 秘密鍵が存在していてもローテーションを実行しません。レコード内の鍵をそのまま保持したい場合に使用します。
|
**注記**
* カスタムフィールドの値の大文字と小文字は区別されません。
## 高度なゲートウェイ構成 (PAM構成でのカスタムフィールド)
Keeperボルトでローテーションを設定する際には、対象環境の重要な情報、各種設定、および関連付けるKeeperゲートウェイを[PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)に保存します。PAM構成では、[カスタムフィールドを追加](#adding-custom-fields-on-pam-configuration)できます。
追加のゲートウェイ構成は、PAM構成レコードのカスタムフィールドに定義します。設定内容に応じて、Keeperゲートウェイの動作が切り替わります。
PAM構成のカスタムフィールドで指定できる項目は以下のとおりです。
| カスタムフィールド名 | タイプ | 既定値 | 説明 |
| ---------------------- | ---- | ------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `Azure Authority FQDN` | テキスト | Azure SDKの既定値 | 認証に使用されるAzure Active Directoryの認証エンドポイントを上書きします。
指定しない場合は、Azure SDKで構成されている既定の認証エンドポイントが使用されます (例: login.microsoftonline.com)。
このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。
例: login.microsoftonline.us
|
| `Azure Graph Endpoint` | テキスト | Azure SDKの既定値 | Azure連携で使用されるMicrosoft Graph APIのベースURLを上書きします。
指定しない場合は、Azure SDKで構成されている既定のGraphエンドポイントが使用されます (例:
このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。
例: graph.microsoft.us/v1.0
|
| `userMatch` | テキスト | | 検出で見つかったユーザーのうち、指定したOUに一致するものだけに絞り込みます。
例 OU=Users,DC=company,DC=com
|
## PAM構成へのカスタムフィールドの追加
{% hint style="info" %}
PAM構成へのカスタムフィールドの追加は、Keeperコマンダーからのみ行えます。
{% endhint %}
KeeperコマンダーでPAM構成にカスタムフィールドを追加する手順は以下のとおりです。
1. Keeperコマンダーにログインします。
2. すべてのPAM構成を一覧表示し、対象となるPAM構成のUIDを取得します。
```
pam config list
```
3. PAM構成にカスタムフィールドを追加します。\
以下の例では、`Azure Authority FQDN` というカスタムフィールドに `login.microsoftonline.us` という値を設定しています。
```
record-update -r "YOUR_PAM_CONFIG_UID" c.text."Azure Authority FQDN"="login.microsoftonline.us"
```
`record-update` コマンドを使用してカスタムフィールドを追加する方法の詳細については、[こちらのページ](/keeperpam/jp/commander-cli/command-reference/record-commands/creating-and-updating-records.md#custom-field)をご参照ください。
4. 以下のコマンドを実行すると、手順3で設定したカスタムフィールドを確認できます。
```
get "YOUR_PAM_CONFIG_UID"
```
**注記**
* PAM構成のカスタムフィールドの変更および確認は、Keeperコマンダーからのみ行えます。
## ローテーションのロールバック用フィールド
pamUser、pamMachine、pamDirectory、pamDatabase、pamConfigurationの各PAMレコードでは、ローテーション失敗時のロールバックの有無を制御するフィールドを利用できます。詳しくは[ローテーションのロールバック](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/password-rotation/post-rotation-scripts/rotation-rollback.md)をご参照ください。
| ラベル | タイプ | 既定値 | 説明 |
|---|
Rollback On Private Key Fail | テキスト | TRUE | 秘密鍵のローテーション失敗時に処理全体をロールバックするか |
Rollback On Password Fail | テキスト | TRUE | パスワードのローテーション失敗時に処理全体をロールバックするか |
Rollback On Post Rotation Fail | テキスト | FALSE | ポストローテーション失敗時に処理全体をロールバックするか |
Rollback On SaaS Fail | テキスト | TRUE | SaaSローテーション失敗時に処理全体をロールバックするか |
Re-run On Post Rotation Fail | テキスト | FALSE | ポストローテーション失敗時にロールバック処理でポストローテーションスクリプトを再実行するか |
Reverse Params On Re-run | テキスト | TRUE | ポストローテーションスクリプト再実行時に、新しいパスワードと古いパスワードを入れ替えるか |
Rollback On Service Fail | テキスト | TRUE | サービスのパスワードローテーション失敗時に処理全体をロールバックするか |
Rollback On Service Restart Fail | テキスト | TRUE | サービスの停止または開始に失敗した場合に処理全体をロールバックするか |
Rollback On Service Machine Down | テキスト | FALSE | サービス稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など) |
Rollback On Task Fail | テキスト | TRUE | タスクのパスワードローテーション失敗時に処理全体をロールバックするか |
Rollback On Task Machine Down | テキスト | FALSE | タスク実行マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など) |
Rollback On IIS Pool Fail | テキスト | TRUE | IISアプリケーションプールのパスワードローテーション失敗時に処理全体をロールバックするか |
Rollback On IIS Pool Machine Down | テキスト | FALSE | IISアプリケーションプール稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など) |
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/gateways/advanced-configuration/gateway-configuration-with-custom-fields.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.