カスタムフィールドを使用したゲートウェイ構成
Keeperボルトのカスタムフィールドを使用したKeeperゲートウェイの高度な構成
これらの構成は実験段階の機能です。実際の環境でお試しいただき、ご意見をお寄せいただけると幸いです。弊社では機能とパフォーマンスを評価しており、将来的に製品へ正式に取り込むかどうかを検討しています。
PAMリソースレコードタイプにおけるカスタムフィールドを使用した高度なゲートウェイ構成
Keeperボルトでローテーションを設定する際、ローテーションするアセットの認証情報は対応するPAMリソースレコードタイプに保存されます。これらのレコードタイプにはカスタムフィールドを作成できます。
これらのカスタムフィールドで追加のゲートウェイ構成を定義します。設定内容に応じて、Keeperゲートウェイの動作が切り替わります。
カスタムフィールドで指定できる構成は以下のとおりです。
Shell
テキスト
None
ゲートウェイがローテーションスクリプトやポストローテーションスクリプトを実行する際に使用するカスタムシェルのパスを指定できます。これにより、スクリプトの実行環境を細かく制御できます。
例 C:\MY\SHELL
NOOP
テキスト
False
ゲートウェイがローテーション処理を行うか、スキップしてポストローテーションスクリプトのみを実行するかを制御します。
True に設定すると、ローテーション処理をスキップし、ポストローテーションスクリプトだけを実行します。
False (デフォルト) では、通常どおりローテーションが実行されます。
例 True
Kerberos
テキスト
False
Kerberos認証を使用するWinRM接続専用の設定です。
通常は、ゲートウェイが内部ロジックに基づいてKerberosの使用可否を自動判定しますが、接続に問題がある場合、このフィールドを True に設定することで自動判定を無効化し、常にKerberosを使用するように強制できます。
例 True
Private Key Type
テキスト
ssh-rsa
ゲートウェイバージョン1.3.4以降。
このカスタムフィールドは、レコードに保存されている秘密鍵の種類またはアルゴリズムを指定するために使います。
秘密鍵を追加するときは、ユーザーが値を指定しなくても、既存の鍵と同じアルゴリズムがローテーション時に自動的に使われます。
ECDSA鍵の場合は、鍵サイズも維持されます。
上書きが必要な場合の指定値の例です。
ssh-rsa (注: 4096ビット)
ssh-dss (注: 1024ビット、廃止)
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-ed25519
Private Key Rotate
テキスト
True
ゲートウェイバージョン1.3.4以降。
TRUE: (デフォルト) カスタムフィールドが存在しない場合でも、秘密鍵があれば自動的にローテーションが実行されます。
FALSE: 秘密鍵が存在していてもローテーションを実行しません。レコード内の鍵をそのまま保持したい場合に使用します。
注記
カスタムフィールドの値の大文字と小文字は区別されません。
高度なゲートウェイ構成 (PAM構成でのカスタムフィールド)
Keeperボルトでローテーションを設定する際には、対象環境の重要な情報、各種設定、および関連付けるKeeperゲートウェイをPAM構成に保存します。PAM構成では、カスタムフィールドを追加できます。
追加のゲートウェイ構成は、PAM構成レコードのカスタムフィールドに定義します。設定内容に応じて、Keeperゲートウェイの動作が切り替わります。
PAM構成のカスタムフィールドで指定できる項目は以下のとおりです。
Azure Authority FQDN
テキスト
Azure SDKの既定値
認証に使用されるAzure Active Directoryの認証エンドポイントを上書きします。
指定しない場合は、Azure SDKで構成されている既定の認証エンドポイントが使用されます (例: login.microsoftonline.com)。
このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。
例: login.microsoftonline.us
Azure Graph Endpoint
テキスト
Azure SDKの既定値
Azure連携で使用されるMicrosoft Graph APIのベースURLを上書きします。
指定しない場合は、Azure SDKで構成されている既定のGraphエンドポイントが使用されます (例: https://graph.microsoft.com/v1.0)。
このフィールドは、Azure Governmentを含むAzure環境を対象としたPAM構成にのみ適用されます。
例: graph.microsoft.us/v1.0
userMatch
テキスト
検出で見つかったユーザーのうち、指定したOUに一致するものだけに絞り込みます。
例 OU=Users,DC=company,DC=com
PAM構成へのカスタムフィールドの追加
PAM構成へのカスタムフィールドの追加は、Keeperコマンダーからのみ行えます。
KeeperコマンダーでPAM構成にカスタムフィールドを追加する手順は以下のとおりです。
Keeperコマンダーにログインします。
すべてのPAM構成を一覧表示し、対象となるPAM構成のUIDを取得します。
PAM構成にカスタムフィールドを追加します。 以下の例では、
Azure Authority FQDNというカスタムフィールドにlogin.microsoftonline.usという値を設定しています。
record-update コマンドを使用してカスタムフィールドを追加する方法の詳細については、こちらのページをご参照ください。
以下のコマンドを実行すると、手順3で設定したカスタムフィールドを確認できます。
注記
PAM構成のカスタムフィールドの変更および確認は、Keeperコマンダーからのみ行えます。
ローテーションのロールバック用フィールド
pamUser、pamMachine、pamDirectory、pamDatabase、pamConfigurationの各PAMレコードでは、ローテーション失敗時のロールバックの有無を制御するフィールドを利用できます。詳しくはローテーションのロールバックをご参照ください。
Rollback On Private Key Fail
テキスト
TRUE
秘密鍵のローテーション失敗時に処理全体をロールバックするか
Rollback On Password Fail
テキスト
TRUE
パスワードのローテーション失敗時に処理全体をロールバックするか
Rollback On Post Rotation Fail
テキスト
FALSE
ポストローテーション失敗時に処理全体をロールバックするか
Rollback On SaaS Fail
テキスト
TRUE
SaaSローテーション失敗時に処理全体をロールバックするか
Re-run On Post Rotation Fail
テキスト
FALSE
ポストローテーション失敗時にロールバック処理でポストローテーションスクリプトを再実行するか
Reverse Params On Re-run
テキスト
TRUE
ポストローテーションスクリプト再実行時に、新しいパスワードと古いパスワードを入れ替えるか
Rollback On Service Fail
テキスト
TRUE
サービスのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On Service Restart Fail
テキスト
TRUE
サービスの停止または開始に失敗した場合に処理全体をロールバックするか
Rollback On Service Machine Down
テキスト
FALSE
サービス稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
Rollback On Task Fail
テキスト
TRUE
タスクのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On Task Machine Down
テキスト
FALSE
タスク実行マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
Rollback On IIS Pool Fail
テキスト
TRUE
IISアプリケーションプールのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On IIS Pool Machine Down
テキスト
FALSE
IISアプリケーションプール稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
最終更新