Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Linuxネイティブ環境でのゲートウェイ

KeeperゲートウェイをLinuxネイティブパッケージにインストール

概要

本ページでは、Linuxネイティブパッケージ上でKeeperゲートウェイをインストール、構成、アップデートする方法について取り扱います。

要件

インストール

インストールコマンド

以下のコマンドを実行すると、ゲートウェイがインストールされ、サービスとして実行されます。

  • XXXXXをKeeperゲートウェイの作成時に表示されるワンタイムアクセストークンに置き換えます。

  • 初回インストールファイルはkeepersecurity.comから取得されます。インストール後は、ゲートウェイの定常的なアウトバウンド接続を、こちらに記載されているリージョン別エンドポイントのみに制限することが可能です。

インストール場所

ゲートウェイは以下の場所にインストールされます。

同じディレクトリにgatewayというエイリアスも作成されます。

ゲートウェイサービス管理

Keeperゲートウェイをサービスとして管理するために、ゲートウェイのインストール中に以下が作成されます。

  • keeper-gatewayというフォルダ

  • keeper-gwというユーザー

keeper-gatewayフォルダ

keeper-gatewayフォルダは以下の場所に作成され、ゲートウェイ構成ファイルが含まれています。

keeper-gwユーザー

ゲートウェイのインストール中に新しいユーザーのkeeper-gwが作成され、/etc/sudoers.d/のsudoersリストに追加されます。

keeper-gwはkeeper-gatewayフォルダの所有者で、ゲートウェイサービスを実行します。これは、ゲートウェイサービスでローテーションを実行し、ポストローテーションスクリプトを実行する際に必要となります。

ゲートウェイ サービスの管理

以下は、Keeperゲートウェイをサービスとして起動、再起動、停止するためのコマンドです。

Keeperゲートウェイ構成ファイル

Keeperゲートウェイ構成ファイルには、KeeperシークレットマネージャーAPIからのデータを認証および復号化するために使用される暗号化キー、クライアント識別子、宛先サーバー情報を含むトークンのセットが含まれています。この構成ファイルは、ゲートウェイ作成時に生成されるワンタイムアクセストークンから作成されます。

Keeperゲートウェイがサービスとしてインストールされ実行されている場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

Keeperゲートウェイがローカルにインストールされていて、サービスとして実行されていない場合、ゲートウェイ構成ファイルは以下の場所に保存されます。

Keeperゲートウェイログファイル

デバッグ情報を含むログが自動的に作成され、ローカルマシンに保存されます。

ゲートウェイがサービスとして実行されている場合、ログファイルは以下の場所に保存されます。

ゲートウェイがサービスとして実行されていない場合、ログファイルは以下の場所に保存されます。

詳細ログ

詳細ログを追加するには、以下のファイルを変更します。

以下のようにgateway startコマンドに-dフラグを追加します。

サービスに変更を適用します。

ログの追跡

アップデート

Keeperゲートウェイをアップデートするには以下のコマンドを実行します。

自動アップデート

Keeperゲートウェイのインストールでアップデートを自動チェックするように設定し、常に最新バージョンにアップデートされるようにします。詳細については、こちらののページをご参照ください。

アンインストール

Keeperゲートウェイをアンインストールするには以下のコマンドを実行します。

ヘルスチェック

ゲートウェイサービスの動作状況を確認するために、ヘルスチェックを設定できます。Dockerのオーケストレーションやロードバランサー、自動監視ツールと連携させる際に便利です。設定方法や具体例については、「ヘルスチェック」ページをご参照ください。

ネットワーク構成

Keeperゲートウェイはアウトバウンド専用の接続を確立するため、インバウンドのファイアウォールルールは必要ありません。ただし、以下のアウトバウンド接続は許可されている必要があります。

宛先エンドポイント
必要なポート
備考

Keeperクラウド keepersecurity.[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US_GOV: .us

TLSポート443

Keeperクラウドと通信し、ネイティブプロトコル (例: SSH、RDP) を介して対象インフラストラクチャにアクセスします。

Keeperルーター connect.keepersecurity.[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US_GOV: .us

TLSポート443

Keeperルーターと通信し、安全なリアルタイムWebSocket接続を確立します。

Keeper Stun/Turnサービス

krelay.keepersecurity.[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US_GOV: .us

TCPおよびUDPのポート3478を開放。

さらに、TCPおよびUDPのポート49152~65535のアウトバウンドアクセスを許可。

ゲートウェイを介して、エンドユーザーのボルトと対象システム間の安全で暗号化されたWebRTC接続を確立します。

ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。

チェックサムの検証

Keeperゲートウェイの最新バージョンに対応するSHA256ハッシュは、https://keepersecurity.com/pam/latest.txtで公開されています。

チェックサムの計算と検証方法

Linux

PowerShell

前へPodman上のゲートウェイ次へWindows上のゲートウェイ

最終更新