Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

コマンダー 17.2.16

2026年5月1日リリース

本リリースでは、 pam launch および pam tunnel start をウェブボルトのPAMワークフロー制御との動作統一を実施したほか、GovCloudルーター対応と複数の修正を行いました。

PAM

ワークフロー (pam launch / pam tunnel start) — ウェブボルトとの動作統一 (#1997)

起動・トンネル開始時の制御順序を、エンタープライズの強制設定 → PAM構成の許可項目 → ワークフローとなり、ウェブボルトと一致しました。

  • 利用可能時間帯の制限を適用。ワークフローのIANAタイムゾーンで設定された allowedDays / timeRanges の外側での起動はブロックされます。日付をまたぐ時間帯にも対応。 zoneinfo が利用できない場合や、タイムゾーン名が不明な場合はローカル時刻を使用します。

  • リース期限到達時に接続を即時切断。アクティブセッション中に expiresOn に達した場合、 pam launch (対話シェル/RDP)と pam tunnel start は猶予や再接続なしで即座に接続を終了し、ウェブボルトの ConnectionManager.scheduleWorkflowAccessExpiry と一致します。ターミナルリセット後に「Access expired — session terminated」の行を出力し、表示が残るようにします。

  • 申請理由/チケット入力を対話形式で実行。ワークフローが WS_NEEDS_ACTION 状態で AC_REASON または AC_TICKET が必要な場合、 pam workflow request を別途実行する代わりに、その場で入力・再検証を実施 (理由は複数行、チケットは1行)。非対話実行用に新フラグ --reason / -r および --ticket / -tk が同じフローを駆動します。承認のみのワークフローは自動送信されます。

  • チェックアウト確認を対話形式で追加。ワークフローが承認済みかつ未チェックアウト (WS_READY_TO_START) の場合、 Check out 'RECORD' now? [Y/n] を表示してその場で続行可能に。非対話実行向けに新フラグ --auto-checkout / -aco で自動承認します。

  • 承認待機用 --wait (-w) オプションを追加。ワークフローが WS_WAITING 状態の場合、8秒ごとに状態確認を実施し、待機解除まで継続します。 --wait-timeout の既定は600秒です。Ctrl+Cで安全にキャンセルできます。

  • セッション終了時の自動チェックインに対応。 pam launch によりチェックアウトされたリースは、セッション終了時に end_workflow(flow_uid) で自動解放。リース期限切れ後、またはユーザーが pam workflow start で事前チェックアウト済みの場合はスキップします。 (pam tunnel stop は意図的にリースを解放しません。以下の注記をご参照ください。)

  • ゲートウェイオフライン時はMFAプロンプトをスキップ。ウェブボルトの LaunchButton.tsx と同様に、コントローラーがオンラインでない場合はワークフローのMFAプロンプトをスキップし、起動側でゲートウェイオフラインエラーを表示します。

  • pam launch のコントローラーフォールバック。 get_controllers で見つからない場合に pam/get_configuration_controller へフォールバックし、ウェブボルトと一致します。

  • ワークフローAPIとの通信エラー時は、接続をブロックせず継続する動作に変更。ワークフローAPI未対応の本番ルーター環境でも、従来の起動/トンネルが利用可能。

  • pam tunnel stop はワークフローリースを解放しない仕様に統一 (意図的、ウェブボルトと一致)。リースとトンネルは切り離され、1回の承認ウィンドウで複数の逐次または同時トンネルをホストできます。解放は expiresOn または明示的な pam workflow end で行います。

ワークフロー構成 (pam workflow create / delete)

  • pam workflow create 実行時に既存設定を事前確認し、上書きせずに案内付きエラーを表示。

  • 作成者を承認者へ自動追加しない仕様へ変更。 approvalsNeeded > 0 の場合は --approver 指定が必須。

  • TimeOfDayRange のエンコード形式を、深夜からの分数からサーバー形式のHHMMに変更。

  • pam workflow delete 実行時、削除対象が存在しない場合は明確なメッセージを表示して終了。

  • 初回起動フローを改善。ワークフロー状態が no_workflow / needs_start の場合、その場でリクエスト送信を案内・実行 (ウェブボルトと同等操作)。

ローテーション (pam action rotate)

ウェブボルトの今すぐローテーションボタンと同じ2つの制御のみ適用するよう変更 (ワークフロー制御、MFA、時間帯制限は適用対象外)。

  1. エンタープライズ制御allow_rotate_credentials を適用。従来の allow_pam_rotation フォールバックは廃止され、明示的な allow_rotate_credentials: false が尊重されます。

  2. PAM構成ごとの allowedSettings.rotation — PAM構成DAGで明示的に false の場合、「PAM構成により無効」の明確なメッセージとともにローテーションをスキップします。

個人アカウント/非エンタープライズ環境では、設定情報が不正または欠落していてもブロックしないよう改善。

PAMプロジェクトのimport / extend (#1996)

  • --sample-data の不具合を修正。

  • エンタープライズデータを遅延ロードするよう改善し、大規模環境での pam project import / pam project extend の初期処理負荷を軽減。

GovCloud

  • トンネルおよびローテーションのGovCloud環境向けにKRouterおよびKRelayのGovCloudホスト名を追加 (KC-1231)。

修正

  • sf <folder> -e <user> 実行時に発生するShareFolderCommandエラーを修正。 Folder.SharedFolderUpdateUser.manageRecords にboolean値を送信していた不具合を修正し、 SetBooleanValue を使用するよう改善 (SharedFolderUpdateTeam および SharedFolderUpdateRecord は影響を受けませんでした)。

前へコマンダー 18.0.0次へコマンダー 17.2.15

最終更新