Keeper Gateway

Keeper Gatewayのインストールと設定

概要

Keeper Gatewayは、Windows、Linux、またはmacOSマシンにインストールされる軽量のサービスで、ローテーション、検出、および接続タスクを実行します。1つのゲートウェイを使用して、オンプレミスとクラウドの両方のターゲットインフラストラクチャと通信できます。たとえば、Active Directoryアカウントをローテーションする場合は、ADと通信できる任意のマシンにゲートウェイをインストールすればよいです。

ゲートウェイは、データの暗号化と復号化をすべてローカルで実行することで、ゼロ知識を保持します。ゲートウェイは、Keeper Secrets Manager APIを使用してKeeperクラウドと通信します。セキュリティアーキテクチャの詳しい説明は、こちらをご参照ください。

対応プラットフォーム

  • Windows (OSの最小バージョン:Server 2016と1803以降)

  • Linux: Ubuntu、CentOS、RedHat

  • macOS: 12+

システム要件

  • 必要なディスク容量: 50MB

  • メモリ: 1GB以上

インストール手順

Keeper Gatewayは、Keeperクラウドでの認証に使用される暗号化鍵とローカルのSecrets Manager設定を生成します。生成される場所は、ゲートウェイが実行されている状況によって異なります。ローカルユーザーにインストールすることも、サービスとしてインストールすることもできます。

  • KeeperウェブボルトまたはKeeper Desktopにログインします

  • Secrets Managerアプリケーションを作成するか、または既存のアプリケーションを選択します

  • [ゲートウェイ]タブをクリックし、[ゲートウェイのプロビジョニング]をクリックします。

  • Windows、Mac、Linuxのインストール手順から選択します

  • Keeper Gatewayをインストールします

Keeper Gatewayの作成中に、[デバイスの外部 WAN IP アドレス用初期リクエストをロック]を選択できます。これにより、サービスに組み込まれた認証と暗号化に加えて、ゲートウェイのIPが固定されます。このオプションは、ゲートウェイマシンの外部IPがスタティックである限り推奨されます。

Windows

インストーラーファイル

https://keepersecurity.com/pam/keeper-gateway_windows_x86.exe

サービスのインストール時に、「Keeperワンタイムアクセストークンを入力(Enter a Keeper One-Time Access Token)」を選択し、ボルトのゲートウェイ設定画面で発行されたトークンを指定します。インストールが完了すると、サービスが自動的に開始して、Keeperクラウドに登録されます。

インストール場所

C:\ProgramFiles (x86)\Keeper Gateway\

設定ファイルの場所

C:\Users\<User>\.keeper\gateway-config.json
(ローカルユーザーとして実行する場合)

または

C:\ProgramData\KeeperGateway\private\keeper-gateway.json
(サービスとして実行する場合)

ログファイル

C:\Users\<User>\.keeper\logs\
(ローカルユーザーとして実行する場合)

または

C:\ProgramData\KeeperGateway\logs\
(サービスとして実行する場合)

アップグレード

アップグレードする場合は、サービスを停止し、最新の実行ファイルをインストールしてからサービスを開始してください。

  • .json設定ファイルをバックアップします

  • 「プログラムの追加と削除(Add and remove programs)」からKeeper Gatewayをアンインストールします

  • Keeper Gatewayをインストールします(「Keeperワンタイムアクセストークンを入力(Enter a Keeper One-Time Access Token)」は選択しないでください)

アンインストール

サービスをアンインストールする手順:

  • 「プログラムの追加と削除(Add and remove programs)」からKeeper Gatewayをアンインストールします

  • 必要に応じて、専用の設定.jsonファイルを削除します

サービス管理

Windowsサービスマネージャを開き、Keeper Gatewayを見つけます。

詳細ログ出力

詳細ログ出力を有効にする手順:

  • Windowsサービス(Windows Services) > Keeper Gateway > プロパティ(Properties)に移動します

  • サービスを停止します

  • 「開始パラメータ(Start parameters)」を_-d_に設定します

  • 適用してサービスを開始します

Linux

インストーラーコマンド

curl -fsSL https://keepersecurity.com/pam/install | sudo bash -s -- --token US:XXXXX

注意:XXXXXをボルト画面で発行されたワンタイムアクセストークンに置き換えます。

インストール場所

/usr/local/bin/keeper-gateway

エイリアスkgが同じディレクトリに作成されます

gateway -> /usr/local/bin/keeper-gateway

設定ファイルの場所

付属のbashスクリプトを使用する場合、Keeper Gatewayはデフォルトでサービスとしてインストールされます。

/etc/keeper-gateway/gateway-config.json
(サービスとしてインストールされた場合)

または

<User>/.keeper/keeper-gateway.json
(ローカルユーザーとしてインストールされた場合)

  • keeper-gatewayフォルダの所有者は、インストール時に作成されるkeeper-gwユーザーです。

  • ゲートウェイはkeeper-gwユーザーとして実行されるため、インストーラーは/etc/sudoers.d/のsudoersリストにkeeper-gwを追加します。これは、ゲートウェイサービスユーザーでローテーションを実行し、実行後スクリプトを実行する場合に必要です。

ログファイル

有用なデバッグ情報を含むログは、ローカルマシンで自動的に作成されてローテーションされます。

/var/log/keeper-gateway/
(サービスとしてインストールされた場合)

<User>/.keeper/logs/
(ローカルユーザーとしてインストールされた場合)

詳細ログ出力

詳細なデバッグログ出力を追加するには、次のファイルを変更します。

/etc/systemd/system/keeper-gateway.service

加えて、たとえば、以下のように「gateway start」コマンドに-dフラグを追加します。

ExecStart=/bin/bash -c "/usr/local/bin/gateway start --service -d --config-file /etc/keeper-gateway/gateway-config.json"

サービスに変更を適用する手順:

sudo systemctl daemon-reload
sudo systemctl restart keeper-gateway

アップグレード

Keeper Gatewayサービスをアップグレードする手順:

curl -fsSL https://keepersecurity.com/pam/install | sudo bash -s

アンインストール

Keeper Gatewayをアンインストールする手順:

curl -fsSL https://keepersecurity.com/pam/uninstall | sudo bash -s

サービス管理

sudo systemctl stop keeper-gateway
sudo systemctl start keeper-gateway
sudo systemctl restart keeper-gateway

macOS

macOSでは、ゲートウェイはサービスとしてではなく、ローカルユーザーとしてインストールされます。

インストーラーコマンド

curl -fsSL https://keepersecurity.com/pam/install | bash -s -- --token XXXXX

注意:XXXXXをボルト画面で発行されたワンタイムアクセストークンに置き換えます。

ゲートウェイの起動

ローカルターミナルでゲートウェイを起動するには、次のように入力します。

gateway start

インストール場所

/usr/local/keeper-pam/gateway

エイリアスgatewayが作成されます

gateway -> /usr/local/bin/gateway

設定ファイルの場所

付属のbashスクリプトを使用する場合、Keeper Gatewayはデフォルトでサービスとしてインストールされます。

~/.keeper/gateway-config.json

ログファイル

有用なデバッグ情報を含むログは、ローカルマシンで自動的に作成されてローテーションされます。

~/.keeper/logs/

アップグレード

Keeper Gatewayサービスをアップグレードする手順:

  • 現在のゲートウェイサービスを終了または停止します

  • 新しいバイナリをインストールします

curl -fsSL https://keepersecurity.com/pam/install | bash -s

アンインストール

Keeper Gatewayをアンインストールする手順:

curl -fsSL https://keepersecurity.com/pam/uninstall | bash -s

ゲートウェイの再起動

ローカルターミナルでゲートウェイを再起動するには、次のように入力します。

gateway start

管理コンソールでのゲートウェイの管理

Keeper管理者は、企業環境で作成されたすべてのゲートウェイを表示および監視できます。Keeper管理コンソールの「Secrets Manager」セクションで、「ゲートウェイ」タブにアクセスします。

管理者は、すべてのゲートウェイのステータス、作成日、ノード割り当てを表示できます。[編集]ボタンをクリックすると、ゲートウェイ名とノードを変更でき、添付された設定とローテーション履歴の一覧を表示できます。

前へはじめに次へローテーションのユースケース

最終更新