はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。
今回は「KeeperPAMで、管理者が作成したサーバーリソースを利用者へ共有する方法」についてご紹介します。
PAMを使った運用では、下記の要件が出てきます。
- 利用者には接続だけできるようにしたい
- パスワードやSSH鍵などの認証情報は見せたくない
- Keeper GatewayやPAM構成などの設定変更権限も渡したくない
本記事では、上記の要件を満たしつつ、利用者がクリック操作だけで接続できる状態までを、画面イメージ付きでまとめます。
KeeperPAMのセットアップについては下記ブログをご覧ください。
KeeperPAMで「共有」をするメリット
従来のサーバーへの認証情報の共有だと、下記のような運用負荷とリスクがセットで付いてます。
- SSHパスワードを教える
- 秘密鍵を配布する
- VPN配布や踏み台を用意する
一方、KeeperPAMの「レコード分割」と「共有」運用を前提にすると、下記のようなメリットがあります。
- 利用者は認証情報を知らないまま接続できる
- 管理者側で接続先と権限を一元管理できる
- セッションアクティビティで誰がいつアクセスしたか追える
今回やりたいこと
管理者側では、ユーザーの認証情報を置くフォルダと、接続先リソースを置くフォルダが見えています。
しかし利用者側には、下記のような状態にしたいと思います。
- ユーザーフォルダ(認証情報)は見せない
- リソースフォルダの中の「接続用レコード(PAMマシン)」だけ見せる
- 接続はできるが、認証情報や設定の編集はできない
やってみた
リソースフォルダを利用者に共有
管理者のKeeper Vault上で、共有したいリソースを格納しているフォルダ(リソースフォルダ)を開きます。
フォルダの共有設定画面を開き、「ユーザー」タブから編集を行います。
共有相手は、個人ユーザーでも、チーム単位でも指定できます。
ここでのポイントは、利用者に渡すのはあくまでリソース(接続先)へのアクセスであることです。下記については見せない&触らせない運用にします。
- 認証情報を格納しているユーザーフォルダ
- Keeper GatewayやPAM構成などの設定
利用者側でどう見えるか
共有が完了すると、利用者のKeeperのマイボルトから、共有されたリソースフォルダが見えるようになります。
サーバーリソースへの接続テスト
共有されたリソースから、テスト用のLinuxサーバーに接続してみましたが、問題なく接続できました。
重要なのは、利用者側で下記のような作業が不要な点です。
- パスワードの入力
- SSH鍵のコピー
共有設定を適切に行っていれば、利用者は下記を変更できない状態になります。
- 認証情報(ユーザーレコード)
- Keeper Gateway関連の設定
また、Linux側の権限も通常ユーザーのままにしておけば、当然ながら管理者権限の操作はできません。例として、パスワード変更系の操作を試しても、権限がないため実行できないことが確認できます。
セッションアクティビティを確認すると、誰がいつアクセスしたかを判別できます。
「認証情報は見せずに接続させたい」だけでなく、「あとから追える状態にしたい」運用にも向いています。
さいごに
本記事では、KeeperPAMで管理者が用意したサーバーリソースを、利用者へ安全に共有する方法を紹介しました。
利用者には接続だけを許可し、認証情報やPAM構成には触れさせない、という運用が取りやすいのがKeeperPAMの良いところです。
是非活用してみてはいかがでしょうか!
