Foxpass は、SaaS ベースのアクセス制御をインフラストラクチャに提供します。 クラウドでホストされる LDAP、RADIUS、および SSH キー管理を提供します。 当社の可用性の記録は印象的ですが、他のクラウド サービス プロバイダーと同様に、ダウンタイムの影響を受けないわけではありません。 Foxpass 用のローカル キャッシュ サーバーを提供しているため、ダウンタイムが発生したり、システムがサーバーにアクセスできなくなったりした場合にロックアウトされることはありません。 設定と構成が簡単な Docker イメージとしてキャッシュを配布します。 他の Docker イメージと同様に、外部依存関係はありません。 ダウンロードして実行するだけです。
注: Foxpass キャッシュはアドオン機能です。
アドオンが有効になると、Foxpass キャッシュ Docker イメージにアクセスするための Jfrog アカウントが作成され、資格情報が送信されます。
Foxpass は、SaaS ベースのアクセス制御をインフラストラクチャに提供します。クラウドでホストされる LDAP、RADIUS、および SSH キー管理を提供します。当社の可用性の記録は印象的ですが、他のクラウド サービス プロバイダーと同様に、ダウンタイムの影響を受けないわけではありません。Foxpass 用のローカル キャッシュ サーバーを提供しているため、ダウンタイムが発生したり、システムがサーバーにアクセスできなくなったりした場合にロックアウトされることはありません。設定と構成が簡単な Docker イメージとしてキャッシュを配布します。他の Docker イメージと同様に、外部依存関係はありません。ダウンロードして実行するだけ!
キャッシュは LDAP のみ
現在、キャッシュは LDAP のみをサポートしています。近日中に RADIUS サポートを追加したいと考えています。
唯一の要件は、Docker のインストールが機能していることです。Docker をまだお持ちでない場合は、こちらのガイドに従ってインストールできます。
https://docs.docker.com/engine/installation
これらの手順では、サーバーの 1 つに Foxpass キャッシュをインストールして実行する方法について詳しく説明します。ホストやその他のエンドポイントを構成してキャッシュと統合する方法については、Foxpass キャッシュ統合ガイドを参照してください。
このページにアクセスして、「キャッシュキーを追加」をクリックします。
キャッシュ コンテナーは、Foxpass サーバーと同期するときに、このキャッシュ キーを認証メカニズムとして使用します。このキーは必要な数のコンテナーで使用できますが、各キーはレート制限されています。新しいキーに移行するときに使いやすいように、最大 2 つのキーを生成できます。
キャッシュを実行するホストに移動し、Docker を使用して Foxpass Cache イメージをプルします。
これにより、Foxpass キャッシュが実行され、LDAP 要求の場合は 389 でリッスンし、SSH キー要求の場合は 80 でリッスンします。
キャッシュは、特別なキーや証明書なしで単独で実行できますが、このモードはテストに使用する必要があります。キーと証明書がない場合、キャッシュは、セキュアで暗号化された LDAPS、LDAP+STARTTLS、および HTTPS エンドポイントではなく、LDAP および HTTP エンドポイントを公開します。パスワードとデータは LDAP と HTTP を介してプレーンテキストで送信されるため、誰かがクライアントとキャッシュ間のトラフィックをリッスンしている場合、暗号化されていないデータを読み取ることができます。証明書ファイルとキーを Docker コンテナにマッピングして、SSL とより安全なエンドポイントを有効にすることを強くお勧めします。-c および -k 引数を使用して、Docker ファイル システムからキャッシュ システムへのこれらのファイルのマッピングを指定できます。
-v 引数は、証明書とキーをサーバーのファイルシステムから Docker コンテナーにマップし、-c および -k 引数は、Foxpass プロセスにそれらのファイルがコンテナー内のどこにあるかを知らせます。
| Flag | 詳細 |
|---|---|
| -h | ヘルプ メッセージを表示します。 |
| --ldap-port ポート | LDAP をリッスンするポートを指定します。 |
| --ldap-starttls-port ポート | LDAP+STARTTLS をリッスンするポートを指定します。-c および -k を指定する必要があります。 |
| --ldaps-port ポート | LDAPS をリッスンするポートを指定します。-c および -k を指定する必要があります。 |
| --http ポート ポート | HTTP をリッスンするポートを指定します。これは、特定のサーバーで使用可能なキーを取得するために SSH によって使用されるエンドポイントです。 |
| --https ポート PORT | HTTPS をリッスンするポートを指定します。これは、特定のサーバーで使用可能なキーを取得するために SSH によって使用されるエンドポイントです。-c および -k を指定する必要があります。 |
| -o, --local-db-only | ローカルにキャッシュされたデータのみを使用して Foxpass からデータをプルすることを防止するフラグ。サーバーが一度データを正常にプルしない限り、すべてのリクエストは失敗することに注意してください。 |
| -c ファイル | TLS を有効にするための証明書ファイル。 |
| -k キー | 証明書の秘密鍵ファイル。 |
| --cache-key KEY | アカウントの Foxpass キャッシュ キー。 |
| --cache-name NAME | このキャッシュのユーザーが選択した名前。例: 「prod-us-east-1a」 |
ポート オプションが指定されておらず、証明書とキーが提供されていない場合、キャッシュ サーバーはポート 389 で LDAP を実行し、ポート 80 で HTTP を実行します。
ポート オプションが指定されておらず、キーと証明書ファイルが指定されている場合、キャッシュ サーバーはポート 389 で LDAP+STARTTLS、ポート 636 で LDAPS、ポート 443 で HTTPS を実行します。
特定のサービスに特定のポートを指定する場合は、コマンド ライン オプションの表を参照してください。
キャッシュが起動して実行されると、Foxpass のサーバーと自動的に同期されます。[キャッシュ] ページで、その同期のステータスとキャッシュに関する詳細情報を確認できます。
Foxpass アカウントで Okta への委任認証が有効になっている場合、キャッシュは認証要求を Okta に直接送信します。Okta で MFA を有効にしている場合は、Okta アカウントでパブリック IP アドレス (または NAT デバイスのアドレス) の MFA 免除を追加する必要があります。
このページでは、ホストが Foxpass キャッシュを指すようにする方法について説明します。まだキャッシュを設定していない場合は、まずFoxpass キャッシュ設定ガイドの指示に従って設定してください。
ノート
新しいホストのみがキャッシュ システムを使用できます。
ホストがキャッシュを指すように設定するには、通常どおりインストール スクリプトを実行し、キャッシュ エンドポイントに引数を追加します。
docker inspectコマンドを使用してコンテナーの IP アドレスを取得します。LDAP エンドポイントは単に「ldap://」+ IP アドレスであり、API エンドポイントは「http://」+ IP アドレスです。
証明書とキーを使用している場合は、キャッシュ用に設定した URL を使用します。
LDAP エンドポイントは単に「ldaps://」+ URL であり、API エンドポイントは「https://」+ URL です。
次のように、セットアップ スクリプトに追加の引数を追加して、LDAP および API エンドポイントを指定します。
複数のキャッシュを実行している場合は、各キャッシュを個別の引数としてリストすることで、各エンドポイントを指定できます。最初のキャッシュが失敗した場合、サーバーは 2 番目のキャッシュをチェックします。
最終的なコマンドは次のようになります。