クライアント構成

設定が、プロジェクト内のサーバーにログインしているクライアントと自動的に共有されるようにするには、高度なクライアント構成オプションを利用します。この機能を利用できるように、Advanced Server Accessチームで高度なクライアント構成機能が有効化されていることを確認します。

はじめに

  • この高度なクライアント構成が行われる各サーバーにAdvanced Server Accessのクライアントがインストールされている必要があります。

Forward Agent(エージェントを転送する)

Advanced Server Accessにより最初に接続したサーバーにローカルSSHエージェントを転送するには、この機能を利用します。

この機能はWindowsクライアントと互換性がありません。

  1. Advanced Server Accessのダッシュボードで[Projects(プロジェクト)]に移動します。
  2. [Details(詳細)]タブで[Client Configuration(クライアント構成)]に移動します。
  3. [Forward Agent(エージェントを転送する)]を選択します。

Netcat Port Forwarding(Netcatポート転送)

この機能を使用することで、Advanced Server Accessは、デフォルトのSSHポート転送を使用する代わりのポート転送の手段としてNetcat(nc)をリモート実行できます。この機能は、サーバーのSSHのバージョンがポート転送に対応していない場合にのみ使用してください。

  1. Advanced Server Accessのダッシュボードで[Projects(プロジェクト)]に移動します。
  2. [Details(詳細)]タブで[Client Configuration(クライアント構成)]に移動します。
  3. [Netcat Port Forwarding(Netcatポート転送)]を選択します。

Forward Client Trust(クライアントの信頼を転送する)

クライアントの信頼を転送する機能を使用することで、ユーザーの登録済みワークステーションから登録済みサーバーへのSSHセッションを確立できます。また、そのサーバーから登録済みの別のサーバーへのSSHセッションを確立することもできます。これらの後続の接続(ホップと呼ばれます)は自動的に行われます。これにより、複数サーバー間でのラテラルムーブメント(水平方向の移動)が可能になります。言い換えれば、サーバー管理者は自分のワークステーションから後続のサーバーへの接続を新たに作成する必要なく、あるサーバーから別のサーバーに接続できます。ホップは、64の異なるサーバー間で行うことができます。

クライアントの信頼を転送する機能は、クライアントユーザーのAdvanced Server Accessトークンをターゲットサーバー上のユーザーの環境変数に渡します。この環境変数は、そのサーバーからの完全なSSOをユーザーが行う必要なしでAdvanced Server Accessクライアントが別のサーバーと接続する際に使用されます。

Linuxオペレーティングシステムの仕組みを考えると、ルートレベルのアクセス権やSUDOERSが許可される構成でログインした別のユーザーが、そのアクセス権を悪用して別のログインユーザーのAdvanced Server Accessトークンを読み取ることができてしまいます。

この機能を有効化するときは、このリスクが意味することを事前に理解し、受け入れる必要があります。この機能を有効にすると、sshd_configファイルも自動的に必要設定で更新されます。別の管理ツールがsshd_configファイルを管理している場合、競合が生じる可能性があります。この機能を有効化するときは、sshd_configに加えられる変更を調べ、構成管理のセットアップにそれを組み込む必要があります。

  1. Advanced Server Accessのダッシュボードで[Projects(プロジェクト)]に移動します。
  2. [Details(詳細)]タブで[Client Configuration(クライアント構成)]に移動します。
  3. [Forward Client Trust(クライアントの信頼を転送する)]を選択します。
  4. ワークステーションで次のコマンドを実行します。

    sft login

  5. [Forward Client Trust(クライアントの信頼を転送する)]が有効化されたサーバーにログインします。

    sft ssh < SERVER 1>

  6. 任意。sft list-serversを実行します。アクセス可能なサーバーのリストを確認します。

    リストに示されるサーバーに関係なく、ファイアウォールルールによってネットワーク接続が防止される場合があります。

  7. < SERVER 1>から別のサーバーにログインします。

    sft ssh < SERVER 2>

  8. それぞれのホップ先にAdvanced Server Accessのクライアントソフトウェアがインストールされている限り、サーバー間をホップし続けることができます。