アドバンストサーバーアクセスのゲートウェイを構成する

この項目では、アドバンストサーバーアクセスのゲートウェイを構成する方法について説明します。

コマンドラインオプション

    service:sft-gatewaydサービスを実行します。

    support:Oktaサポート用にローカルシステム情報を収集します。

    -h, --help:ヘルプを表示します。

    -v, --version:バージョンを表示します。

    --syslog:syslogによるログ記録を強制します。

構成ファイル

アドバンストサーバーアクセスのゲートウェイ/etc/sft/sft-gatewayd.yamlにある構成ファイルを使用してコントロールできます。ゲートウェイをインストールした後、サンプルの構成ファイルが /etc/sft/sft-gatewayd.sample.yamlで利用可能になります。構成ファイルが作成されないか利用できない場合、ゲートウェイは以下のデフォルトの値を使用します。

構成ファイルの変更内容を有効にするには、ゲートウェイを再起動する必要があります。詳細については「アドバンストサーバーアクセスのゲートウェイを再起動する」を参照してください。

セットアップトークン

これらのオプションは、ゲートウェイに対してセットアップトークンを追加する方法をコントロールします。以下のいずれかのオプションを有効にする必要があります。セットアップトークンの取得方法の詳細は、アドバンストサーバーアクセスのゲートウェイセットアップトークンを作成するを参照してください。

オプションデフォルト値説明
SetupToken unsetアドバンストサーバーアクセスのプラットフォームで作成されたセットアップトークンを指定します。

:このオプションを使用すると、セットアップトークンはテキスト形式となります。Oktaは構成ファイルに対する読み取り許可を制限することを推奨します(例:Linux上の0600)。

SetupTokenFileLinux/var/lib/sft-gatewayd/setup.token

WindowsC:\ProgramData\ScaleFT\sft-gatewayd\setup.token

FreeBSD/var/db/sft-gatewayd/setup.token

 登録トークンを含む個別ファイルへのパスを指定します。デフォルトの値は、ゲートウェイを実行するオペレーティングシステムにより異なります。

これは推奨されるオプションです。

このオプションを使用する場合、手動でセットアップトークンファイルを作成して、作成したセットアップトークンをアドバンストサーバーアクセスのプラットフォームに追加する必要があります。

ゲートウェイがチームを含めて登録された後、そのゲートウェイはトークンファイルを削除します。

SetupTokenオプションも構成されている場合、そのゲートウェイはそこで指定されたトークンを使用します。

ログ

オプションデフォルト値説明
LogLevelinfoログの詳細度をコントロールします。Oktaはそのままinfoを使用することを推奨します。

有効な値:

  • error
  • warn
  • info
  • debug

接続

オプションデフォルト値説明
AccessAddress1.1.1.1クライアントがゲートウェイへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。指定されたアドレスがない場合、ゲートウェイはネットワークインターフェイスまたはクラウドプロバイダーのメタデータが指定するアドレスを使用します。
AccessPort7234クライアントがゲートウェイへのアクセスに使用するポートを指定します。
ListenAddress0.0.0.0ゲートウェイが接続をリッスンするときに使用するネットワークアドレス(IPv4またはIPv6)を指定します。デフォルトでは、ゲートウェイは利用可能なすべてのインターフェイスの接続をリッスンします。
ListenPort7234ゲートウェイが接続のリッスンに使用するポート番号を示します。
TLSUseBundledCAsTrueTLSでHTTPリクエストを保護するために(OS証明書ストアではなく)バンドルされた証明書ストアを使用するようにゲートウェイに強制します。これにはアドバンストサーバーアクセスのクラウドサービスへのリクエストも含まれます。

:OS証明書ストアを使用するには、このオプションをfalseに設定してください。

RefuseConnectionsFalseゲートウェイがSSHとRDPプロキシを受け入れるかどうかをコントロールします。有効になっていると、SSHとRDP接続リクエストはルーティングされず、ゲートウェイはプロキシトラフィックのリクエストをリッスンしません。
ForwardProxyunsetアドバンストサーバーアクセスへのアウトバウンドネットワーク接続に使用するHTTP CONNECTプロキシのURLを指定します。また、HTTPS_PROXY環境変数を使用してプロキシを設定することもできます。

Lightweight Directory Access Protocol (LDAP)

これらのオプションは早期アクセス機能に関連するものです。詳細は、AD-Joinedを参照してください。

これらのオプションは、ゲートウェイがLDAPサーバー(通常はActive Directory)との安全な接続を確立する方法をコントロールします。デフォルトでは、ゲートウェイはTLSを起動しますが、証明書の確認は実行されません。LDAPの通信に対してゲートウェイがサポートするのはStartTLS のみです。ゲートウェイはLDAPSをサポートしません。

これらのオプションをLDAP辞書内にリストする必要があります。

LDAP:
StartTLS: ...

オプションデフォルト値説明
StartTLSTrueActive Directory/LDAPサーバー通信をTLSにアップグレードします。無効になっている場合、サーバーとの通信は暗号化されません。
ValidateCertificatesFalseAD/LDAPサーバーから受信した証明書の検証を実行します。無効にした場合、LDAPサーバーの通信はMITM攻撃に対して脆弱になる可能性があります。

有効にした場合、ゲートウェイはTrustedCAsDirで指定したパスで証明書を探します。証明書が見つからない場合、ゲートウェイはすべての接続を拒否します。

TrustedCAsDirunset認証局の公開証明書を含むディレクトリのパスを指定します(通常はActive Directory内で管理され、グループポリシーを介して配布されます)。ディレクトリと証明書はsft-gatewaydユーザーが読み取ることができなければなりません。また、証明書はPEMでエンコードされている必要があります。サブディレクトリは確認されません。

任意のパスを使用できます。ただしOktaは/etc/sft/trusted-ldap-certs/を使用することを推奨します。

リモートデスクトッププロトコル (RDP)

これらのオプションは早期アクセス機能に関連するものです。詳細は、AD-Joinedを参照してください。

これらのオプションでは、ゲートウェイがRDPセッションを管理する方法をコントロールします。Enabled オプションおよびTrustedCAsDirまたはDangerouslyIgnoreServerCertificatesオプションのいずれかを使用して、明示的にRDP接続を許可する必要があります。これらのオプションを構成しない場合、ゲートウェイはドメイン内のActive Directoryサーバーを検出するために使用できますが、すべてのRDP接続を拒否することになります。

これらのオプションをRDP辞書内にリストする必要があります。

RDP:
Enabled: ...

オプションデフォルト値説明
Enabledfalseゲートウェイ用のRDP機能をコントロールします。RDPには追加の構成が必要なため、このオプションはデフォルトで無効になっています。RDP接続を許可する前にtrueに設定する必要があります。
TrustedCAsDirunset認証局が署名した公開証明書を含むディレクトリのパスを指定します(通常はActive Directory内で管理され、グループポリシーを介して配布されます)。ディレクトリと証明書はsft-gatewaydユーザーが読み取ることができなければなりません。また、証明書はPEMでエンコードされている必要があります。サブディレクトリは確認されません。

任意のパスを使用できます。ただしOktaは/etc/sft/trusted-rdp-certs/を使用することを推奨します。

DangerouslyIgnoreServerCertificatesFalseRDPホストに接続する際にゲートウェイによるサーバー証明書の検証を制限します。このフラグは非テスト環境では危険ですが、RDPホストに自己署名証明書がある場合は必要となる可能性があります。
MaximumActiveSessions20ゲートウェイが許可する同時RDPセッション数をコントロールします。このセッション数に達すると、その他のユーザーはエラーを受け取り、ゲートウェイに接続できなくなります。これはリソースとパフォーマンス上の理由でのみ実行されます。
VerboseLoggingtrueRDP-internalログの詳細度をコントロールします。これらのメッセージは、問題の診断時に有用ですが、ログが混雑する可能性があります。

:内部のRDPログメッセージにデバッグとラベルを付けるにはfalseラベルを設定します。

セッションキャプチャ

オプションデフォルト値説明
SessionLogFlushInterval10sセッションキャプチャログのサイズ閾値を指定します。この閾値に達するとアクティブなセッションのログが署名され、ディスクにフラッシュされます。このオプションには時間単位(ms、s、m、h)を含める必要があります。
SessionLogMaxBufferSize262144セッションキャプチャログのサイズ閾値を指定します。この閾値に達するとアクティブなセッションのログが署名され。ディスクにフラッシュされます。このオプションはバイトで測定されます。
SessionLogTempStorageDirectory/tmp指定したログの送信先にアップロードする前に、SSHセッションログを保管する一時ディレクトリを指定します。

デフォルトの値はオペレーティングシステムによって異なります。Linuxのデフォルトは、$TMPDIR環境変数が指定されている場合を除いて、通常 /tmp です。

LogDestinationsunset最終的なセッションログの保管場所を指定します。セッションログは、ローカルまたはAWSやGCSバケットなど、複数の場所に保管できます。セッションログがアドバンストサーバーアクセスに送信されることは決してありません。

以下のデフォルトの値と例を参照してください。

例 - Linux/BSD

LogDestinations:
- Type: file
LogDir: /var/log/sft/sessions

ゲートウェイは/home/root/run/userの各ディレクトリには書き込めません。

例 - Windows

LogDestinations:
- Type: file
LogDir: C:\Windows\system32\config\systemprofile\AppData\Local\ScaleFT\sft-gatewayd

例 - AWS

LogDestinations:
- Type: s3
Bucket: BUCKET-NAME
# Region is optional
Region: US-EAST-1
# You may specify Profile for shared credentials...
Profile: AWS-PROFILE-NAME
# ...or AccessKeyId, SecretKey, and SessionToken for static credentials...
AccessKeyId: SECRET
SecretKey: SECRET
SessionToken: SECRET
# ...or no credentials to use the default credentials chain

例 - Google Cloud

LogDestinations:
- Type: gcs
Bucket: BUCKET-NAME
# Supply one of CredentialsFile or CredentialsJSON (or none to use instance credentials)
CredentialsFile: /path/to/cred/file
CredentialsJSON: |
{
"SOME": "value",
"IN": "json"
}

関連項目

アドバンストサーバーアクセスのゲートウェイをインストールする

アドバンストサーバーアクセスのゲートウェイセットアップトークンを作成する

アドバンストサーバーアクセスのゲートウェイを再起動する