Advanced Server Access のサーバーエージェントを構成する
ここでは、Advanced Server Accessのサーバーエージェントを構成する方法について説明します。
コマンドラインオプション
- --conf:代替構成ファイルのパスを指定します。
- --debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。
- -h、--help:ヘルプを表示します。
- -v、--version:バージョンを表示します。
- --syslog:syslogによるログ記録を強制します。
構成ファイル
Advanced Server Access のサーバーエージェントは、構成ファイルを手動で作成することで制御できます。構成ファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
-
Linux:/etc/sft/sftd.yaml
- Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml
構成ファイルが作成されていない、または利用できない場合は、サーバーエージェントは以下のデフォルト値を使用します。
構成ファイルへの変更を有効にするには、サーバーエージェントを再起動する必要があります。
登録オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
| AutoEnroll | True | サーバーエージェントが初回起動時に自動的に登録を試みるように強制します。 |
| EnrollmentTokenFile | Linux:/var/lib/sftd/enrollment.token Windows: |
登録トークンが含まれる別のファイルへのパスを指定します。デフォルトの値は、サーバーエージェントを実行するオペレーティングシステムによって異なります。サーバーの登録後、サーバーエージェントはこのトークンファイルを削除します。
このオプションを使用する場合、トークンファイルを手動で作成し、それをAdvanced Server Accessのプラットフォームに追加する必要があります。「サーバー登録」をご覧ください。 |
| InitialURL | unset |
AutoEnrollがTrueに設定されている場合、このオプションはサーバーの自動登録に使用されるURLを指定します。EnrollmentTokenFileオプションも設定されている場合、このオプションは無視されます。
注:このオプションは、Advanced Server Accessのインスタンスでホストされていないレガシーインストールのみで使用されます。 |
ログオプション
ログファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
- Linux:利用可能な場合、sftdはシステムロガーを使用します
- Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが維持されます。
| オプション | デフォルト値 | 説明 |
|---|---|---|
| LogLevel | INFO | ログの詳細度を制御します。 有効な値:
|
接続オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
| AccessAddress | unset | クライアントが複数のインターフェイスを持つサーバーやDNATの背後にあるサーバーへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。 sftd AccessAddressをDNS FQDNに設定すると、IPアドレスのホストキーが既知ホストのリストに恒久的に追加されたという警告メッセージがコンソールに表示されます。詳細については、KB記事を参照してください。 |
| AccessInterface | unset | クライアントがホストとの接続のネゴシエーションに使用するインターフェイスを指定します。既知のインターフェイスに関連付けられている特定のパブリックIPアドレスを持つホストのみに必要です。 例: AccessInterface: eth0 |
| AltNames | unset |
代替サーバーのホスト名のリストを指定します。これらの名前はsft sshのターゲットとして使用できます。
例: AltNames: ["web01", "web01.example.com"] |
| Bastion | unset | このサーバーへの接続時にクライアントによって自動的に使用されるBastion(踏み台)ホストを指定します。 |
| BufferFile | /var/lib/sftd/buffer.db | サーバーエージェントのローカルバッファストアに使用されるファイルへのパスのプレフィックスを指定します。個別のバッファファイル名は、パスプレフィックスと、それに続くピリオド・増分番号で構成されます(例:buffer.db.1)。同期された後、バッファファイルは自動的に削除されます。 |
| CanonicalName | unset | このホストに接続する際にクライアントが使用する名前を指定します。このオプションはhostnameコマンドで返される名前をオーバーライドします。 |
| ForwardProxy | unset | サーバーエージェントがAdvanced Server Accessのプラットフォームとのアウトバウンドネットワーク接続に使用するHTTP CONNECTプロクシへのURLを指定します。HTTPS_PROXY環境変数を使ってこのプロキシを設定する方法もあります。
例: ForwardProxy: https://myproxydomain.com:8080 |
| ServerFile | /var/lib/sftd/device.server | 接続するサーバーのURLを保存するためのファイルへのパスを指定します。 |
| SSHDConfigFile | /etc/ssh/sshd_config | sshd構成ファイルへのパスを指定します。
注:このファイルはサーバーエージェントによって変更されます。 |
|
SSHDPort |
unset |
SSH接続のネゴシエーションに使用するポートを指定します。このオプションは、デフォルトポート (22) を使用しない場合にのみ必要となります。このオプションは、SFTDエージェント(ScaleFT Server Tools)への接続方法をsftクライアント(ScaleFT Client Tools)に伝えます。指定のポートでリッスンするには、サーバーエージェントサーバーのsshd_configファイルを修正する必要があります。 |
| TokenFile | /var/lib/sftd/device.token | Advanced Server Accessのシークレット認証トークンの保存に使用するファイルへのパスを指定します。 |
|
TrustedUserCAKeysFile |
/var/lib/sftd/ssh_ca.pub | サーバーエージェントが信頼できるSSH認証局のリストを保存するファイルへのパスを指定します。 |
アクセスブローカーのオプション
Advanced Server Accessのサーバーエージェントは、自動的にアクセスブローカープロセスを実行します。アクセスブローカーは、Advanced Server Accessのプラットフォームで発行されるクライアント証明書を使ってクライアントを認証します。
プロジェクトでオンデマンドのユーザープロビジョニングを使用する場合、アクセスブローカーは特定のポート(デフォルトでは4421 )にアクセスできなければなりません。「オンデマンドユーザー」をご覧ください。Windowsサーバーの場合、アクセスブローカーはRDP接続のプロキシも担当します。「Windows内部」をご覧ください。
|
オプション |
デフォルト値 |
説明 |
|---|---|---|
| BrokerAccessPort | 4421 | クライアントがアクセスブローカーへのアクセスに使用するポートを指定します。 |
| BrokerListenHost | unset |
アクセスブローカーが接続の監視に使用するネットワークアドレス(IPv4 または IPv6)を指定します。デフォルトでは、アクセスブローカーは利用可能なすべてのインターフェイスで接続をリッスンします。 |
| BrokerListenPort | 4421 | アクセスブローカーが接続をリッスンするときに使用するポートを指定します。 |
| DisableBroker | unset | アクセスブローカーの動作テータスを制御します。サーバー上でのアクセスブローカーの実行を制限するにはTrueに設定します。
注:Windowsでは、アクセスブローカープロセスを無効にすることはお勧めできません。「Windows」をご覧ください。 |
PolicySyncラベル
この機能は、2023年第1四半期を通じてAdvanced Server Accessのすべてのお客様にロールアウトされます。Advanced Server Accessのチーム向けにこの機能を有効にするために、お客様側で何かする必要はありません。
PolicySyncラベルを使用することで、特定グループへのサーバーアクセスの制御に使用されるキーと値のペアを定義できます。ラベルの書式は「キー:値」であり、ニーズに最適なスキームを定義できます。ラベルは、サーバー構成ファイル内で追加することも、Advanced Server Accessから直接追加することもできます。「PolicySync:属性ベースのアクセス制御」をご覧ください。
Labels YAMLディクショナリでは、これらのオプションを空白文字2つでインデントする必要があります。
Labels:
label_1: value_1
label_2: value_2
環境変数
サーバーエージェントは、起動時に以下の変数を参照します。
- SFT_DEBUG:設定した場合、追加のデバッグをstderrに出力します。