アドバンストサーバーアクセスのサーバーエージェントを設定して使用する

このトピックでは、アドバンストサーバーアクセスのサーバーエージェントを構成して使用するの方法についてのガイドを提供します。

コマンドラインオプション

    --conf:代替の構成ファイルパスを指定します。

    --debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。

    -h, --help:ヘルプを表示します。

    -v, --version:バージョンを表示します。

    --syslog:syslogによるログ記録を強制します。

構成ファイル

アドバンストサーバーアクセスのサーバーエージェントの操作は、構成ファイル(sftd.yaml)を使用してコントロールできます。起動時に、エージェントは構成ファイルに記載された設定を使用して自己構成します。構成ファイルは、以下の「ファイルおよびパス」項目に記載されている場所で、手動にて作成する必要があります。

このファイルが作成されないか利用できない場合、 sftdは以下のデフォルトの構成を使用します。

             

--- # 共通構成オプション:# # AccessAddressはデフォルトで設定解除 AutoEnroll: true # Bastionはデフォルトで設定解除 # CanonicalNameはデフォルトで設定解除 # InitialURLはデフォルトで設定解除


共通構成オプション

オプションデフォルト値説明
AccessAddressunset複数のインターフェイスを持つホストまたはDNATの背後にあるホストの場合、これはクライアントがそのホストに接続するために使用するネットワークアドレス(IPv4またはIPv6)を指定します。
AccessInterfaceunset 既知のインターフェイスに関連付けられた特定のパブリックIP アドレスを持つホストの場合、このオプションはホストへの接続中にクライアントが接続をネゴシエーションするインターフェイスを指定します。

例:

AccessInterface: eth0

AltNamesunset このサーバーの代替ホスト名のリスト。これらの名前はsft sshのターゲット名として使用できます。

例:

AltNames: ["web01", "web01.example.com"]

AutoEnrolltrueこのオプションはtrueまたは falseのいずれかです。真に設定する場合、sftdは最初の起動時にアドバンストサーバーアクセスに自動的に登録しようと試みます。
Bastionunsetこのホストに接続する際にクライアントが自動的に使用する要塞ホストを指定します。
CanonicalNameunsetこのホストに接続する際にクライアントが使用または表示する名前を指定します。これは、hostnameコマンドが返す名前を上書きします。
InitialURLunset AutoEnrollを真に設定する場合、このオプションはサーバーが自動登録に設定できるInitialURLを指定します。登録トークンがEnrollmentTokenFileによって提供される場合、このオプションは無視されます。

注意:このオプションは、アドバンストサーバーアクセスのインスタンスにホストされていないレガシーインストールでのみ使用されます。

SSHDPort

unset

従来、クライアントはホストのポート22でSSH 接続を開始します。このオプションにより、管理者はSSH接続のネゴシエーションの際にクライアントに別のポートを指定できるようになります。

例:

SSHDPort: 4022

追加の構成オプション

オプション

デフォルト値

説明

LogLevelINFO このオプションはロギング詳細レベルを制御します。有効な値:
  • WARN
  • INFO
  • DEBUG

また、sftd --debugを実行して詳細レベルをDEBUGに手動で設定することもでき、これにより、構成ファイルに設定されている値が上書きされます。

BrokerAccessPort 4421 このオプションはクライアントが使用するポートを設定して、このホスト上のアドバンストサーバーアクセスのブローカープロセスに接続します。
BrokerListenHost unset このオプションは、アドバンストサーバーアクセスのブローカープロセスがリッスンの対象とする、ホスト上の特定インターフェイスのネットワークアドレス(IPv4またはIPv6)を指定します。プロセスはデフォルトですべてのインターフェイスをリッスンします。
BrokerListenPort 4421 このオプションは、アドバンストサーバーアクセスのブローカーがリッスンの対象となるポートを設定します。
BufferFile/var/lib/sftd/buffer.dbこれにより、sftdがローカルバッファストアに使用するファイルへのパス接頭辞が設定されます。個別のバッファファイル名は、パス接頭辞と、それに続くピリオドおよび増分番号(例:buffer.db.1)で構成されます。同期されているバッファファイルは自動的に削除されます。
DisableBrokerunsetアドバンストサーバーアクセスはポート4421でリッスンするアクセスブローカープロセスを自動的に実行します。Windowsの場合、アクセスブローカーはRDP 接続のプロキシに責任を負い、ユーザーがチームのWindowsサーバーに正常にRDP 接続できる必要があります。Linuxホストの場合、アクセスブローカープロセスは、ユーザーをオンデマンドで作成するようアドバンストサーバーアクセスで構成されている場合にのみ必要になります。

エージェントがアクセスブローカープロセスを実行しないようにするには、DisableBrokertrueに設定します。

注意:Windowsでは、アクセスブローカープロセスを無効にすることはお勧めしません。「Windows内部」をご覧ください。

EnrollmentTokenFile/var/lib/sftd/enrollment.tokenこれにより、トークンベース登録用のシークレットトークンを含むファイルへのパスが設定されます。このファイルは、プラットフォームへの登録が正常に完了すると削除されます。
ForwardProxynone

これは、sftdがアドバンストサーバーアクセスのプラットフォームへの出力側のネットワーク接続に使用するHTTP CONNECTプロクシへのURLです。代わりに、このプロクシの設定にHTTPS_PROXY環境変数を使用することもできます。

例:

ForwardProxy: https://myproxydomain.com:8080

ServerFile/var/lib/sftd/device.serverこれは、sftdが接続するサーバーのURLを保存するために使用するファイルへのパスです。
SSHDConfigFile/etc/ssh/sshd_config これはsshd構成ファイルへのパスです。

注意: sftdはこのファイルを変更します。

TokenFile/var/lib/sftd/device.tokenこれは、アドバンストサーバーアクセスへの認証のためのシークレットトークンを、sftdが保存するために使用するファイルへのパスです。

TrustedUserCAKeysFile

/var/lib/sftd/ssh_ca.pub

これは、sftdが信頼できるSSH 証明機関のリストを書き込むパスです。

ファイルおよびパス

このセクションでは、アドバンストサーバーアクセスが使用するLinuxおよびWindowsの重要ファイルおよびパスの場所を示します。

Linux

Linux上のsftdルートユーザーの下で実行されます。該当する場合、パスはLinux Standard Base仕様に従います。

パス:

  • ステートディレクトリ: /var/lib/sftd

  • 構成ファイル: /etc/sft/sftd.yaml

    :ディレクトリと構成ファイルは手動で作成する必要があります。

  • ログディレクトリ: sftdは利用可能なシステムロガーを使用します。

    :5MBを超えるとログファイルはローテーションされ、最近10件のログファイルのみが維持されます。

  • 登録トークン: /var/lib/sftd/enrollment.token

  • オートスタートの無効化: /etc/sftd/disable-autostart

    デフォルトでは、Red Hat- および Debian-派生ディストリビューションのscaleft-server-toolsパッケージは、インストール後に自動的にsftdを開始します。したがってエージェントは通常、自動的に登録してローカルユーザーを作成し、ディスクから登録トークンを削除します。

    インストール時にdisable-autostartファイルが存在する場合、パッケージはエージェントを自動的に開始しなくなります。これはPackerなどのツールを使用してOSイメージを構築する場合に便利です。このような状況では、一般的に、パッケージのインストール後にdisable-autostartファイルを削除することをお勧めします。

Windows

Windowsの場合、アドバンストサーバーアクセスのエージェントLocalSystemアカウントで実行されます。

%LOCALAPPDIR%は、すべてのファイルシステムパスのデフォルトのプレフィックスです。

パス:

  • ステートディレクトリ: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft

  • 構成ファイル: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml

    :構成ファイルは手動で作成する必要があります。

  • ログディレクトリ: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs

    :5MBを超えるとログファイルはローテーションされ、直近10件のログファイルのみが維持されます。

  • 登録トークン: C:\windows\system32\config\systemprofile\AppData\Local\scaleft\enrollment.token

環境変数

sftdは開始時に次の変数を読み取ります。

  • SFT_DEBUG:設定する場合、追加のデバッグをstderrに出力します。

警告:プロジェクト間でサーバーを移動すると、新しいプロジェクトがユーザーとグループの同期を引き継ぐため、サーバー上のローカルユーザー名、UID、その他の属性が変更される可能性があります。これにより、既存のローカルユーザーまたはグループが元のプロジェクトから削除されることはありませんが、確立されたSSH接続 (終了していない場合)を除く、孤立したユーザーがアドバンストサーバーアクセスを使用してアクセスできなくなります。

関連項目

サーバー登録を認証する

クラウドサーバーを展開する