アドバンストサーバーアクセス のサーバーエージェントを構成する

このトピックでは、アドバンストサーバーアクセスのサーバーエージェントを構成する方法について説明します。

コマンドラインオプション

    --conf:代替構成ファイルのパスを指定します。

    --debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。

    -h--help:ヘルプを表示します。

    -v--version:バージョンを表示します。

    --syslog:syslogによるログ記録を強制します。

構成ファイル

アドバンストサーバーアクセス のサーバーエージェントは、構成ファイルを手動で作成することで制御できます。構成ファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。

  • Linux:/etc/sft/sftd.yaml

  • Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml

構成ファイルが作成されていない、または利用できない場合、サーバーエージェントは以下のデフォルト値を使用します。

構成ファイルへの変更を有効にするには、サーバーエージェントを再起動する必要があります。


登録オプション

オプション デフォルト値 説明
AutoEnroll True サーバーエージェントが初回起動時に自動的に登録を試みるように強制します。
EnrollmentTokenFile Linux:/var/lib/sftd/enrollment.token

Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\enrollment.token

登録トークンが含まれる別のファイルへのパスを指定します。デフォルトの値は、サーバーエージェントを実行するオペレーティングシステムによって異なります。サーバーの登録後、サーバーエージェントはこのトークンファイルを削除します。

このオプションを使用する場合、トークンファイルを手動で作成し、それをアドバンストサーバーアクセスのプラットフォームに追加する必要があります。「サーバー登録」をご覧ください。

InitialURL unset AutoEnrollTrueに設定されている場合、このオプションはサーバーの自動登録に使用されるURLを指定します。EnrollmentTokenFileオプションも設定されている場合、このオプションは無視されます。

注:このオプションは、アドバンストサーバーアクセスのインスタンスでホスティングされていないレガシーインストールのみで使用されます。

ログオプション

ログファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。

  • Linux:利用可能な場合、sftdはシステムロガーを使用します
  • Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs

ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが維持されます。

オプション デフォルト値 説明
LogLevel INFO ログの詳細度を制御します。

有効な値:

  • warn
  • info
  • debug

接続オプション

オプション デフォルト値 説明
AccessAddress unset クライアントが複数のインターフェイスを持つサーバーやDNATの背後にあるサーバーへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。
AccessInterface unset クライアントがホストとの接続のネゴシエーションに使用するインターフェイスを指定します。既知のインターフェイスに関連付けられている特定のパブリックIPアドレスを持つホストのみに必要です。

例:

AccessInterface: eth0

AltNames unset 代替サーバーのホスト名のリストを指定します。これらの名前はsft sshのターゲットとして使用できます。

例:

AltNames: ["web01", "web01.example.com"]

Bastion unset クライアントがこのサーバーに接続するときに、自動的に使用される要塞ホストを指定します。
BufferFile /var/lib/sftd/buffer.db サーバーエージェントのローカルバッファストアに使用されるファイルへのパスのプレフィックスを指定します。個別のバッファファイル名は、パスプレフィックスと、それに続くピリオドおよび増分番号で構成されます(例:buffer.db.1)。同期された後、バッファファイルは自動的に削除されます。
CanonicalName unset このホストに接続する際にクライアントが使用する名前を指定します。このオプションはhostnameコマンドで返される名前をオーバーライドします。
ForwardProxy unset サーバーエージェントがアドバンストサーバーアクセスのプラットフォームとのアウトバウンドネットワーク接続に使用するHTTP CONNECTプロクシへのURLを指定します。HTTPS_PROXY環境変数を使ってこのプロキシを設定する方法もあります。

例:

ForwardProxy: https://myproxydomain.com:8080

ServerFile /var/lib/sftd/device.server 接続するサーバーのURLを保存するためのファイルへのパスを指定します。
SSHDConfigFile /etc/ssh/sshd_config sshd構成ファイルへのパスを指定します。

注:このファイルはサーバーエージェントによって変更されます。

SSHDPort

unset

SSH接続のネゴシエーションに使用するポートを指定します。このオプションは、デフォルトポート (22) を使用しない場合にのみ必要となります。このオプションは、SFTDエージェント(ScaleFT Server Tools)への接続方法をSFTクライアント(ScaleFT Client Tools)に伝えます。指定のポートでリッスンするには、サーバーエージェントサーバーのsshd_configファイルを修正する必要があります。
TokenFile /var/lib/sftd/device.token アドバンストサーバーアクセスのシークレット認証トークンの保存に使用するファイルへのパスを指定します。

TrustedUserCAKeysFile

/var/lib/sftd/ssh_ca.pub

サーバーエージェントが信頼できるSSH認証局のリストを保存するファイルへのパスを指定します。

アクセスブローカーのオプション

アドバンストサーバーアクセスのサーバーエージェントは、自動的にアクセスブローカープロセスを実行します。アクセスブローカーは、アドバンストサーバーアクセスのプラットフォームで発行されるクライアント証明書を使ってクライアントを認証します。

プロジェクトでオンデマンドのユーザープロビジョニングを使用する場合、アクセスブローカーは特定のポート(デフォルトでは4421 )にアクセス可能である必要があります。「オンデマンドユーザー」をご覧ください。Windowsサーバーの場合、アクセスブローカーはRDP接続のプロキシも担当します。「Windows内部」をご覧ください。

オプション

デフォルト値

説明

BrokerAccessPort 4421 クライアントがアクセスブローカーへのアクセスに使用するポートを指定します。
BrokerListenHost unset アクセスブローカーが接続の監視に使用するネットワークアドレス(IPv4 または IPv6)を指定します。デフォルトでは、アクセスブローカーは利用可能なすべてのインターフェイスで接続をリッスンします。
BrokerListenPort 4421 アクセスブローカーが接続をリッスンするときに使用するポートを指定します。
DisableBroker unset アクセスブローカーの動作テータスを制御します。サーバー上でのアクセスブローカーの実行を制限するにはTrueに設定します。

注:Windowsでは、アクセスブローカープロセスを無効にすることはお勧めできません。「Windows」をご覧ください。

PolicySyncラベル

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

PolicySyncラベルを使用することで、特定グループへのサーバーアクセスの制御に使用されるキーと値のペアを定義できます。ラベルの書式は「キー:値」であり、ニーズに最適なスキーマを定義できます。サーバー構成ファイル内にラベルを追加することも、アドバンストサーバーアクセスから直接追加することもできます。「PolicySync:属性ベースのアクセスコントロール」をご覧ください。

Labels YAMLディクショナリでは、これらのオプションを空白文字2つでインデントする必要があります。

Labels:
label_1: value_1
label_2: value_2

環境変数

サーバーエージェントは、起動時に以下の変数を読み取ります。

  • SFT_DEBUG:設定する場合、追加のデバッグをstderrに出力します。

関連トピック