サーバー用にSSHD構成をカスタマイズする

注:

販売終了のお知らせ

2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。

Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。

Advanced Server Accessのシステム統合モデルを使用すると、Advanced Server Accessを用いたシステム構成の幅広いカスタマイズが可能になります。たとえば、Advanced Server Accessの管理者はSSHD構成を使用して、接続を開始するクライアントへのサーバーの応答方法をカスタマイズできます。

注:

Advanced Server Accessエージェント（sftd）がSSHD構成ファイル（/etc/ssh/sshd_config）に追加できるのは、コメントも含めて2~4行のみです。

以下は、Advanced Server Accessの管理者がSSHD構成ファイルをカスタマイズする方法の例です。

SSHDでAdvanced Server Access以外の認証を防止する

特定グループのメンバーがAdvanced Server Access以外の資格情報で認証されないようにするには、Matchグループを使用して認可済みキーファイルのルールを作成します。以下のコードは、「asa_dev」というUNIXグループのメンバーがAdvanced Server Access以外の資格情報で認証されるのを防止します。

Match Group asa_dev
    AuthorizedKeysFile none
    AuthenticationMethods publickey
    PubkeyAcceptedKeyTypes <insert-accepted-key-here>

Matchグループは、Advanced Server Accessが管理するグループの名前をリストする必要があります。

Matchブロックの最初の行は、次のように表示されます：Match Group <ASA-managed-group-name>

対話型のBastion (踏み台)サインインを防止する

ユーザーがBastion (踏み台)で対話型サインインを実行するのを防ぐには、PermitTTY noという値を使ってこの制限を適用するMatch Groupを作成します。Match Group（一致グループ）ブロックを使用すると、特定のグループ内のすべてのユーザーに対して制限を設定できます。Advanced Server Accessの管理者である場合は、ご自身をこのグループに追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHDに直接追加できます。

Match Group asa_dev
     PermitTTY no

注:

踏み台（Bastion）のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐためにBastion（踏み台）が正しく構成されていることを確認します。

SSHセッションの有効期限を構成する

LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。定義済みTMOUT変数の例を次に示します。

TMOUT=300  
     readonly TMOUT
     export TMOUT

注:

この定義では、ユーザーが値を変更できないようにreadonlyが使用されています。