Configurer la passerelle Okta Privileged Access

Options de ligne de commande

  • service : exécute le service sft-gatewayd
  • support : collecte des informations système locales pour le support Okta
  • -h, --help : affiche l'aide
  • -v, --version : affiche la version
  • --syslog : force la connexion syslog

Fichier de configuration

Vous pouvez contrôler les passerelles Okta Privileged Access grâce à l'utilisation d'un fichier de configuration situé ici : /etc/sft/sft-gatewayd.yaml. Après avoir installé la passerelle, vous pourrez trouver un exemple de fichier de configuration ici : /etc/sft/sft-gatewayd.sample.yaml. Si aucun fichier de configuration n'a été créé ou n'est accessible, la passerelle utilisera les valeurs suivantes par défaut.

Vous devez redémarrer la passerelle pour que les modifications apportées au fichier de configuration puissent être prises en compte. Pour plus de détails, consulter Gérer la passerelle Okta Privileged Access

Options du jeton de configuration

Ces options déterminent votre façon d'ajouter un jeton de configuration à votre passerelle. Vous devez activer l'une des options suivantes. Pour plus de détails sur l'obtention d'un jeton de configuration, consultez Créer des jetons et des libellés.

Option Valeur par défaut Description
SetupToken non défini Indique un jeton de configuration créé sur la plateforme Okta Privileged Access.

Remarque : si vous utilisez cette option, le jeton de configuration restera visible en texte brut. Okta recommande de restreindre les autorisations de lecture pour le fichier de configuration (par exemple, 0600 sur Linux).
SetupTokenFile Linux : /var/lib/sft-gatewayd/setup.token Indique le chemin vers un fichier distinct contenant le jeton de configuration. La valeur par défaut est basée sur le système d'exploitation sur lequel la passerelle d'exécution est exécutée.

Cette option est celle qu'il est recommandé d'utiliser.

Si vous utilisez cette option, vous devrez créer manuellement le fichier de jeton de configuration et ajouter le jeton de configuration créé sur la plateforme Okta Privileged Access.

Une fois la passerelle inscrite auprès d'une équipe, elle supprime le fichier de jeton.

Remarque : si l'option SetupToken (Jeton de configuration) est également configurée, la passerelle utilisera le jeton indiqué dans l'option.

Options de journal

Option Valeur par défaut Description
LogLevel info Contrôle la verbosité des journaux. Okta recommande de conserver la valeur info.

Les valeurs valides incluent :

  • error
  • warn
  • info
  • debug

Options de connexion

Option Valeur par défaut Description
AccessAddress 1.1.1.1 Indique l'adresse réseau (IPv4 ou IPv6) utilisée par les clients pour accéder à la passerelle. Si aucune adresse n'est précisée, la passerelle utilisera l'adresse indiquée par l'interface réseau ou les métadonnées du fournisseur de cloud.
AccessPort 7234 Spécifie le port que les clients peuvent utiliser pour accéder à la passerelle.
ListenAddress 0.0.0.0 Indique l'adresse réseau (IPv4 ou IPv6) utilisée par la passerelle pour écouter les connexions. Par défaut, la passerelle écoute les connexions sur chaque interface existante.
ListenPort 7234 Spécifie un port utilisé par la passerelle pour écouter les connexions.
TLSUseBundledCAs Vrai Force la passerelle à utiliser le magasin de certificats groupés (à la place du magasin de certificats du système d'exploitation) pour sécuriser les requêtes HTTP qui utilisent le protocole TLS. Cela inclut également les requêtes pour accéder au service cloud Okta Privileged Access.

Remarque : pour utiliser le magasin de certificats du système d'exploitation, attribuez la valeur False à cette option.
RefuseConnections Faux Détermine si la passerelle accepte le trafic proxy SSH et RDP ou non. Si cette option est activée, les demandes de connexion SSH et RDP ne seront pas acheminées, et la passerelle n'écoutera pas les demandes de trafic proxy.
ForwardProxy non défini

Indique le nom d'hôte et le port d'un proxy de transfert HTTP utilisé pour la connectivité de réseau sortant vers Okta Privileged Access. Vous pouvez également configurer le proxy à l'aide de la variable d'environnement HTTPS_PROXY.

Exemple :

ForwardProxy : myproxydomain.com:8080

Options RDP

Ces options déterminent comment la passerelle gère les sessions RDP.

Vous devez explicitement autoriser les connexions RDP avec les options Enabled: true and DangerouslyIgnoreServerCertificates: True. Assurez-vous d'ajouter deux espaces pour ces options sous RDP, car il s'agit d'un dictionnaire YAML.

Ubuntu 20.04, 22.04 ou RHEL 8 est requis pour les connexions RDP acheminées par une passerelle.

Option Valeur par défaut Description
Activé Faux

Détermine la fonctionnalité RDP pour la passerelle. Cette option est désactivée par défaut, car RDP nécessite une autre configuration et doit être définie sur True avant que les connexions RDP ne soient autorisées.
DangerouslyIgnoreServerCertificates False Cette option est essentielle pour que la passerelle puisse démarrer et activer la fonctionnalité RDP. Lors de l'utilisation de l'agent de serveur, la passerelle contourne l'avertissement relatif au certificat en le transmettant au service de courtier, qui active automatiquement ce paramètre.
MaximumActiveSessions 20 Détermine le nombre de sessions RDP simultanées autorisé par la passerelle. Une fois le nombre de sessions atteint, les utilisateurs supplémentaires recevront une erreur et ne pourront pas se connecter à la passerelle. Ces mesures sont mises en place uniquement pour des questions de ressources et de performances.
VerboseLogging Vrai Détermine le niveau de consignation des journaux internes aux RDP. Ces messages sont utiles en cas de diagnostic des problèmes, mais peuvent encombrer les journaux.

Remarque : paramétrez la valeur sur False pour marquer tous les messages internes du journal RDP comme « débogués ».

Options d'enregistrement de session

Option Valeur par défaut Description
SessionLogFlushInterval 10s Spécifie un seuil de taille pour les journaux de capture de session. Une fois ce seuil atteint, les journaux d'une session active seront signés et vidés sur disque. Cette option doit inclure une unité de mesure (ms, s, m, h).
SessionLogMaxBufferSize 262144 Spécifie un seuil de taille pour les journaux de capture de session. Une fois ce seuil atteint, les journaux d'une session active seront signés et vidés. L'unité de mesure utilisée pour cette option est l'octet.
SessionLogTempStorageDirectory /tmp Spécifie un répertoire temporaire pour stocker les journaux de session SSH avant de les charger vers la destination de journal indiquée.

Le répertoire par défaut dépend du système d'exploitation utilisé. Sous Linux, le répertoire par défaut est habituellement /tmp, à moins que la variable d'environnement $TMPDIR ne soit définie.

Les répertoires des journaux de session temporaires et finaux doivent se trouver sur le même appareil.
LogDestinations non défini Détermine l'emplacement pour stocker les journaux de session finalisés Les équipes peuvent stocker les journaux localement ou dans des compartiments AWS ou GCS. Vous pouvez stocker les journaux de session dans plusieurs emplacements. Le cas échéant, les journaux sont envoyés à leur destination dans l'ordre indiqué dans le fichier de configuration. Les journaux de session ne sont jamais envoyés à Okta Privileged Access.

Consultez les valeurs par défaut et les exemples suivants.

Exemple - Linux/BSD

LogDestinations:
- Type: file
LogDir: /var/log/sft/sessions

Les passerelles ne peuvent pas écrire dans les répertoires suivants : /home, /root, ou /run/user.

Exemple - AWS
LogDestinations: - Type: s3 Bucket: BUCKET-NAME Region: us-east-1 # Use of ec2 instance IAM Role credentials for s3 bucket access is recommended # To use ec2 instance IAM Role credentials leave Profile, AccesKeyId, SecretKey, and SessionToken BLANK # Specify Profile for shared credentials Profile: AWS-PROFILE-NAME # Specify AccessKeyId, SecretKey, and SessionToken for static credentials AccessKeyId: SECRET SecretKey: SECRET SessionToken: SECRET
Exemple - Google Cloud
LogDestinations: - Type: gcs Bucket: BUCKET-NAME # Supply one of CredentialsFile or CredentialsJSON (or none to use instance credentials) CredentialsFile: /path/to/cred/file CredentialsJSON: | { "SOME": "value", "IN": "json" }

Formats de nom de fichiers journaux

SSHRecording: {{StartTime}}-{{.TeamName}}-{{Username}}

RDPRecording: {{StartTime}}-{{Protocol}}-{{.TeamName}}-{{ProjectName}}-{[.ServerName]}-{{.Username}}

Les administrateurs système peuvent personnaliser et configurer l'option logFileNameFormats pour mieux comprendre et gérer les journaux d'enregistrement de session.

  • StartTime : heure à laquelle l'enregistrement de la session commence. La conversion de l'heure est effectuée à l'aide du format standard ISO 8601.

  • TeamName : le nom de l'équipe Okta Privileged Access de l'utilisateur qui déclenche la session de connexion.

  • UserName : le nom de l'utilisateur qui déclenche la session SSH ou RDP.

  • Protocole : le protocole de connexion ; SSH ou RDP.

  • ProjectName : le nom du projet auquel appartient le serveur SSH ou RDP cible.

  • ServerName : le nom d'hôte du client du serveur cible connecté à la session SSH ou RDP.

Rubriques connexes

Installer la passerelle Okta Privileged Access

Créer des jetons et des libellés

Exigences et limites