Configurer l'agent du serveur Okta Privileged Access
Cette section explique comment configurer l'agent du serveur Okta Privileged Access.
- Options de ligne de commande
- Fichier de configuration
- Libellés personnalisées
- Libellés générées par le système
- Variables d'environnement
Options de ligne de commande
- --conf : fournit un chemin différent pour le fichier de configuration.
- --debug-device-info : imprime les informations de l'appareil détecté vers stderr puis se ferme.
- -h, --help : affiche une aide.
- -v, --version : affiche la version.
- --syslog : force la connexion syslog.
Fichier de configuration
Vous pouvez contrôler l'agent du serveur Okta Privileged Access en créant manuellement un fichier de configuration. L'emplacement du fichier de configuration dépend du système d'exploitation qui exécute l'agent de serveur.
-
Linux : /etc/sft/sftd.yaml
- Windows : C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml
Contrôleur de domaine : par défaut, l'agent serveur Okta Privileged Access n'interfère pas avec l'utilisateur de Active Directory. Pour remplacer le comportement par défaut, consultez Option de contrôleur de domaine.
Redémarrez l'agent de serveur pour que les modifications apportées au fichier de configuration puissent être prises en compte.
Si aucun fichier de configuration n'a été créé ou n'est disponible, l'agent de serveur utilise les valeurs suivantes par défaut.
Options d'inscription
| Option | Valeur par défaut | Description |
|---|---|---|
| AutoEnroll | True | Contraint l'agent de serveur à tenter une inscription automatique durant le démarrage initial. |
| EnrollmentTokenFile | Linux : /var/lib/sftd/enrollment.token Windows : |
Spécifie le chemin vers un fichier distinct contenant un jeton d'inscription. La valeur par défaut dépend du système d'exploitation qui exécute l'agent de serveur.
Une fois le serveur inscrit, l'agent de serveur supprime ce fichier de jeton.
Si vous utilisez cette option, vous devez créer manuellement le fichier de jeton et ajouter un jeton d'inscription créé sur la plateforme Okta Privileged Access. Consultez la section Inscription du serveur. |
| InitialURL | non défini |
Lorsque AutoEnroll est définie sur True, cette option spécifie une URL utilisée pour inscrire automatiquement le serveur. Si l'option EnrollmentTokenFile est également configurée, cette option est ignorée.
Remarque : Cette option est utilisée uniquement dans le cadre d'installations héritées non gérées par les instances d'Okta Privileged Access. |
Options de journal
L'emplacement du fichier journal dépend du système d'exploitation qui exécute l'agent de serveur.
- Linux : sftd utilise l'enregistreur système lorsque cela est possible.
- Windows : C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
Lorsque les fichiers journaux dépassent 5 Mo, le système effectue une rotation et ne conserve que les 10 derniers fichiers journaux.
| Option | Valeur par défaut | Description |
|---|---|---|
| LogLevel | INFO | Contrôle la verbosité des journaux. Les valeurs valides incluent :
|
Options de connexion
| Option | Valeur par défaut | Description |
|---|---|---|
| AccessAddress | non défini |
Spécifie l'adresse réseau (IPv4 ou IPv6) utilisée par les clients afin d'accéder aux serveurs avec plusieurs interfaces ou derrière une traduction d'adresses réseau de destination (DNAT). Si vous définissez sftd AccessAddress sur DNS FQDN, un message s'affichera sur la console pour vous avertir que la clé d'hôte de l'adresse IP a été ajoutée de manière définitive à la liste des hôtes connus. Consultez cet article de la base de connaissances pour plus d'informations. |
| AccessInterface | non défini | Spécifie l'interface utilisée par les clients afin de négocier les connexions à l'hôte. Nécessaire uniquement pour des hôtes disposant d'une adresse IP publique spécifique associée à une interface connue. Exemple : AccessInterface: eth0 |
| AltNames | non défini |
Spécifie une liste de noms d'hôte de serveur possibles. Ces noms peuvent servir de cible pour sft ssh.
Exemple : AltNames: ["web01", "web01.example.com"] |
| BufferFile | /var/lib/sftd/buffer.db | Spécifie le préfixe du chemin vers les fichiers utilisés pour la mémoire tampon locale de l'agent de serveur. Les noms de fichiers tampons respectifs se composent du préfixe du chemin, suivi d'un point et d'une incrémentation (par exemple, buffer.db.1). Les fichiers tampons sont automatiquement supprimés après synchronisation. |
| CanonicalName | non défini | Spécifie le nom que les clients doivent utiliser lors de leur connexion à cet hôte. Cette option écrase le nom renvoyé par la commande hostname. |
| ForwardProxy | non défini | Spécifie le nom d'hôte et le port d'un proxy de transfert HTTP que l'agent de serveur utilise pour la connectivité réseau sortante vers la plateforme Okta Privileged Access. Il est également possible d'utiliser une variable d'environnement HTTPS_PROXY pour configurer ce proxy.
Exemple : ForwardProxy : myproxydomain.com:8080 |
| ServerFile | /var/lib/sftd/device.server | Spécifie le chemin vers un fichier utilisé pour stocker l'URL du serveur avec lequel il se connecte. |
| SSHDConfigFile | /etc/ssh/sshd_config | Spécifie le chemin d'accès au fichier de configuration sshd.
Remarque : L'agent de serveur modifiera ce fichier. |
|
SSHDPort |
non défini |
Spécifie un port à utiliser lors de la négociation de connexions SSH. Cette option est nécessaire uniquement lorsque le port par défaut (22) n'est pas utilisé. Cette option indique au client sft (ScaleFT Client-Tools) comment se connecter à l'agent sft (ScaleFT Server-Tools). Vous devez également modifier le fichier sshd_config sur le serveur de l'agent de serveur pour qu'il écoute sur le port spécifié. |
| TokenFile | /var/lib/sftd/device.token | Spécifie le chemin vers un fichier utilisé pour stocker le jeton d'authentification secret pour Okta Privileged Access. |
|
TrustedUserCAKeysFile |
/var/lib/sftd/ssh_ca.pub | Spécifie le chemin d'accès vers un fichier utilisé par l'agent de serveur pour stocker une liste d'autorités de certification SSH fiables. |
Options de courtier d'accès
L'agent de serveur Okta Privileged Access exécute automatiquement un processus de courtage d'accès. Le courtier d'accès authentifie les clients à l'aide de certificats générés par la plateforme de Okta Privileged Access.
Sur les serveurs Windows, le courtier d'accès est également responsable de l'établissement de connexions proxy RDP. Consultez la section Windows Internals.
|
Option |
Valeur par défaut |
Description |
|---|---|---|
| BrokerAccessPort | 4421 | Spécifie un port utilisé par les clients afin d'accéder au courtier d'accès. |
| BrokerListenHost | non défini | Spécifie l'adresse réseau (IPv4 ou IPv6) utilisée par le courtier d'accès pour écouter les connexions. Par défaut, le courtier d'accès écoute les connexions sur chaque interface disponible. |
| BrokerListenPort | 4421 | Spécifie un port utilisé par le courtier d'accès pour écouter les connexions. |
| DisableBroker | non défini | Contrôle le statut des opérations du courtier d'accès. Définissez la valeur sur True afin de restreindre l'exécution du courtier d'accès sur le serveur.
Remarque : Nous ne recommandons pas de désactiver le courtier d'accès sous Windows. Consultez la section Windows Internals. |
Option de contrôleur de domaine
|
Option |
Valeur par défaut |
Description |
|---|---|---|
| Gestiondescomptes |
- |
Cette option vous permet de contrôler explicitement les fonctionnalités de gestion de compte, en remplaçant les valeurs par défaut déterminées par l'agent. Vous pouvez utiliser les valeurs suivantes pour chaque paramètre : deny, autoou allow. Si réglé sur auto, le système bloque automatiquement l'Okta Sign-in Widget s'il détecte un contrôleur de domaine. Pour changer cela, définissez la valeur sur allow. |
| ComptePersistant | Auto |
Détermine si vous pouvez créer ou synchroniser des objets utilisateur persistants depuis la plateforme Okta Privileged Access. Avant de désactiver le paramètre dans l'agent, désactivez d'abord Cycle de vie des comptes dans le tableau de bord Okta Privileged Access. Cela permet à l'agent de nettoyer tous les comptes persistants existants. Voir Configurer les paramètres du projet |
|
CompteJIT |
Auto |
Détermine si des comptes utilisateur juste-à-temps (Just-In-Time, JIT) peuvent être créés. |
|
AppartenanceGroupeJIT |
Auto | Contrôle la manière dont Okta attribue les comptes AD gérés par Okta Privileged Access ou les comptes utilisateur Okta gérés par Okta Privileged Access aux administrateurs ou aux groupes d'utilisateurs de bureau à distance en fonction des politiques de sécurité définies. |
Libellés personnalisées
Les libellés personnalisées peuvent avoir une incidence sur l'accessibilité au serveur. Un utilisateur ayant accès aux fichiers de configuration du serveur peut modifier les fichiers. Le serveur devient alors accessible ou inaccessible selon les libellés choisies. Okta recommande d'utiliser les libellés personnalisées avec prudence.
Les libellés permettent aux équipes de définir des paires clé:valeur utilisées pour contrôler l'accès au serveur par des groupes spécifiques. Les libellés sont au format clé:valeur afin de permettre aux équipes de définir le schéma qui leur convient. Ajoutez des libellés dans le fichier de configuration du serveur afin de configurer et de catégoriser les serveurs. Ces libellés sont utilisées dans la console Okta Privileged Access pour sélectionner des serveurs spécifiques pour l'accès. Voir Politique de sécurité.
Vous devez mettre en retrait les paires de clés au sein d'un dictionnaire Label YAML en utilisant deux espaces :
Labels: label_1: value_1 label_2: value_2
Libellés générées par le système
Lorsque vous ajoutez un serveur à Okta Privileged Access, plusieurs libellés générées par le système sont créées en fonction de caractéristiques telles que le nom d'hôte, le type de serveur, le système d'exploitation, AWS, Azure ou l'ID de compte Google Cloud Platform (GCP).
Voici la liste des libellés générées par le système.
|
Libellé |
Description |
|---|---|
| system.hostname | Nom d'hôte du serveur |
| system.canonical_name | Alias du serveur utilisé par les clients pour se connecter au serveur. Consultez Options de connexion. |
| system.os | Version du système d'exploitation du serveur, telle que CentOS 6 ou Debian 9.13. |
| system.os_type |
Famille de systèmes d'exploitation du serveur. Les valeurs valides sont Linux et Windows. |
|
system.cloud_provider |
Fournisseur cloud du serveur. Les valeurs valides sont aws pour AWS, gce pour GCP, azure pour Azure. |
|
system.aws_account_id |
ID de compte du serveur AWS |
|
system.aws_availability_zone |
Zone de disponibilité spécifique (AZ) du serveur AWS |
|
system.gcp_project_id |
ID de projet du serveur GCP |
|
system.azure_location |
Région spécifique du serveur Azure |
Variables d'environnement
Au démarrage, l'agent de serveur lit les variables suivantes :
SFT_DEBUG : imprime un débogage supplémentaire vers stderr lorsque cette option est définie.