Okta Privileged Accessサーバーエージェントを構成する
ここでは、Okta Privileged Accessサーバーエージェントを構成する方法について説明します。
コマンドラインオプション
-
--conf:代替構成ファイルのパスを指定します。 -
--debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。 -
-h、--help:ヘルプを表示します。 -
-v、--version:バージョンを表示します。 -
--syslog:syslogによるログ記録を強制します。
構成ファイル
構成ファイルを手動で作成することで、Okta Privileged Accessサーバーエージェントを制御できます。構成ファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
-
Linux:
/etc/sft/sftd.yaml - Windows:
C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yamlドメインコントローラー(Domain controller):デフォルトでは、Okta Privileged Accessサーバーエージェントは、Active Directoryユーザーを妨げません。デフォルトの動作を上書きするには、ドメインコントローラーのオプションを参照してください。
構成ファイルへの変更を適用にするには、サーバーエージェントを再起動します。
構成ファイルが作成されていない、または利用できない場合は、サーバーエージェントは以下のデフォルト値を使用します。
登録オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
| AutoEnroll | True | サーバーエージェントが初回起動時に自動的に登録を試みるように強制します。 |
| EnrollmentTokenFile | Linux:/var/lib/sftd/enrollment.token Windows: |
登録トークンが含まれる別のファイルへのパスを指定します。デフォルトの値は、サーバーエージェントを実行するオペレーティングシステムによって異なります。サーバーの登録後、サーバーエージェントはこのトークンファイルを削除します。 このオプションを使用する場合、トークンファイルを手動で作成し、それをOkta Privileged Accessに追加する必要があります。サーバー登録をご覧ください。 |
| InitialURL | unset | AutoEnroll がTrueに設定されている場合、このオプションはサーバーの自動登録に使用されるURLを指定します。EnrollmentTokenFileオプションも設定されている場合、このオプションは無視されます。 注:このオプションは、Okta Privileged Accessインスタンスでホストされていないレガシーインストールのみで使用されます。 |
ログオプション
ログファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
- Linux:利用可能な場合、
sftdはシステムロガーを使用します。 - Windows:
C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが維持されます。
| オプション | デフォルト値 | 説明 |
|---|---|---|
| LogLevel | INFO |
ログの詳細度を制御します。 有効な値:
|
接続オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
| AccessAddress | unset | クライアントが複数のインターフェイスを持つサーバーやDNATの背後にあるサーバーへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。 注:
|
| AccessInterface | unset | クライアントがホストとの接続のネゴシエーションに使用するインターフェイスを指定します。既知のインターフェイスに関連付けられている特定のパブリックIPアドレスを持つホストのみに必要です。 例: AccessInterface: eth0 |
| AltNames | unset | 代替サーバーのホスト名のリストを指定します。これらの名前はsft sshのターゲットとして使用できます。 例: AltNames: ["web01", "web01.example.com"] |
| BufferFile | /var/lib/sftd/buffer.db |
サーバーエージェントのローカルバッファストアに使用されるファイルへのパスのプレフィックスを指定します。個別のバッファファイル名は、パスプレフィックスと、それに続くピリオドと増分番号で構成されます(例:buffer.db.1)。同期された後、バッファファイルは自動的に削除されます。 |
| CanonicalName | unset | このホストに接続する際にクライアントが使用する名前を指定します。このオプションはhostnameコマンドで返される名前をオーバーライドします。 |
| ForwardProxy | unset | サーバーエージェントがOkta Privileged Accessプラットフォームへのアウトバウンドネットワーク接続に使用するHTTPフォワードプロキシのホスト名とポートを指定します。HTTPS_PROXY環境変数を使ってこのプロキシを設定する方法もあります。 例: ForwardProxy: myproxydomain.com:8080 |
| ServerFile | /var/lib/sftd/device.server |
接続するサーバーのURLを保存するためのファイルへのパスを指定します。 |
| SSHDConfigFile | /etc/ssh/sshd_config |
sshd構成ファイルへのパスを指定します。 注:このファイルはサーバーエージェントによって変更されます。 |
|
SSHDPort |
unset |
SSH接続のネゴシエーションに使用するポートを指定します。このオプションは、デフォルトポート (22) を使用しない場合にのみ必要となります。このオプションは、sftdエージェント(ScaleFT Server Tools)への接続方法をsftクライアント(ScaleFT Client Tools)に伝えます。指定のポートでリッスンするには、サーバーエージェントサーバーのsshd_configファイルを修正する必要があります。 |
| TokenFile | /var/lib/sftd/device.token |
Okta Privileged Accessのシークレット認証トークンの保存に使用するファイルへのパスを指定します。 |
|
TrustedUserCAKeysFile |
/var/lib/sftd/ssh_ca.pub |
サーバーエージェントが信頼できるSSH認証局のリストを保存するファイルへのパスを指定します。 |
アクセスブローカーのオプション
Okta Privileged Accessサーバーエージェントは、自動的にアクセスブローカープロセスを実行します。アクセスブローカーは、Okta Privileged Accessプラットフォームで発行されるクライアント証明書を使ってクライアントを認証します。
Windowsサーバーの場合、アクセスブローカーはRDP接続のプロキシも担当します。Windows内部をご覧ください。
|
オプション |
デフォルト値 |
説明 |
|---|---|---|
| BrokerAccessPort | 4421 | クライアントがアクセスブローカーへのアクセスに使用するポートを指定します。 |
| BrokerListenHost | unset | アクセスブローカーが接続の監視に使用するネットワークアドレス(IPv4 または IPv6)を指定します。デフォルトでは、アクセスブローカーは利用可能なすべてのインターフェイスで接続をリッスンします。 |
| BrokerListenPort | 4421 | アクセスブローカーが接続をリッスンするときに使用するポートを指定します。 |
| DisableBroker | unset |
アクセスブローカーの動作テータスを制御します。サーバー上でのアクセスブローカーの実行を制限するには 注:
Windowsでは、アクセスブローカープロセスを無効にすることはお勧めできません。Windows内部をご覧ください。 |
| BrokeredLoginGracePeriodInSeconds |
15 |
認証チケットの発行から記録されたOSセッションの開始までの最大許容時間(秒)を指定します。これにより、セッション(SSHやRDPなど)が確立される前にエージェントがユーザーアカウントをプロビジョニングし、グループを割り当てられるまでの遅延が考慮されます。この期間内に開始されたサインインは、最初の認証済みセッションの一部として認識されます。プロビジョニングが遅くなる段階でユーザーにアクセスの問題が生じるときは、この値を大きくします。 |
ドメインコントローラーのオプション
各設定には、deny、auto、またはallowの値を使用できます。autoに設定すると、ドメインコントローラーを検出するとシステムは自動的にアクセスをブロックします。これを変更するには、値をallowに設定します。
|
オプション |
デフォルト値 |
説明 |
|---|---|---|
| AccountManagement |
auto |
このオプションを使用すると、エージェントが決定したデフォルトを上書きして、アカウント管理機能を明示的に制御できます。 |
| PersistentAccount | 自動 | Okta Privileged Accessプラットフォームから、永続ユーザーオブジェクトを作成または同期できるかどうかを制御します。 注意:
エージェントで設定をオフにする前に、まずOkta Privileged Accessダッシュボードでアカウントライフサイクル(Account lifecycle)を無効にします。これにより、エージェントは既存の永続アカウントをクリーンアップできます。プロジェクト設定を構成するを参照してください。 |
| JITAccount | auto | ジャストインタイム(JIT)ユーザーアカウントを作成できるかどうかを制御します。 |
| JITGroupMembership | 自動 | 定義されたセキュリティポリシーに基づいて、OktaがOkta Privileged Access管理対象のADアカウント、またはOkta Privileged Access管理対象のOktaユーザーアカウントを管理者またはリモートデスクトップユーザーグループに割り当てる方法を制御します。 |
カスタムラベル
カスタムラベルはサーバーのアクセシビリティに影響を与える可能性があります。サーバーの構成ファイルにアクセスできるユーザーはファイルを変更できます。これにより、サーバーはユーザーが選択したラベルに基づいてアクセス可能またはアクセス不可能になります。カスタムラベルを使用する際には十分に注意するようお勧めします。
ラベルを使用することで、特定グループへのサーバーアクセスの制御に使用されるkey:valueのペアを定義できます。ラベルの書式はkey:valueであり、ニーズに最適なスキームを定義できます。サーバーを構成および分類するためにサーバー構成ファイルにラベルを追加します。これらのラベルは、アクセスする特定のサーバーを選択するためにOkta Privileged Accessコンソールで使用されますセキュリティポリシーを参照してください。
Label YAMLディクショナリでは、これらのオプションを空白文字2つでインデントする必要があります。
Labels:
label_1: value_1
label_2: value_2システム生成ラベル
Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、Google Cloud Platform(GCP)のアカウントIDなどの特性を基に、いくつかのシステム生成ラベルが作成されます。
システム生成ラベルには以下があります。
|
ラベル |
説明 |
|---|---|
| system.hostname | サーバーのホスト名です。 |
| system.canonical_name | サーバーのエイリアスで、クライアントがサーバーとの接続に使用します。接続オプションをご覧ください。 |
| system.os | CentOS 6やDebian 9.13など、サーバーのOSバージョンです。 |
| system.os_type | サーバーのOSファミリーです。有効な値はlinuxとwindowsです。 |
| system.cloud_provider | サーバーのクラウドプロバイダーです。有効な値は、AWSの場合はaws、GCPの場合はgce、Azureの場合はazureです。 |
| system.aws_account_id | AWSサーバーのアカウントIDです。 |
| system.aws_availability_zone | AWSサーバーのアベイラビリティーゾーン(AZ)です。 |
| system.gcp_project_id | GCPサーバーのプロジェクトIDです。 |
| system.azure_location | Azureサーバーの特定のリージョンです。 |
環境変数
サーバーエージェントは、起動時に以下の変数を参照します。
SFT_DEBUG:設定した場合、追加のデバッグをstderrに出力します。
関連項目