クライアント用にSSH構成をカスタマイズする

Okta Privileged Accessでは、Okta Privileged Accessとそのチームの両方に対してSSHカスタマイズオプションを使用できます。ユーザーは、SSH接続を試行する際のクライアントの応答方法を調整でき、管理者は、接続を開始するクライアントに対するサーバーの応答方法をカスタマイズできます。ScaleFTクライアントがインストールされていることを事前に確認し、sft ssh-configコマンドを実行します。

クライアントのカスタマイズ

Okta Privileged AccessクライアントとSSH構成に応じて、構成ファイルは次のように表示されます。

# To use ScaleFT proxycommand, add this configuration block to your $HOME/.ssh/config
Match exec "/usr/local/bin/sft resolve -q  %h"
ProxyCommand "/usr/local/bin/sft" proxycommand  %h
UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"

パスは、macOSの観点で提供されます。たとえば、フォルダーパスであれば/Users/Admin/が使用されます。パスは使用するマシンによって異なる場合があります。

カスタマイズの例

  • sft resolveから-qを削除する

    -qは、清音を意味するオプションです。ターゲットサーバーへの接続中に生じるエラーや問題がユーザーに表示されず、クライアントからの反応も生じないことを意味します。これには、ログインしていない場合のシナリオも含まれます。このようなイベントでは、SSHコマンドはホストの検出に失敗し、Okta Privileged Access内のホストインベントリに対するアクセスは承認されません。構成ファイルのMatch exec行から-qオプションを削除すると、クライアントはSSH試行の失敗後にブラウザーサインインリクエストをプラットフォームに送信します。

  • Matchディレクティブをカスタマイズする

    Matchディレクティブをカスタマイズすることで、チーム内の各サーバーの特定クライアントの動作を制御できます。カスタマイズしたMatchディレクティブを使用することで、潜在的なターゲットサーバーを特定し、その他のカスタマイズオプション(-qの削除など)を取り入れて特定サーバーへの接続試行時にクライアントを動作させることができます。

    たとえば、構成ファイルに次のMatchブロックを追加できます。

    Match Host *ubu* "/usr/local/bin/sft resolve -q  %h"
     ProxyCommand "/usr/local/bin/sft" proxycommand  %h
     UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"

    これにより、名前に「ubu」という文字列が含まれるサーバーに対する接続試行が、Matchブロックにのみ記載されたルールに従うというシナリオが作成されます。

  • 経由する要塞を特定する

    要塞の構成にエージェント構成ファイルsftd.yamlを使用する代わりに、SSH接続の試行時に経由する必要がある、クライアント固有の要塞に対して動的に指示を与えることができます。実行には--viaコマンドが使用されます。次に示すように、このコマンドは構成ファイルのProxyCommand行に追加できます。

    ProxyCommand "/usr/local/bin/sft" proxycommand --via <bastion> %h

    <bastion>は、特定のBastion (踏み台)名に置き換えます。