クライアントのSSH構成をカスタマイズする

Okta Privileged Accessでは、Okta Privileged Accessとそのチームの両方に対してSSHカスタマイズオプションを使用できます。ユーザーは、SSH接続を試行する際のクライアントの応答方法を調整でき、管理者は、接続を開始するクライアントに対するサーバーの応答方法をカスタマイズできます。ScaleFTクライアントがインストールされていることを事前に確認し、sft ssh-configコマンドを実行します。

クライアントのカスタマイズ

Okta Privileged AccessクライアントとSSH構成に応じて、構成ファイルは次のように表示されます。

# To use ScaleFT proxycommand, add this configuration block to your $HOME/.ssh/config
Match exec "/usr/local/bin/sft resolve -q  %h"
ProxyCommand "/usr/local/bin/sft" proxycommand  %h
UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"

注:

パスはmacOSの観点で提供されており、フォルダーパスの例として/Users/Admin/が使用されています。マシンによってはパスが異なる場合もあります。

カスタマイズの例

sft resolveから-qを削除する

-qは、清音を意味するオプションです。ターゲットサーバーへの接続中に生じるエラーや問題がユーザーに表示されず、クライアントからの反応も生じないことを意味します。これには、ログインしていない場合のシナリオも含まれます。このようなイベントでは、SSHコマンドはホストの検出に失敗し、Okta Privileged Access内のホストインベントリに対するアクセスは認可されません。構成ファイルのMatch exec行から-qオプションを削除すると、クライアントはSSH試行の失敗後にブラウザーサインインリクエストをプラットフォームに送信します。
カスタムMatchディレクティブ

Matchディレクティブをカスタマイズすると、ユーザーはチーム内の各サーバーにおける特定のクライアントの動作を制御できるようになります。カスタマイズしたMatchディレクティブを使用することで、潜在的なターゲットサーバーを特定し、その他のカスタマイズオプション（-qの削除など）を取り入れて特定サーバーへの接続試行時にクライアントを動作させることができます。

たとえば、構成ファイルにこのMatchブロックを追加できます。
```
Match Host *ubu* "/usr/local/bin/sft resolve -q  %h"
 ProxyCommand "/usr/local/bin/sft" proxycommand  %h
 UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"
```
これにより、「ubu」という文字列を含む名前のサーバーへの接続試行が、Matchブロックのみに記載されたルールに従うというシナリオが作成されます。
経由する要塞を特定する

要塞の構成にエージェント構成ファイルsftd.yamlを使用する代わりに、SSH接続の試行時に経由する必要がある、クライアント固有の要塞に対して動的に指示を与えることができます。これには--viaコマンドを使用し、次に示すように、ユーザーの構成ファイルのProxyCommand行にこのコマンドを追加します。

ProxyCommand "/usr/local/bin/sft" proxycommand --via <bastion> %h

注:
<bastion>は、特定のBastion（踏み台）名に置き換えます。