Personnaliser les configurations SSH pour les clients

Okta Privileged Access prend en charge la personnalisation SSH à la fois pour les administrateurs Okta Privileged Access et leurs équipes. Les utilisateurs peuvent modifier la manière dont leur client répond aux tentatives de connexions SSH, et les administrateurs peuvent personnaliser la manière dont leurs serveurs répondent aux clients qui établissent des connexions. Avant de commencer, assurez-vous de bien avoir installé le client ScaleFT et exécutez la commande sft ssh-config.

Personnalisation du client

En fonction de votre client Okta Privileged Access et de votre configuration SSH, le contenu de votre fichier de configuration devrait ressembler à ce qui suit :

# To use ScaleFT proxycommand, add this configuration block to your $HOME/.ssh/config
Match exec "/usr/local/bin/sft resolve -q  %h"
ProxyCommand "/usr/local/bin/sft" proxycommand  %h
UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"

Remarque :

Tous les chemins fournis correspondent au système d'exploitation macOS et utilisent /Users/Admin/ comme exemple de chemin d'accès au dossier. Il est possible que les chemins sur votre machine soient différents.

Exemples de personnalisation

Supprimez -q de sft resolve

L'option -q correspond au mode silencieux. Cela signifie que les erreurs ou les problématiques qui se produisent, lors de la connexion aux serveurs cibles, ne seront pas affichées au client et/ou ne provoqueront pas de réaction de la part du client. Cela est également valable lorsque vous êtes hors connexion. Dans de tels événements, la commande SSH ne parvient pas à trouver l'hôte, et vous n'aurez pas l'autorisation d'accès à l'inventaire de l'hôte dans Okta Privileged Access. Supprimer l'option -q de la ligne Match exec dans votre fichier de configuration fait en sorte que le client envoie une requête de connexion via le navigateur à la plateforme après une tentative SSH échouée.
Instructions Match personnalisées

Personnaliser les instructions de Match autorise l'utilisateur à contrôler un comportement client précis pour chaque serveur au sein de ses équipes. Les utilisateurs peuvent utiliser une directive Match personnalisée pour identifier les serveurs cibles potentiels, et incorporer d'autres options de personnalisation (telles que retirer le -q) pour permettre à leur client d'agir lors d'une tentative de connexion à un serveur spécifque.

Voici un exemple de bloc de Match que vous pouvez ajouter à votre fichier de configuration :
```
Match Host *ubu* "/usr/local/bin/sft resolve -q  %h"
 ProxyCommand "/usr/local/bin/sft" proxycommand  %h
 UserKnownHostsFile "/Users/Admin/Library/Application Support/ScaleFT/proxycommand_known_hosts"
```
Cela permet de créer un scénario dans lequel chaque tentative de connexion aux serveurs dont le nom contient les lettres « ubu » suivra les règles listées dans ce bloc Match uniquement.
Identifier des bastions précis pour se connecter

Plutôt que de configurer un bastion à travers le fichier de configuration de l'agentsftd.yaml, vous pouvez déclarer dynamiquement les bastions spécifiques à vos clients, ceux par lesquels il doit passer lors de tentatives de connexions SSH Cette option s'active avec la commande --via, qui peut être ajoutée aux lignes ProxyCommand de votre fichier de configuration de la manière suivante :

ProxyCommand "/usr/local/bin/sft" proxycommand --via <bastion> %h

Remarque :
Remplacez <bastion> par le nom de votre bastion.