Okta Privileged Access サーバーエージェントを構成する

このトピックでは、Okta Privileged Accessサーバーエージェントを構成する方法について説明します。

コマンドラインオプション

  • --conf:代替構成ファイルのパスを指定します。
  • --debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。
  • -h--help:ヘルプを表示します。
  • -v--version:バージョンを表示します。
  • --syslog:syslogによるログ記録を強制します。

構成ファイル

Okta Privileged Access のサーバーエージェントは、構成ファイルを手動で作成することで制御できます。構成ファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。

  • Linux:/etc/sft/sftd.yaml

  • Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml

構成ファイルが作成されていない、または利用できない場合は、サーバーエージェントは次のデフォルト値を使用します。

構成ファイルへの変更を有効にするには、サーバーエージェントを再起動します。


登録オプション

オプション デフォルト値 説明
AutoEnroll True サーバーエージェントが初回起動時に自動的に登録を試みるように強制します。
EnrollmentTokenFile Linux:/var/lib/sftd/enrollment.token

Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\enrollment.token

登録トークンが含まれる別のファイルへのパスを指定します。デフォルトの値は、サーバーエージェントを実行するオペレーティングシステムによって異なります。サーバーの登録後、サーバーエージェントはこのトークンファイルを削除します。

このオプションを使用する場合、トークンファイルを手動で作成し、それをOkta Privileged Accessプラットフォームに追加する必要があります。「サーバー登録」を参照してください。

InitialURL unset AutoEnrollTrueに設定されている場合、このオプションはサーバーの自動登録に使用されるURLを指定します。EnrollmentTokenFileオプションも設定されている場合、このオプションは無視されます。

注:このオプションは、Okta Privileged Accessのインスタンスでホストされていないレガシーインストールのみで使用されます。

ログオプション

ログファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。

  • Linux:利用可能な場合、sftdはシステムロガーを使用します
  • Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs

ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが維持されます。

オプション デフォルト値 説明
LogLevel INFO ログの詳細度を制御します。

有効な値:

  • warn
  • info
  • debug

接続オプション

オプション デフォルト値 説明
AccessAddress unset

クライアントが複数のインターフェイスを持つサーバーやDNATの背後にあるサーバーへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。

sftd AccessAddressをDNS FQDNに設定すると、IPアドレスのホストキーが既知ホストのリストに恒久的に追加されたという警告メッセージがコンソールに表示されます。詳細については、KB記事を参照してください。

AccessInterface unset クライアントがホストとの接続のネゴシエーションに使用するインターフェイスを指定します。既知のインターフェイスに関連付けられている特定のパブリックIPアドレスを持つホストのみに必要です。

例:

AccessInterface: eth0
AltNames unset 代替サーバーのホスト名のリストを指定します。これらの名前はsft sshのターゲットとして使用できます。

例:

AltNames: ["web01", "web01.example.com"]
Bastion unset このサーバーへの接続時にクライアントによって自動的に使用されるBastion(踏み台)ホストを指定します。
BufferFile /var/lib/sftd/buffer.db サーバーエージェントのローカルバッファストアに使用されるファイルへのパスのプレフィックスを指定します。個別のバッファファイル名は、パスプレフィックスと、それに続くピリオド・増分番号で構成されます(例:buffer.db.1)。同期された後、バッファファイルは自動的に削除されます。
CanonicalName unset このホストに接続する際にクライアントが使用する名前を指定します。このオプションはhostnameコマンドで返される名前をオーバーライドします。
ForwardProxy unset サーバーエージェントがOkta Privileged Accessのプラットフォームとのアウトバウンドネットワーク接続に使用するHTTP CONNECTプロクシへのURLを指定します。HTTPS_PROXY環境変数を使ってこのプロキシを設定する方法もあります。

例:

ForwardProxy: https://myproxydomain.com:8080
ServerFile /var/lib/sftd/device.server 接続するサーバーのURLを保存するためのファイルへのパスを指定します。
SSHDConfigFile /etc/ssh/sshd_config sshd構成ファイルへのパスを指定します。

注:このファイルはサーバーエージェントによって変更されます。

SSHDPort

unset

SSH接続のネゴシエーションに使用するポートを指定します。このオプションは、デフォルトポート (22) を使用しない場合にのみ必要となります。このオプションは、sftdエージェント(ScaleFT Server Tools)への接続方法をsftクライアント(ScaleFT Client Tools)に伝えます。指定のポートでリッスンするには、サーバーエージェントサーバーのsshd_configファイルを修正する必要があります。
TokenFile /var/lib/sftd/device.token Okta Privileged Accessのシークレット認証トークンの保存に使用するファイルへのパスを指定します。

TrustedUserCAKeysFile

/var/lib/sftd/ssh_ca.pub サーバーエージェントが信頼できるSSH認証局のリストを保存するファイルへのパスを指定します。

アクセスブローカーのオプション

Okta Privileged Accessサーバーエージェントは、自動的にアクセスブローカープロセスを実行します。アクセスブローカーは、Okta Privileged Accessプラットフォームで発行されるクライアント証明書を使ってクライアントを認証します。

Windowsサーバーの場合、アクセスブローカーはRDP接続のプロキシも担当します。「Windows内部」をご覧ください。

オプション

デフォルト値

説明

BrokerAccessPort 4421 クライアントがアクセスブローカーへのアクセスに使用するポートを指定します。
BrokerListenHost unset アクセスブローカーが接続の監視に使用するネットワークアドレス(IPv4 または IPv6)を指定します。デフォルトでは、アクセスブローカーは利用可能なすべてのインターフェイスで接続をリッスンします。
BrokerListenPort 4421 アクセスブローカーが接続をリッスンするときに使用するポートを指定します。
DisableBroker unset アクセスブローカーの動作テータスを制御します。サーバー上でのアクセスブローカーの実行を制限するにはTrueに設定します。

注:Windowsでは、アクセスブローカープロセスを無効にすることはお勧めできません。「Windows内部」をご覧ください。

カスタムラベル

カスタムラベルはサーバーのアクセシビリティに影響を与える可能性があります。サーバーの構成ファイルにアクセスできるユーザーはファイルを変更できます。これにより、サーバーはユーザーが選択したラベルに基づいてアクセス可能またはアクセス不可能になります。カスタムラベルを使用する際には十分に注意するようお勧めします。

ラベルを使用することで、特定グループへのサーバーアクセスの制御に使用されるキーと値のペアを定義できます。ラベルの書式は「キー:値」であり、ニーズに最適なスキームを定義できます。サーバーを構成および分類するためにサーバー構成ファイルにラベルを追加します。これらのラベルは、アクセスする特定のサーバーを選択するためにOkta Privileged Accessコンソールで使用されます「セキュリティポリシー」を参照してください。

Label YAMLディクショナリでは、これらのオプションを空白文字2つでインデントする必要があります。

Labels: label_1: value_1 label_2: value_2

システム生成ラベル

Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、Google Cloud Platform(GCP)のアカウントIDなどの特性を基に、いくつかのシステム生成ラベルが作成されます。

システム生成ラベルには以下があります。

ラベル

説明

system.hostname サーバーのホスト名です。
system.canonical_name サーバーのエイリアスで、クライアントがサーバーとの接続に使用します。「接続オプション」を参照してください。
system.os CentOS 6やDebian 9.13など、サーバーのOSバージョンです。
system.os_type

サーバーのOSファミリーです。有効な値はlinuxwindowsです。

system.cloud_provider

サーバーのクラウドプロバイダーです。有効な値は、AWSの場合はaws、GCPの場合はgce、Azureの場合はazureです。

system.aws_account_id

AWSサーバーのアカウントIDです。

system.aws_availability_zone

AWSサーバーのアベイラビリティーゾーン(AZ)です。

system.gcp_project_id

GCPサーバーのプロジェクトIDです。

system.azure_location

Azureサーバーの特定のリージョンです。

環境変数

サーバーエージェントは、起動時に以下の変数を参照します。

SFT_DEBUG:設定した場合、追加のデバッグをstderrに出力します。

関連項目

サーバー登録

要件と制限