Okta Privileged Access サーバーエージェントを構成する
このトピックでは、Okta Privileged Accessサーバーエージェントを構成する方法について説明します。
コマンドラインオプション
- --conf:代替構成ファイルのパスを指定します。
- --debug-device-info:検出されたデバイス情報をstderr(標準エラー)に出力して終了します。
- -h、--help:ヘルプを表示します。
- -v、--version:バージョンを表示します。
- --syslog:syslogによるログ記録を強制します。
構成ファイル
Okta Privileged Access のサーバーエージェントは、構成ファイルを手動で作成することで制御できます。構成ファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
-
Linux:/etc/sft/sftd.yaml
- Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml
構成ファイルが作成されていない、または利用できない場合は、サーバーエージェントは次のデフォルト値を使用します。
構成ファイルへの変更を有効にするには、サーバーエージェントを再起動します。
登録オプション
オプション | デフォルト値 | 説明 |
---|---|---|
AutoEnroll | True | サーバーエージェントが初回起動時に自動的に登録を試みるように強制します。 |
EnrollmentTokenFile | Linux:/var/lib/sftd/enrollment.token Windows: |
登録トークンが含まれる別のファイルへのパスを指定します。デフォルトの値は、サーバーエージェントを実行するオペレーティングシステムによって異なります。サーバーの登録後、サーバーエージェントはこのトークンファイルを削除します。
このオプションを使用する場合、トークンファイルを手動で作成し、それをOkta Privileged Accessプラットフォームに追加する必要があります。「サーバー登録」を参照してください。 |
InitialURL | unset |
AutoEnrollがTrueに設定されている場合、このオプションはサーバーの自動登録に使用されるURLを指定します。EnrollmentTokenFileオプションも設定されている場合、このオプションは無視されます。
注:このオプションは、Okta Privileged Accessのインスタンスでホストされていないレガシーインストールのみで使用されます。 |
ログオプション
ログファイルの場所は、サーバーエージェントを実行しているオペレーティングシステムによって異なります。
- Linux:利用可能な場合、sftdはシステムロガーを使用します
- Windows:C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが維持されます。
オプション | デフォルト値 | 説明 |
---|---|---|
LogLevel | INFO | ログの詳細度を制御します。 有効な値:
|
接続オプション
オプション | デフォルト値 | 説明 |
---|---|---|
AccessAddress | unset |
クライアントが複数のインターフェイスを持つサーバーやDNATの背後にあるサーバーへのアクセスに使用するネットワークアドレス(IPv4またはIPv6)を指定します。 sftd AccessAddressをDNS FQDNに設定すると、IPアドレスのホストキーが既知ホストのリストに恒久的に追加されたという警告メッセージがコンソールに表示されます。詳細については、KB記事を参照してください。 |
AccessInterface | unset | クライアントがホストとの接続のネゴシエーションに使用するインターフェイスを指定します。既知のインターフェイスに関連付けられている特定のパブリックIPアドレスを持つホストのみに必要です。 例: AccessInterface: eth0 |
AltNames | unset |
代替サーバーのホスト名のリストを指定します。これらの名前はsft sshのターゲットとして使用できます。
例: AltNames: ["web01", "web01.example.com"] |
Bastion | unset | このサーバーへの接続時にクライアントによって自動的に使用されるBastion(踏み台)ホストを指定します。 |
BufferFile | /var/lib/sftd/buffer.db | サーバーエージェントのローカルバッファストアに使用されるファイルへのパスのプレフィックスを指定します。個別のバッファファイル名は、パスプレフィックスと、それに続くピリオド・増分番号で構成されます(例:buffer.db.1)。同期された後、バッファファイルは自動的に削除されます。 |
CanonicalName | unset | このホストに接続する際にクライアントが使用する名前を指定します。このオプションはhostnameコマンドで返される名前をオーバーライドします。 |
ForwardProxy | unset | サーバーエージェントがOkta Privileged Accessのプラットフォームとのアウトバウンドネットワーク接続に使用するHTTP CONNECTプロクシへのURLを指定します。HTTPS_PROXY環境変数を使ってこのプロキシを設定する方法もあります。
例: ForwardProxy: https://myproxydomain.com:8080 |
ServerFile | /var/lib/sftd/device.server | 接続するサーバーのURLを保存するためのファイルへのパスを指定します。 |
SSHDConfigFile | /etc/ssh/sshd_config | sshd構成ファイルへのパスを指定します。
注:このファイルはサーバーエージェントによって変更されます。 |
SSHDPort |
unset |
SSH接続のネゴシエーションに使用するポートを指定します。このオプションは、デフォルトポート (22) を使用しない場合にのみ必要となります。このオプションは、sftdエージェント(ScaleFT Server Tools)への接続方法をsftクライアント(ScaleFT Client Tools)に伝えます。指定のポートでリッスンするには、サーバーエージェントサーバーのsshd_configファイルを修正する必要があります。 |
TokenFile | /var/lib/sftd/device.token | Okta Privileged Accessのシークレット認証トークンの保存に使用するファイルへのパスを指定します。 |
TrustedUserCAKeysFile |
/var/lib/sftd/ssh_ca.pub | サーバーエージェントが信頼できるSSH認証局のリストを保存するファイルへのパスを指定します。 |
アクセスブローカーのオプション
Okta Privileged Accessサーバーエージェントは、自動的にアクセスブローカープロセスを実行します。アクセスブローカーは、Okta Privileged Accessプラットフォームで発行されるクライアント証明書を使ってクライアントを認証します。
Windowsサーバーの場合、アクセスブローカーはRDP接続のプロキシも担当します。「Windows内部」をご覧ください。
オプション |
デフォルト値 |
説明 |
---|---|---|
BrokerAccessPort | 4421 | クライアントがアクセスブローカーへのアクセスに使用するポートを指定します。 |
BrokerListenHost | unset | アクセスブローカーが接続の監視に使用するネットワークアドレス(IPv4 または IPv6)を指定します。デフォルトでは、アクセスブローカーは利用可能なすべてのインターフェイスで接続をリッスンします。 |
BrokerListenPort | 4421 | アクセスブローカーが接続をリッスンするときに使用するポートを指定します。 |
DisableBroker | unset | アクセスブローカーの動作テータスを制御します。サーバー上でのアクセスブローカーの実行を制限するにはTrue に設定します。
注:Windowsでは、アクセスブローカープロセスを無効にすることはお勧めできません。「Windows内部」をご覧ください。 |
カスタムラベル
カスタムラベルはサーバーのアクセシビリティに影響を与える可能性があります。サーバーの構成ファイルにアクセスできるユーザーはファイルを変更できます。これにより、サーバーはユーザーが選択したラベルに基づいてアクセス可能またはアクセス不可能になります。カスタムラベルを使用する際には十分に注意するようお勧めします。
ラベルを使用することで、特定グループへのサーバーアクセスの制御に使用されるキーと値のペアを定義できます。ラベルの書式は「キー:値」であり、ニーズに最適なスキームを定義できます。サーバーを構成および分類するためにサーバー構成ファイルにラベルを追加します。これらのラベルは、アクセスする特定のサーバーを選択するためにOkta Privileged Accessコンソールで使用されます「セキュリティポリシー」を参照してください。
Label YAMLディクショナリでは、これらのオプションを空白文字2つでインデントする必要があります。
Labels: label_1: value_1 label_2: value_2
システム生成ラベル
Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、Google Cloud Platform(GCP)のアカウントIDなどの特性を基に、いくつかのシステム生成ラベルが作成されます。
システム生成ラベルには以下があります。
ラベル |
説明 |
---|---|
system.hostname | サーバーのホスト名です。 |
system.canonical_name | サーバーのエイリアスで、クライアントがサーバーとの接続に使用します。「接続オプション」を参照してください。 |
system.os | CentOS 6やDebian 9.13など、サーバーのOSバージョンです。 |
system.os_type |
サーバーのOSファミリーです。有効な値はlinuxとwindowsです。 |
system.cloud_provider |
サーバーのクラウドプロバイダーです。有効な値は、AWSの場合はaws、GCPの場合はgce、Azureの場合はazureです。 |
system.aws_account_id |
AWSサーバーのアカウントIDです。 |
system.aws_availability_zone |
AWSサーバーのアベイラビリティーゾーン(AZ)です。 |
system.gcp_project_id |
GCPサーバーのプロジェクトIDです。 |
system.azure_location |
Azureサーバーの特定のリージョンです。 |
環境変数
サーバーエージェントは、起動時に以下の変数を参照します。
SFT_DEBUG:設定した場合、追加のデバッグをstderrに出力します。