Active Directory対応のゲートウェイを構成する

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

AD-Joinedにより、利用可能なサーバーの同期とドメイン内のリモートデスクトッププロトコル (RDP) 接続へ転送するアドバンストサーバーアクセスが可能になります。これには、Active Directory(AD)ドメインと共に使用するゲートウェイのインストールと構成が必要です。セキュリティまたはネットワーク上の理由により、サーバー検出用ゲートウェイとRDP接続用ゲートウェイを別個に作成できると便利な場合があります。

開始する前に

サーバーを同期する

サーバーの検出はAD-Joinedの重要な部分です。これによりアドバンストサーバーアクセスは、特定のADドメインで利用可能なサーバーリストを同期できます。

アドバンストサーバーアクセスの管理者ダッシュボードを通じて接続を作成するときには、ドメイン コントローラーと通信できるゲートウェイを使用する必要があります。接続の作成時にドメイン コントローラーを指定しない場合、ゲートウェイはSRVレコードのルックアップを実行し、通信するLDAPサーバーを特定します。SRVレコードの詳細については、Microsoftのドキュメントを参照してください。

デフォルトでは、すべてのゲートウェイでドメイン内のサーバーを検出可能に設定されているはずです。ゲートウェイはLDAPクエリを使用して、ドメイン内のサーバーを参照します。これらのクエリにより、ゲートウェイはサーバーを既存のアドバンストサーバーアクセスのプロジェクトに割り当てられるようになります。詳しくは、「サーバーの検出」をご参照してください。

詳しくは、「 」を参照してください。

ADドメインへのゲートウェイ接続のトラブルシューティングが必要な場合、--log-level debugコマンドを実行してください。

RDP接続を転送する

AD-Joinedは、既存のADアカウントを使用してWindowsサーバーへのRDP接続を開始する機能を提供します。Oktaは、ADサーバーへの直接アクセスを制限するようにネットワークとゲートウェイを構成することをお勧めします。そうすることで、多要素認証や監査などにアドバンストサーバーアクセスを使用でき、ネットワークのセキュリティが確保されます。追加のネットワークおよびゲートウェイの構成の実行が必要となる場合があります。

ネットワークの構成

アドバンストサーバーアクセスゲートウェイは、ポート7234でクライアントの接続をリッスンします。このポートでゲートウェイに接続できるようにネットワークを構成しなければなりません。

ゲートウェイを通じた接続のプロキシの正確なセットアップは、使用する特定のネットワーク構成によって異なります。ただし、次の2つのオプションが可能です。

  • ポート3389(RDP接続に使用)のトラフィックを、既知の静的IPを持つゲートウェイホストのみに制限するファイアウォールルールを作成します。
  • ターゲットサーバーをプライベートネットワークに追加し、インバウンドアクセスをアドバンストサーバーアクセスゲートウェイのみに制限します。

ゲートウェイの構成

接続をルーティングするようにネットワークを構成してから、RDP接続を転送するようにゲートウェイを構成する必要があります。読み取り可能なディレクトリを構成するか、証明書の検証を無効にしない限り、ゲートウェイはすべてのRDP接続を拒否します。さらに、AD-Joinedを使用したRDP接続用に構成されたゲートウェイは、Ubuntu 20.04を実行しているシステムにインストールする必要があります。

EAのリリース中に、ゲートウェイは同時セッションの最大数を制限します。デフォルトでは接続数20に設定されていますが、ゲートウェイ構成ファイルから変更できます。

詳しくは、「 」を参照してください。

EAリリース中に、RDP接続は、Ubuntu 20.04で実行されているアドバンストサーバーアクセスゲートウェイ経由でのみ転送できます。