Linuxでのユーザー管理

次のセクションでは、アドバンストサーバーアクセスがLinuxサーバー上のユーザーを管理する方法を示します。

Usernames(ユーザー名)

デフォルトにより、アドバンストサーバーアクセスは最も制約的なLinux命名規則に従うサーバーユーザー名を作成します。ユーザー名には、小文字(a-z)、数字(0-9)、ダッシュ(-)、アンダースコア(_)を含めることができ、予約名は使用できず、最大長32文字に制限されます。ユーザー名の競合が発生した場合、サーバーのユーザー名に番号を追加することで、ユーザーを区別しようとします。

サーバーアカウントの許可

サーバーアカウントの許可はグループレベルで管理されます。ユーザーがプロジェクトの複数のグループに属している場合、ユーザーはグループに付与されたすべての権限の組み合わせを持ちます。「チームの役割」をご覧ください。

サーバーエージェントは、sudoers.d drop-in構成ファイルを通じてメンバーにパスワードなしのsudo権限を付与します。ユーザーがプロジェクトの管理者権限を持っている場合、sft-adminグループに追加され、それによってsudoを使用する権限が付与されます。

ユーザーを作成する

ユーザーは、useraddおよびgroupmodなどの標準ツールを使用して、Linux上で作成され構成されます。

ユーザーおよびグループを更新する

usermodgroupaddgroupmodなどの標準ツールは、ユーザーとグループの更新を管理するのに使用します。

ユーザを削除する

ユーザーはuserdelで削除されます。

承認済みのメインファイル

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

Okta PolicySyncはOpenSSH daemon (sshd) AuthorizedPrincipalsFile構成オプションを使用します。sshd_configを参照して、AuthorizedPrincipalsFileの詳細をご覧ください。

PolicySyncが有効になると、アドバンストサーバーアクセスのサーバーエージェントは各ユーザーのhomeディレクトリにファイル.asa_authorized_principalsを作成します。場所はユーザーがアクセスできる各サーバー上です。このファイルが作成される場所は、アドバンストサーバーアクセスのサーバーエージェントのsftd.yaml構成ファイルにあるAuthorizedPrincipalsFileオプションを設定して変更できます。 場所を構成するには、サポートされているユーザーごとのトークンのひとつを使用する必要があります。

  • %h:これはユーザーのhomeディレクトリパスに拡張されます。
  • %u:これはユーザーのユーザー名に拡張されます。
  • %U:これはユーザーのUIDに拡張されます。

例えば、アドバンストサーバーアクセスで認証済みのメインファイルをユーザーのhomeディレクトリに作成するよう構成するには、以下をサーバーのsftd.yaml構成ファイルに追加します。

AuthorizedPrincipalsFile: "%h/.asa_authorized_principals"

アドバンストサーバーアクセスのサーバーエージェントはまた、サーバーのsshd_configファイルを sftd.yamlで定義されたAuthorizedPrincipalsFile指令で更新します。

注

アドバンストサーバーアクセスのサーバーエージェントsftdsshd_configを変更しますが、手動変更または自動変更を問わず、変更しないことを推奨します。sshd_configの内容を変更すると、構成が非対応になったり破損したりする可能性があります。

関連項目

ユーザー管理