Linuxでのユーザー管理
次の表は、Advanced Server AccessがLinuxサーバー上のユーザーを管理する方法を示しています。
| 領域 | 注 |
|---|---|
| Username(ユーザー名) |
デフォルトでは、Advanced Server Accessは最も制限的なLinux命名規約に従ってサーバーユーザー名を作成します。ユーザー名には、小文字(a-z)、数字(0-9)、ダッシュ(-)、アンダースコア(_)を含めることができ、予約名は使用できず、最大長32文字に制限されます。ユーザー名の競合が発生した場合、サーバーのユーザー名に番号を追加することで、ユーザーの区別が試行されます。 |
| サーバーアカウントの権限 |
サーバーアカウントの権限はグループレベルで管理されます。ユーザーがプロジェクトの複数のグループに属している場合、ユーザーはグループに付与されたすべての権限の組み合わせを持ちます。「チームロール」をご覧ください。 サーバーエージェントは、sudoers.d drop-in構成ファイルを通じてパスワードなしのsudo権限をメンバーに付与するsft-adminグループを作成します。ユーザーがプロジェクトの管理者権限を持っている場合、sft-adminグループに追加され、それによってsudoを使用する権限が付与されます。 |
| ユーザーの作成 |
Linuxでは、ユーザーの作成と構成にはuseraddやgroupmodなどの標準ツールが使用されます。 |
| ユーザーとグループの更新 |
ユーザーとグループの更新の管理には、usermod、groupadd、groupmodなどの標準ツールが使用されます。 |
| ユーザーの削除 |
ユーザーの削除にはuserdelが使用されます。 |
| 承認済みのメインファイル |
この機能は、2023年第1四半期を通じてAdvanced Server Accessのすべてのお客様にロールアウトされます。Advanced Server Accessのチーム向けにこの機能を有効にするために、お客様側で何かする必要はありません。 Okta PolicySyncは、OpenSSHデーモン(sshd)のAuthorizedPrincipalsFile構成オプションを使用します。AuthorizedPrincipalsFileについて詳しくは、「sshd_config」をご覧ください。 PolicySyncが有効になると、Advanced Server Accessのサーバーエージェントは、ユーザーがアクセスできる各サーバー上の各ユーザーのhomeディレクトリにファイル.asa_authorized_principalsを作成します。このファイルが作成される場所は、Advanced Server Accessのサーバーエージェントのsftd.yaml構成ファイルにあるAuthorizedPrincipalsFileオプションを設定して変更できます。 場所を構成するには、サポートされているユーザーごとのトークンの1つを使用する必要があります。
たとえば、Advanced Server Accessで認証済みのメインファイルをユーザーのhomeディレクトリに作成するように構成するには、サーバーのsftd.yaml構成ファイルに以下を追加します。 AuthorizedPrincipalsFile: "%h/.asa_authorized_principals" Advanced Server Accessのサーバーエージェントは、sftd.yamlに定義されているAuthorizedPrincipalsFile指令によってサーバーのsshd_configファイルも更新します。 
Advanced Server Accessのサーバーエージェントsftdは、sshd_configを変更しますが、これを手動で、または自動化によって変更しないことを強くお勧めします。sshd_configの内容を変更すると、構成が非対応になったり破損したりする可能性があります。 |