AD参加にAdvanced Server Accessゲートウェイを構成する
注:
販売終了のお知らせ
2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。
Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。
チームは、利用できるサーバーを検出してRDP(リモートデスクトッププロトコル)接続をActive Directory(AD)ドメインに転送するようにAdvanced Server Accessゲートウェイを構成できます。
ネットワークとゲートウェイの構成により、ADドメイン内のサーバーへの直接接続を制限することをお勧めします。Oktaこれにより、ネットワークのセキュリティを損なうことなく、Advanced Server Accessを認証や監査などに利用できます。ネットワークとゲートウェイの構成が必要になる場合があります。サーバー検出とRDP接続には個別のゲートウェイを使用することをお勧めします。
要件
- Ubuntu 20.04、22.04、またはRHEL 8が稼働するデバイスにゲートウェイをインストールします。「ScaleFTゲートウェイをUbuntu/Debianにインストールする」をご覧ください。
- ゲートウェイのバージョンを1.59.0以上に更新します。
このタスクを開始する
- 認証証明書を作成します。ScaleFTゲートウェイで使用する証明書を作成します。
- 証明書をゲートウェイに移動します。
- ゲートウェイのLDAPオプションを構成します。「LDAPオプション」をご覧ください。
- ゲートウェイのRDPオプションを構成します。「RDPオプション」をご覧ください。
- 任意のターゲットADドメインのDNS名解決を確認します。考えられるオプション:
- クラウドDNS転送ルールを作成します。
- ADドメインコントローラーをDNSサーバーとして
resolv.confまたはresolvconfに追加します。ゲートウェイとDNSサーバーの間で53番ポートが開いている必要があります。- ターミナルから次のコマンドを実行してresolvconfをインストールします:
sudo apt install resolvconf - 次のコマンドを実行してresolvconfサービスを有効化します:
sudo systemctl enable --now resolvconf.service - ドメインコントローラーのネームサーバーのIPアドレスを
/etc/resolvconf/resolv.conf.d/headファイルに追加します。 - 次のコマンドを実行してresolvconfのサブスクライバーを更新します:
sudo resolvconf -u
- ターミナルから次のコマンドを実行してresolvconfをインストールします:
- クライアントがネットワーク経由でゲートウェイにアクセスできることを確認します。接続オプションを参照してください。
- ゲートウェイ経由のプロキシ接続を許可するようにネットワークを構成します。考えられるオプション:
- RDPトラフィック(3389番ポート)を既知の静的IPを持つゲートウェイホストのみに制限するファイアウォールルールを作成します。
- ターゲットサーバーをプライベートネットワークに追加し、インバウンドアクセスをAdvanced Server Accessゲートウェイのみに制限します。