Linuxでのユーザー管理

注:

販売終了のお知らせ

2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。

よくある質問を確認して、 Okta Privileged Accessの詳細をご覧ください。

次の表は、Advanced Server AccessがLinuxサーバー上のユーザーを管理する方法を示しています。

領域	注
ユーザー名（Username）	デフォルトでは、Advanced Server Accessは最も制限的なLinux命名規約に従ってサーバーユーザー名を作成します。ユーザー名には、小文字（a-z）、数値（0-9）、ダッシュ（-）、アンダースコア（_）を含めることができ、予約名は使用できず、最大長32文字に制限されます。ユーザー名の競合が発生した場合、サーバーのユーザー名に番号を追加することで、ユーザーの区別が試行されます。
サーバーアカウントの権限	サーバーアカウントの権限はグループレベルで管理されます。ユーザーがプロジェクトの複数のグループに属している場合、ユーザーはグループに付与されたすべての権限の組み合わせを持ちます。チームロールをご覧ください。サーバーエージェントは、sudoers.d drop-in構成ファイルを通じてパスワードなしのsudo権限をメンバーに付与するsft-adminグループを作成します。ユーザーがプロジェクトの管理者権限を持っている場合、sft-adminグループに追加され、それによってsudoを使用する権限が付与されます。
ユーザーの作成	Linuxでは、ユーザーの作成と構成には`useradd`や`groupmod`などの標準ツールが使用されます。
ユーザーとグループの更新	ユーザーとグループの更新の管理には、`usermod`、`groupadd`、`groupmod`などの標準ツールが使用されます。
ユーザーの削除	ユーザーの削除には`userdel`が使用されます。
承認済みのメインファイル	注: この機能は、2023年第1四半期を通じてAdvanced Server Accessのすべてのお客様にロールアウトされます。Advanced Server Accessチームについてこの機能を有効にするために、お客様側で何かする必要はありません。 Okta PolicySyncは、OpenSSHデーモン（sshd）の`AuthorizedPrincipalsFile`構成オプションを使用します。`AuthorizedPrincipalsFile`について詳しくは、「sshd_config」をご覧ください。 PolicySyncが有効になると、Advanced Server Accessサーバーエージェントは、ユーザーがアクセスできる各サーバー上の各ユーザーのhomeディレクトリにファイル`.asa_authorized_principals`を作成します。このファイルが作成される場所は、Advanced Server Accessサーバーエージェントの`sftd.yaml`構成ファイルにある`AuthorizedPrincipalsFile`オプションを設定して変更できます。場所を構成するには、サポートされているユーザーごとのトークンの1つを使用する必要があります。 `%h`：これはユーザーのホームディレクトリパスに拡張されます。 `%u`：これはユーザーのユーザー名に拡張されます。 `%U`：これはユーザーのUIDに拡張されます。たとえば、Advanced Server Accessで認証済みのメインファイルをユーザーのhomeディレクトリに作成するように構成するには、サーバーの`sftd.yaml`構成ファイルに以下を追加します。 `AuthorizedPrincipalsFile: "%h/.asa_authorized_principals"` Advanced Server Accessサーバーエージェントは、`sftd.yaml`に定義されているAuthorizedPrincipalsFile指令によってサーバーの`sshd_config`ファイルも更新します。注: Advanced Server Accessサーバーエージェント`sftd`は、`sshd_config`を変更しますが、これを手動で、または自動化によって変更しないことを強くお勧めします。`sshd_config`の内容を変更すると、構成が非対応になったり破損したりする可能性があります。