Linuxでのユーザー管理
次の表は、アドバンストサーバーアクセスがLinuxサーバー上のユーザーを管理する方法を示しています。
領域 | 注 |
---|---|
ユーザー名 |
デフォルトでは、アドバンストサーバーアクセスは最も制約的なLinux命名規約に従ったサーバーユーザー名を作成します。ユーザー名には、小文字(a-z)、数字(0-9)、ダッシュ(-)、アンダースコア(_)を含めることができ、予約名は使用できず、最大長32文字に制限されます。ユーザー名の競合が発生した場合、サーバーのユーザー名に番号を追加することで、ユーザーの区別が試行されます。 |
サーバーアカウントの許可 |
サーバーアカウントの許可はグループレベルで管理されます。ユーザーがプロジェクトの複数のグループに属している場合、ユーザーはグループに付与されたすべての権限の組み合わせを持ちます。「チームロール」をご覧ください。 サーバーエージェントは、sudoers.d drop-in構成ファイルを通じてパスワードなしのsudo権限をメンバーに付与するsft-adminグループを作成します。ユーザーがプロジェクトの管理者権限を持っている場合、sft-adminグループに追加され、それによってsudoを使用する権限が付与されます。 |
ユーザーの作成 |
Linuxでは、ユーザーの作成と構成にはuseraddやgroupmodなどの標準ツールが使用されます。 |
ユーザーとグループの更新 |
ユーザーとグループの更新の管理には、usermod、groupadd、groupmodなどの標準ツールが使用されます。 |
ユーザーの削除 |
ユーザーの削除にはuserdelが使用されます。 |
承認済みのメインファイル |
この機能は、2023年第1四半期を通じてAdvanced Server Accessのすべてのお客様にロールアウトされます。Advanced Server Accessのチーム向けにこの機能を有効にするために、お客様側で何かする必要はありません。 Okta PolicySyncは、OpenSSHデーモン(sshd)のAuthorizedPrincipalsFile構成オプションを使用します。AuthorizedPrincipalsFileについて詳しくは、「sshd_config」をご覧ください。 PolicySyncが有効になると、アドバンストサーバーアクセスのサーバーエージェントは、ユーザーがアクセスできる各サーバー上の各ユーザーのhomeディレクトリにファイル.asa_authorized_principalsを作成します。このファイルが作成される場所は、アドバンストサーバーアクセスのサーバーエージェントのsftd.yaml構成ファイルにあるAuthorizedPrincipalsFileオプションを設定して変更できます。 場所を構成するには、サポートされているユーザーごとのトークンのひとつを使用する必要があります。
例えば、アドバンストサーバーアクセスで認証済みのメインファイルをユーザーのhomeディレクトリに作成するように構成するには、サーバーのsftd.yaml構成ファイルに以下を追加します。 AuthorizedPrincipalsFile: "%h/.asa_authorized_principals" アドバンストサーバーアクセスのサーバーエージェントは、sftd.yamlに定義されているAuthorizedPrincipalsFile指令によってサーバーのsshd_configファイルも更新します。 ![]() アドバンストサーバーアクセスのサーバーエージェントsftdは、sshd_configを変更しますが、これを手動で、または自動化によって変更しないことを強くお勧めします。sshd_configの内容を変更すると、構成が非対応になったり破損したりする可能性があります。 |