Linuxでのユーザー管理

次の表は、アドバンストサーバーアクセスがLinuxサーバー上のユーザーを管理する方法を示しています。

領域
ユーザー名

デフォルトでは、アドバンストサーバーアクセスは最も制約的なLinux命名規約に従ったサーバーユーザー名を作成します。ユーザー名には、小文字(a-z)、数字(0-9)、ダッシュ(-)、アンダースコア(_)を含めることができ、予約名は使用できず、最大長32文字に制限されます。ユーザー名の競合が発生した場合、サーバーのユーザー名に番号を追加することで、ユーザーの区別が試行されます。
サーバーアカウントの許可

サーバーアカウントの許可はグループレベルで管理されます。ユーザーがプロジェクトの複数のグループに属している場合、ユーザーはグループに付与されたすべての権限の組み合わせを持ちます。「チームロール」をご覧ください。

サーバーエージェントは、sudoers.d drop-in構成ファイルを通じてパスワードなしのsudo権限をメンバーに付与するsft-adminグループを作成します。ユーザーがプロジェクトの管理者権限を持っている場合、sft-adminグループに追加され、それによってsudoを使用する権限が付与されます。
ユーザーの作成

Linuxでは、ユーザーの作成と構成にはuseraddgroupmodなどの標準ツールが使用されます。
ユーザーとグループの更新

ユーザーとグループの更新の管理には、usermodgroupaddgroupmodなどの標準ツールが使用されます。
ユーザーの削除

ユーザーの削除にはuserdelが使用されます。
承認済みのメインファイル

この機能は、2023年第1四半期を通じてAdvanced Server Accessのすべてのお客様にロールアウトされます。Advanced Server Accessのチーム向けにこの機能を有効にするために、お客様側で何かする必要はありません。

Okta PolicySyncは、OpenSSHデーモン(sshd)のAuthorizedPrincipalsFile構成オプションを使用します。AuthorizedPrincipalsFileについて詳しくは、「sshd_config」をご覧ください。

PolicySyncが有効になると、アドバンストサーバーアクセスのサーバーエージェントは、ユーザーがアクセスできる各サーバー上の各ユーザーのhomeディレクトリにファイル.asa_authorized_principalsを作成します。このファイルが作成される場所は、アドバンストサーバーアクセスのサーバーエージェントのsftd.yaml構成ファイルにあるAuthorizedPrincipalsFileオプションを設定して変更できます。 場所を構成するには、サポートされているユーザーごとのトークンのひとつを使用する必要があります。

  • %h:これはユーザーのhomeディレクトリパスに拡張されます。
  • %u:これはユーザーのユーザー名に拡張されます。
  • %U:これはユーザーのUIDに拡張されます。

例えば、アドバンストサーバーアクセスで認証済みのメインファイルをユーザーのhomeディレクトリに作成するように構成するには、サーバーのsftd.yaml構成ファイルに以下を追加します。

AuthorizedPrincipalsFile: "%h/.asa_authorized_principals"

アドバンストサーバーアクセスのサーバーエージェントは、sftd.yamlに定義されているAuthorizedPrincipalsFile指令によってサーバーのsshd_configファイルも更新します。

注

アドバンストサーバーアクセスのサーバーエージェントsftdは、sshd_configを変更しますが、これを手動で、または自動化によって変更しないことを強くお勧めします。sshd_configの内容を変更すると、構成が非対応になったり破損したりする可能性があります。