Configurer les propriétés
Il est possible de remplacer les propriétés par défaut de l'agent RADIUS en fonction de vos besoins.
Les modifications apportées à config.properties sur l'agent RADIUS ne seront chargées qu'au redémarrage de l'agent. Redémarrez toujours votre agent après avoir modifié config.properties.
Les propriétés de l'agent RADIUS sont stockées dans config.properties et additional-config.properties. Effectuez une sauvegarde de ces fichiers avant de modifier toute propriété de l'agent.
- Ouvrez
/opt/okta/ragent/user/config/radius/config.properties. - Configurez les propriétés en fonction de vos besoins.
Propriété Description Par défaut ragent.num_max_http_connection Le nombre maximal de connexions HTTP dans la réserve de connexions. 20* ragent.num_request_threads Le nombre de threads de travail liés à l'authentification disponibles pour le traitement des requêtes. 15* ragent.total.request.timeout.millisecond La durée maximale pendant laquelle l'agent RADIUS est autorisé à traiter un paquet UDP après son arrivée en provenance du client RADIUS. Pour le facteur Okta Verify with Push, RADIUS agent interprète la valeur effective comme la moitié (1/2) de la valeur configurée.
Par exemple : 60 000 = 60 secondes, divisées par deux = 30 secondes.
Pour tous les autres facteurs, la valeur est utilisée comme indiqué.
60 000 ragent.request.timeout.millisecond La durée maximale pendant laquelle RADIUS agent est autorisé à traiter un paquet UDP après son arrivée en provenance du client RADIUS. Si précisé, ragent.total.request.timeout.millisecond est ignoré.
À défaut de précision, ragent.total.request.timeout.millisecond est utilisé par défaut.
Disponible depuis la version 2.9.4.
En l'absence d'indication, la valeur par défaut sera celle indiquée par ragent.total.request.timeout.millisecond. ragent.okta.request.max.timeout.millisecond Le délai d'expiration du socket à définir dans le cadre de la requête API Okta. Cette propriété ne s'applique que si elle est configurée. Autrement, elle est calculée dynamiquement en fonction du paramètre de délai d'expiration complet de la requête. Dynamique, en fonction de la durée de vie restante de la requête. ragent.request.timeout.response.mode Le mode de réponse du délai d'expiration. Les valeurs possibles sont : - SEND_REJECT_ALWAYS : l'agent envoie un message de rejet au client après le délai d'expiration.
- SEND_REJECT_ON_POLL_MFA : l'agent envoie un message de rejet au client si un délai d'expiration est dépassé au cours d'une boucle de scrutation de MFA uniquement (c'est-à-dire, lorsque l'agent interroge Okta pour déterminer si l'utilisateur a correctement répondu au défi de MFA, p. ex., une notification Push). Le client ne recevra pas de réponse si le délai d'expiration est dépassé à un autre moment.
- NO_RESPONSE : aucune réponse ne sera envoyée au client lorsque l'agent aura expiré.
SEND_REJECT_ON_POLL_MFA ragent.mfa.timeout.seconds La durée (en secondes) pendant laquelle l'agent attendra que le client réponde au défi de MFA (p. ex., : le choix d'un facteur). 60 * Si le message : « La file d'attente des requêtes est complète » apparaît dans vos journaux, alors l'agent du serveur RADIUS rejette les tentatives de connexion, car le nombre maximal de threads et de connexions pouvant être traités a été atteint. Consultez La file d'attente des requêtes est complète.
Remarque :Lorsque vous utilisez RADIUS agent avec un VPN tel que le VPN ASA Cisco, les valeurs de délai d'expiration suivantes doivent être configurées sur RADIUS agent et dans les paramètres du VPN :
RADIUS agent version 2.9.3 et versions précédentes, sans Okta Verify Push. ragent.total.request.timeout.millisecond = nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives RADIUS agent version 2.9.3 avec Okta Verify Push. ragent.total.request.timeout.millisecond = 2* (nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives) RADIUS agent version 2.9.4 et versions ultérieures. ragent.request.timeout.millisecond = nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives Remarque :
- le nombre de tentatives du VPN doit être compris entre 3 et 5.
- Le délai d'expiration du VPN doit être compris entre 15 et 60 secondes (entre 60 et 120 secondes avec Okta Verify Push).
Par exemple :
- tentatives du VPN = 5
- Délai d'expiration du VPN = 60 secondes
- Attente du VPN entre les tentatives = 5 secondes
Dans ce cas, le délai d'authentification du VPN = 5* (60 + 5) + 5 = 320 secondes ou 320 000 ms
RADIUS agent version 2.9.3 et versions précédentes avec Okta Verify Push : ragent.total.request.timeout.millisecond = 320 000.
RADIUS agent version 2.9.4 et versions ultérieures : ragent.request.timeout.millisecond = 320 000.
Les propriétés suivantes s'appliquent uniquement à la configuration du proxy :
Propriété Description Par défaut ragent.proxy.enabled Indique si l'agent RADIUS doit utiliser un proxy. Définissez la valeur sur True. Par exemple, ragent.proxy.enabled = trueNon présent. Ajoutez cette propriété à config.properties. ragent.proxy.address L'adresse IP (et le port, le cas échéant) du proxy. Cette propriété doit exister lorsque ragent.proxy.enabled est défini sur true. Par exemple, ragent.proxy.address = 127.0.0.1:8888Non présent. Ajoutez cette propriété à config.properties.
ragent.ssl.pinning Si le proxy met fin à la connexion SSL, désactivez l'épinglage SSL. Par exemple, ragent.ssl.pinning = falsetrue ragent.proxy.user ragent.proxy.password
Les identifiants du proxy, si nécessaire. Chiffrées lors du redémarrage de l'agent. Par exemple, ragent.proxy.user = adminragent.proxy.password = passwordNon présent. Ajoutez cette propriété à config.properties. - Enregistrez le fichier. Toutes les modifications deviendront effectives après le redémarrage du service de l'agent RADIUS Okta, tel que décrit dans la section Gérer l'agent.
Étapes suivantes