AWSにRADIUSエージェントをインストールして構成する
このタスクでは、AWSインスタンスへのRADIUSエージェントのインストールと構成を行います。
はじめに
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
この統合全体をとおしてポート1899を使用します。
RADIUSエージェントをインストールする
インスタンスBと呼ばれるAWSインスタンスで、次の手順を完了する必要があります。
- RADIUSサーバーエージェントをインストールするときは、読み取り専用管理者とアプリ管理者の両方のロール、またはスーパー管理者ロールを持つアカウントにサインインする必要があります。
- 専用のサービスアカウントを使ってRADIUSサーバーエージェントを承認します。これにより、ユーザーが組織を去る際に、RADIUSサーバーエージェントが使用するAPIトークンが、非アクティブ化される可能性のあるユーザーアカウントに関連付けられなくなります。
- RADIUSサーバーエージェントが使用するサービスアカウントには、適切な管理者権限を付与します。管理者権限の一覧表(MFAセクション)を参照してください。
-
管理者ダッシュボードから
を選択します。 -
[Okta RADIUS Server Agent(EXE)(Okta RADIUS Serverエージェント(EXE))]までスクロールし、[Download Latest(最新をダウンロード)]をクリックします。
-
インストーラーを実行します。最初の[Important Information(重要な情報)]画面と[License Information(ライセンス情報)]画面のそれぞれで、[Next(次へ)]をクリックします。
-
Installation folder(インストールフォルダー)の場所を選択し、[Install(インストール)]をクリックします。
-
[Okta RADIUS Agent Proxy Configuration(Okta RADIUSエージェントプロキシー構成)]画面で、オプションでプロキシー情報を入力できます。[Next(次へ)]をクリックします。
-
[Register Okta RADIUS Agent(Okta RADIUSエージェントの登録)]画面で、orgの完全なURL(例:https://mycompany.okta.com)を入力します。Preview orgでテストするために、Okta Preview Sandbox orgのURL(例:https://mycompany.oktapreview.com)を入力できます。
- [Next(次へ)]をクリックして、Oktaの[Sign In(サインイン)]ページに進みます。
- サービス固有のOktaアカウントにサインインします。
- [Allow Access(アクセスを許可)]をクリックします。
- [Finish(終了)]をクリックして、インストールを完了します。
エージェントのインストール時に、エラーコード12:SSL/TLSサービスチャネルの信頼関係を確立できませんでしたが発生した場合、実行しているのがエージェントの最新バージョンか確認してください。古いエージェントのバージョンでは、TLS 1.2がサポートされていません。
- OktaでRADIUSアプリを構成します。これには、RADIUSエージェントポート、共有シークレット、RADIUSの高度な設定が含まれます。RADIUSアプリの構成について詳しくは、「OktaのRADIUSアプリケーション」を参照してください。
追加プロパティーの構成
必要に応じて、以下のプロパティーのデフォルトを上書きできます。
RADIUSエージェントのconfig.propertiesファイルへの変更は、エージェントの再起動時にのみ読み込まれます。config.propertiesを変更した後は、必ずエージェントを再起動してください。
- Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストールフォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
- このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。このファイルのバックアップを作成し、その後テキストエディターで元のファイルを開きます。
- 必要に応じて、以下に示すプロパティを構成します。
- 完了したら、ファイルを保存します。
- 変更は、使用可能なWindows管理ツールを使用してOkta RADIUSエージェントサービスを再起動した後に有効になります。
プロパティ | 説明 | デフォルト |
---|---|---|
ragent.num_max_http_connection | 接続プール内のHTTP接続の最大数。 | 20* |
ragent.num_request_threads | 要求の処理に使用できる認証ワーカースレッドの数。 | 15* |
ragent.total.request.timeout.millisecond |
UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。
Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。 例:60000 = 60秒、半分に分割 = 30秒。 ほかのすべての要因については、値は指定どおりに使用されます。 |
60000 |
ragent.request.timeout.millisecond |
UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。
指定した場合、ragent.total.request.timeout.millisecondは無視されます。 指定しない場合は、デフォルトでragent.total.request.timeout.millisecondが使用されます。
バージョン2.9.4以降で使用できます。 |
N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。 |
ragent.okta.request.max.timeout.millisecond | Okta API要求で設定するソケットタイムアウト。このプロパティは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。 | 動的、要求の残りのTTLに基づく |
ragent.request.timeout.response.mode |
タイムアウト応答モード。取り得る値は次のとおりです。
|
SEND_REJECT_ON_POLL_MFA |
ragent.mfa.timeout.seconds | クライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 | 60 |
*ログに「Request queue is full(リクエストキューがいっぱいです)」が出力された場合、処理できるスレッドと接続の最大数に達したため、RADIUS Server Agentはログイン試行を拒否します。「リクエストキューがいっぱい」を参照してください。
RADIUSエージェントをCisco ASA VPNなどのVPNとともに使用する場合は、RADIUSエージェントとVPNの両方の設定で、次のタイムアウト値を構成する必要があります。
RADIUSエージェント v2.9.3以前、Okta Verify Pushなし | ragent.total.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機 |
RADIUSエージェント v2.9.3、Okta Verify Pushあり | ragent.total.request.timeout.millisecond = 2 * (VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機) |
RADIUSエージェント v 2.9.4以降 | ragent.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機 |
注:
- VPN再試行回数は3〜5にする必要があります。
- VPN要求のタイムアウトは15〜60秒である必要があります(Okta Verify Pushを使用する場合は60〜120秒)。
たとえば、次のようになります。
- VPN再試行 = 5x
- VPN要求タイムアウト = 60秒
- 再試行間のVPN待機 = 5秒
この場合、VPN認証タイムアウト = 5 * (60 + 5) - 5 = 320秒、または320000ミリ秒
RADIUSエージェントv2.9.3以前、Okta Verify Pushあり: ragent.total.request.timeout.millisecond = 320000。
RADIUSエージェント v2.9.4以降:ragent.request.timeout.millisecond = 320000。
次のプロパティは、プロキシー構成にのみ適用されます。
プロパティ | 説明 | デフォルト |
---|---|---|
ragent.proxy.enabled | RADIUSエージェントがプロキシーを使用する必要があるかどうかを示します。trueに設定します。例: ragent.proxy.enabled = true |
表示されません。このプロパティをconfig.propertiesに追加します。 |
ragent.proxy.address | プロキシーのIPアドレス(必要な場合はポートも)。ragent.proxy.enabledがtrueに設定されている場合、このプロパティーが存在する必要があります。例: ragent.proxy.address = 127.0.0.1:8888 |
表示されません。このプロパティをconfig.propertiesに追加します。 |
ragent.ssl.pinning | プロキシーがSSL接続を終了する場合は、SSLピンニングを無効にします。例: ragent.ssl.pinning = false |
true |
ragent.proxy.user
ragent.proxy.password |
必要に応じて、プロキシーの認証情報。エージェントの再起動時に暗号化されます。例: ragent.proxy.user = adminragent.proxy.password = password |
表示されません。このプロパティをconfig.propertiesに追加します。 |
Okta RADIUSエージェントをインストールするための詳細な手順や使用できない手順については、次を参照してください。