AWSでのRADIUSエージェントのインストールと構成

このタスクでは、RADIUSエージェントのAWSインスタンスへのインストールと設定を行います。

開始する前に

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。
    この統合全体でポート1899を使用します。

RADIUS エージェントのインストール

重要事項

重要

以下の手順は、「インスタンスB」と記載されているAWSインスタンス上で完了する必要があります。

Caution

注意

RADIUSエージェントをインストールするときは、読み取り専用の管理者およびアプリ管理者の両方のロール、またはスーパー管理者ロールを持つアカウントにログインする必要があります。
さらに、Oktaでは、RADIUSエージェントを承認するために専用のサービス・アカウントを使用することをお勧めしています。専用アカウントは、RADIUSエージェントによって使用されるAPIトークンが、ユーザーが非アクティブ化されたときに非アクティブ化される可能性がある特定のユーザー・アカウントのライフサイクルに関連付けられていないことを保証します。さらに、RADIUSエージェントに使用されるサービス・アカウントには、適切な管理者権限を付与する必要があります。

  1. 管理者ダッシュボードから[Settings (設定)] > [Downloads (ダウンロード)]>[Okta RADIUSServer Agent (Okta RADIUS Serverエージェント)」を選択します。

  2. [Download (ダウンロード)]ボタンをクリックし、Okta RADIUSインストーラーを実行します。

  3. インストールウィザードから [Important Information(重要情報)] および[License Information(ライセンス情報)]画面へと進みます。

  4. インストールフォルダを選択し、[Install (インストール)]ボタンをクリックします。

  5. [Okta RADIUS Agent Configuration (Okta RADIUSエージェント構成)]画面で、RADIUS共有シークレットキーとRADIUSポート番号を入力します。RADIUSアプリケーションを使用している場合は、これらの要素は必要ありません。

    情報

    EAバージョン2.9.6以降、EA RADIUS 共有シークレットとポートは必要ありません。RADIUS エージェントv2.9.6 EA以降をインストールすると、これらの画面は表示されません。

    情報

    共有シークレットを入力する際は、特殊文字の使用を避けてください。特定の特殊文字を使用すると、インストール時にエラーコード:3が発生してインストールが失敗することがあります。

  6. [Okta RADIUS Agent Proxy Configuration (Okta RADIUSエージェントプロキシ構成)]画面では、オプションでプロキシ情報を入力することができます。[Next(次へ)] ボタンをクリックします。

  7. [Register OktaRADIUS Agent (Okta RADIUSエージェントの登録)]画面で、以下を入力します。組織のバージョンを選択します。

  8. Oktaプレビュー サンドボックス組織でテストできるように設定する場合は、組織の完全なURLを入力する必要があります。例:https://mycompany.oktapreview.com

    • サブドメインの入力 – 例えば、 https://mycompany.okta.comを使用して Okta にアクセスする場合は、以下のように「mycompany」と入力します。
      • プロダクション-プロダクションを選択し、プロダクションのドメインを入力します。
        例:mycompany.okta.com.
      • プレビュー-プレビューを選択し、プレビューのドメインを入力します。
        例:mycompany.oktapreview.com
      • カスタム- カスタムを選択し、カスタムドメインを入力します。
        例:mycompany.mydomain.com[:port].
  9. Windows Server 2008 R2 Coreの場合のみ:ブラウザを開き、アドレスフィールドに指定のURLを入力します。これでインストーラーによるOktaの使用が許可されます。

  10. [Next (次へ)]ボタンをクリックして、Okta [Sign In (サインイン)]ページに進みます。
  11. [Sign In (サインイン)]画面で、サービス固有のOktaアカウントにサインインします。
  12. [Allow Access(アクセスを許可)] ボタンをクリックします。
  13. Radius_7.jpg

  14. 確認画面が表示されます。[Finish (終了)]ボタンをクリックして、インストールを完了します。
    情報

    エージェントのインストール中に「エラーコード12:SSL/TLSサービスチャネルの信頼関係を確立できませんでした」というエラーが発生した場合は、古いバージョンのエージェントでTLS 1.2をサポートしていないため、最新バージョンのエージェントを実行していることを確認してください。

  15. OktaでRADIUSアプリを設定し、RADIUSエージェントポート、共有シークレット、RADIUSの詳細設定を行います。
    oktaテナントでのRADIUSアプリの設定については、 OktaのRADIUS アプリケーションを参照してください。

追加のプロパティ構成

必要に応じて、以下のプロパティのデフォルトをオーバーライドすることができます。

重要事項

重要

RADIUSエージェントのconfig.propertiesに加えた変更は、エージェントの再起動時にのみ読み込まれます。
config.propertiesを変更した後は、必ずエージェントを再起動してください。

  1. Okta RADIUSエージェントが置かれているフォルダを開きます。デフォルトのインストールフォルダは、 C:\Program Files (x86)\Okta\Okta RADIUS Agent\.です。
  2. このフォルダから、current\user\config\radius\config.propertiesに移動します。変更を加える前に、このファイルのバックアップを作成することを推奨します。メモ帳などのテキストアプリケーションを使用して、Okta RADIUSエージェントインストールフォルダにあるcurrent\user\config\radius\config.propertiesファイルを開きます。
  3. 必要に応じて、以下のいずれかのプロパティを設定します。
  4. 完了したら、ファイルを保存します。
  5. 変更内容は、利用可能なWindows管理ツールを使用してOkta RADIUSエージェントサービスを再起動すると有効になります。
プロパティー 説明 デフォルト
ragent.num_max_http_connection 接続プール内のHTTP接続の最大数。 20
ragent.num_request_threads 要求の処理に使用できる 認証ワーカー・スレッドの数。 15
ragent.total.request.timeout.millisecond

UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

 

Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。
例:60000 = 60秒、半分に分割 = 30秒。

ほかのすべての要因については、値は指定どおりに使用されます。


60000
ragent.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

指定した場合、ragent.total.request.timeout.millisecondは無視されます。
指定 しない場合は、デフォルトで ragent.total.request.timeout.millisecondが使用されます。

バージョン2.9.4以降で使用できます。
N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。
ragent.okta.request.max.timeout.millisecond

Okta API要求で設定するソケット・タイムアウト。このプロパティーは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。

動的、要求の残りのTTLに基づく
ragent.request.timeout.response.mode

タイムアウト応答モード。取り得る値は次のとおりです。

  • SEND_REJECT_ALWAYS - エージェントは、タイムアウト後にクライアントにRejectメッセージを送信します。
  • SEND_REJECT_ON_POLL_MFA - MFAポーリング・ループ中(つまり、ユーザーがプッシュ通知などのMFAチャレンジに正しく応答したかどうかを判断するためにエージェントがOktaをポーリングしている間)にのみタイムアウトが発生した場合、エージェントはクライアントにRejectメッセージを送信します。それ以外のときにタイムアウトが発生した場合、クライアントに応答は送信されません。
  • NO_RESPONSE - エージェントがタイムアウトした場合、クライアントに応答は送信されません。
SEND_REJECT_ON_POLL_MFA
ragent.mfa.timeout.seconds クライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 60
Important Note

重要

Cisco ASA VPNなどのVPNでRADIUSエージェントを使用する場合は、RADIUSエージェントとVPNの両方の設定で次のタイムアウト値を構成する必要があります。

RADIUSエージェント v2.9.3以前、Okta Verify Pushなし ragent.total.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

 

RADIUSエージェント v2.9.3、Okta Verify Pushあり ragent.total.request.timeout.millisecond = 2 * (VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機)

 

RADIUSエージェント v2.9.4以降 ragent.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

  • VPN再試行回数は3〜5の間である必要があります。
  • VPN要求のタイムアウトは15〜60秒である必要があります(Okta Verify Pushを使用する場合は60〜120秒)。

たとえば、次のようになります。

  • VPN再試行 = 5x
  • VPN要求タイムアウト = 60秒
  • 再試行間のVPN待機 = 5秒

この場合、VPN認証タイムアウト = 5 * (60 + 5) + 5 = 320秒、つまり320000ミリ秒
RADIUSエージェントv2.9.3以前、Okta Verify Pushあり: ragent.total.request.timeout.millisecond = 320000

RADIUSエージェントv2.9.4以降: ragent.request.timeout.millisecond = 320000

次のプロパティーは、プロキシー構成にのみ適用されます。

プロパティー 説明 デフォルト
ragent.proxy.enabled RADIUSエージェントがプロキシーを使用する必要があることを示します。trueに設定する必要があります。
例:ragent.proxy.enabled = true
デフォルト:「なし」を config.propertiesに追加する必要があります。
ragent.proxy.address プロキシーのIPアドレスとポート(必要な場合)。ragent.proxy.enabledtrueに設定されている場合は、 このプロパティーが必要です。
例:ragent.proxy.address = 127.0.0.1:8888

デフォルト:「なし」をconfig.propertiesに追加する必要があります。

ragent.ssl.pinning プロキシーがSSL接続を終了する場合は、SSLピンニングを無効にする必要があります。
例:
ragent.ssl.pinning = false
デフォルトtrue
ragent.proxy.user
ragent.proxy.password
必要に応じて、プロキシーの認証情報。
エージェントの再起動時に暗号化されます。
ragent.proxy.user = admin
ragent.proxy.password = password
デフォルト:「なし」を config.propertiesに追加する必要があります。


すべての手順の一覧とOkta RADIUSエージェントをインストールする際の注意点については、以下を参照してください。