サーバー名の解決
Okta Privileged Accessは、カスタム名解決システムを実装しています。このシステムは、Okta Privileged Accessに登録されているサーバーのユーザー指定の名前の解決に使用されます。
たとえば、sft ssh web0を実行すると、web0という名前がOkta Privileged Accessで解決されます。同様に、web0上のエージェント構成ファイルにBastion: bastion.example.comが指定されている場合、bastion.example.comを解決することでweb0へのトンネルが確立されます。
登録済みサーバーの名前を解決できない場合、Okta Privileged Accessはローカルにサポートされる名前解決と認証方式にフォールバックしてサーバーにアクセスします。たとえば、sft ssh web0.example.comを実行したときに、Okta Privileged Accessに登録されているサーバーのweb0.example.comという名前をOkta Privileged Accessが解決できない場合、クライアントは、Okta Privileged Accessなしでssh web0.example.comを実行したかのように動作します。
アクティブサーバー
Okta Privileged Accessはアクティブなサーバーに対してのみ名前を照合します。次の条件が真である場合、サーバーはアクティブとみなされます。
- サーバーがOkta Privileged Accessに登録されている
- その後、サーバーがOkta Privileged Accessから削除されていない
- 最近サーバー上でOkta Privileged Access エージェントが実行され、Okta Privileged Accessプラットフォームに接続できた。現在のしきい値は96時間(4日)ですが、変更される可能性があります。
特殊なケースとして、管理対象外のサーバーがOkta Privileged Accessで作成された場合、これは削除されるまでアクティブと見なされます。
マッチング
名前の解決では、Okta Privileged Accessは次のいずれかの値に一致するサーバーを検出します。
サーバーID
サーバーのID。登録時にOkta Privileged Accessプラットフォームによって自動的に割り当てられるランダムなUUID。
ホスト名
サーバーのホスト名。サーバーのオペレーティングシステムが報告する名前。OSホスト名がlocalで終わる場合、プラットフォームはこれを無視します。たとえば、OSホスト名がweb0.localの場合、web0としてならサーバーにアクセスできますが、web0.localとしてはアクセスできません。
Okta Privileged Access エージェントの構成にCanonicalName値が指定されている場合、OSホスト名の代わりにこの値が使用されます。
AltNames
サーバーのOkta Privileged Access エージェント構成ファイルに指定された任意のAltNames値。AltNamesを使用することで、別のエイリアスをサーバーに追加できます。
デフォルトIPアドレス
Okta Privileged Accessによって決定されるサーバーのデフォルトIPアドレス。
インスタンスID
サーバーがAWSまたはGCEクラウドインスタンスの場合、これはプロバイダーが割り当てたインスタンスID です。
あいまいな名前
Okta Privileged Accessクライアントに提供される名前が複数のサーバーとして解決される場合、誤って意図しないサーバーに接続するのを回避するために、クライアントはエラーを返します。
これには副次的な影響があります。サーバーが同一ホスト名の新しいサーバーに置き換えられた場合、またはエージェントが再登録を強制された場合に、新しいサーバーを共通名で指定できるように、管理者は事前に元のサーバーレコードを手動で削除する必要があります。それ以外に、サーバーID等の明確な名前を指定するか、元のサーバーレコードが非アクティブになるまで待機することもできます。
Okta Privileged Access エージェントの構成に指定されたBastion名があいまいな場合、Okta Privileged Accessプラットフォームは、次を一致させて降順の優先順位で一致をランク付けすることで最適候補の選択を試みます。
- IDまたはCanonicalName
- クラウドインスタンスID
- ホスト名
- AltNames
- デフォルトIPアドレス
接続は任意に切断されます。
IPアドレス
サーバーの解決後、Okta Privileged Accessはサーバーの指定に使用されるIPアドレスの決定を試みます。
Okta Privileged Accessクライアントがサーバーに直接アクセスする場合、次に説明するように、クライアントはサーバーのデフォルトIPアドレスの使用を試みます。
サーバーアクセスが1つまたは複数のBastionを経由し、直前のBastionがサーバーと同じAWS VPCまたはGCEネットワークに存在する場合、Okta Privileged Accessは、サーバーの対応プライベートIPアドレスを優先します。それ以外の場合、Okta Privileged AccessはデフォルトのIPアドレスを使用します。
デフォルトIPアドレス
Okta Privileged Accessに登録されている各サーバーには、次の中で利用できる最初の値であるデフォルトIPアドレスが割り当てられます。
- Okta Privileged Access エージェント構成ファイルに指定されているAccessAddressの値。
- インスタンスのメタデータに基づく、AWSインスタンスのpublic_ip_v4アドレス。
- インスタンスのメタデータに基づくGCEまたはAzureインスタンスの外部または内部IPアドレス。
- パブリックアドレスの範囲内で数値的に最小のIPv4アドレス。
- プライベートアドレスの範囲内で数値的に最小のIPv4アドレス。