Installer et configurer l'agent RADIUS dans AWS

Au cours de cette tâche, nous allons configurer l'installation de l'agent RADIUS et le configurer dans une instance AWS.

Avant de commencer

  • Assurez-vous que les valeurs du port UDP commun et de la clé secrète sont disponibles.
    On utilisera le port 1899 tout au long de cette intégration.

Installer l'agent RADIUS

Les étapes suivantes doivent être réalisées sur l'instance AWS décrite comme instance B.

  • Lorsque vous installez l'agent du RADIUS server, utilisez un compte qui a le rôle de super administrateur. Ou utilisez un autre rôle qui dispose de permissions d'administrateur en lecture seule et administrateur app.
  • Utilisez un compte de service dédié sur votre serveur pour autoriser les agents du RADIUS server. Ainsi, vous vous assurez que les autorisations ne sont pas liées à un compte utilisateur . Ces autorisations peuvent être perdues si l'utilisateur quitte l'organisation.
  • Donnez les autorisations administrateur appropriées aux comptes de service utilisés pour les agents RADIUS Server. Consultez la section Authentification multifacteur de Rôles et autorisations standard des administrateurs.

  1. Dans l'Admin Console, accédez à ParamètresTéléchargements.

  2. Faites défiler l'écran jusqu'à Okta RADIUS Server Agent (EXE) (Agent du serveur RADIUS Okta [EXE]) et cliquez sur Download Latest (Télécharger la dernière version).
  3. Exécutez le programme d'installation. Cliquez Suivant sur les pages initales de Informations importantes et Informations sur la licence.
  4. Choisissez un emplacement pour le dossier d'installation et cliquez sur Installer.
  5. Facultatif. Saisissez vos informations de proxy sur la page Configuration du proxy Okta RADIUS Agent.
  6. Cliquez sur Suivant.
  7. Sur la page Enregistrer l'agent RADIUS Okta, saisissez l'URL complète de votre organisation (par exemple, https://mycompany.okta.com). Pour effectuer des tests dans votre organisation de prévisualisation, vous pouvez saisir l'URL de votre organisation Okta Preview Sandbox (par exemple, https://mycompany.oktapreview.com).
  8. Cliquez sur Suivant. La page Okta Connexion s'affiche.
  9. Connectez-vous au compte Okta spécifique au service.
  10. Cliquez sur Autoriser l'accès.
  11. Cliquez sur Terminer.

    Si vous rencontrez le message d'erreur "Error code 12: Could not establish trust relationship for the SSL/TLS service channel", assurez-vous d'exécuter la dernière version de l'agent. Les versions plus anciennes d'agent ne prennent pas en charge Transport Layer Security (TLS) 1.2.

  12. Configurer l'application RADIUS dans Okta Consultez Applications RADIUS dans Okta

Configurations de propriétés supplémentaires

Vous pouvez remplacer les paramètres par défault des propriétés suivantes, le cas échéant.

Les modifications apportées au fichier config.properties de l'agent RADIUS ne seront chargées qu'au redémarrage de l'agent. Redémarrez toujours votre agent après avoir modifié config.properties.

  1. Ouvrez le dossier où se trouve l'agent RADIUS Okta. Par défaut, le dossier de l'installation est C:\Program Files (x86)\Okta\Okta RADIUS Agent\.
  2. Depuis ce dossier, accédez à current\user\config\radius\config.properties. Créez une sauvegarde de ce fichier, puis ouvrez l'original dans un éditeur de texte.
  3. Configurez les propriétés présentées ci-dessous en fonction de vos besoins.
  4. Lorsque c'est fait, enregistrez le fichier.
  5. Les modifications prennent effet après le redémarrage du service de l'agent RADIUS Okta à l'aide des outils d'administration Windows disponibles.
Propriété Description Par défaut
ragent.num_max_http_connection Le nombre maximal de connexions HTTP dans la réserve de connexions. 20*
ragent.num_request_threads Le nombre de threads de travail liés à l'authentification disponibles pour le traitement des requêtes. 15*
ragent.total.request.timeout.millisecond La durée maximale pendant laquelle l'agent RADIUS est autorisé à traiter un paquet UDP après son arrivée en provenance du client RADIUS.

Pour le facteur Okta Verify with Push, RADIUS agent interprète la valeur effective comme la moitié (1/2) de la valeur configurée.

Par exemple : 60 000 = 60 secondes, divisées par deux = 30 secondes.

Pour tous les autres facteurs, la valeur est utilisée comme indiqué.

 60 000
ragent.request.timeout.millisecond La durée maximale pendant laquelle RADIUS agent est autorisé à traiter un paquet UDP après son arrivée en provenance du client RADIUS.

Si précisé, ragent.total.request.timeout.millisecond est ignoré.

À défaut de précision, ragent.total.request.timeout.millisecond est utilisé par défaut.

Disponible depuis la version 2.9.4.

 En l'absence d'indication, la valeur par défaut sera celle indiquée par ragent.total.request.timeout.millisecond.
ragent.okta.request.max.timeout.millisecond Le délai d'expiration du socket à définir dans le cadre de la requête API Okta. Cette propriété ne s'applique que si elle est configurée. Autrement, elle est calculée dynamiquement en fonction du paramètre de délai d'expiration complet de la requête. Dynamique, en fonction de la durée de vie restante de la requête.
ragent.request.timeout.response.mode Le mode de réponse du délai d'expiration. Les valeurs possibles sont :
  • SEND_REJECT_ALWAYS : l'agent envoie un message de rejet au client après le délai d'expiration.
  • SEND_REJECT_ON_POLL_MFA : l'agent envoie un message de rejet au client si un délai d'expiration est dépassé au cours d'une boucle de scrutation de MFA uniquement (c'est-à-dire, lorsque l'agent interroge Okta pour déterminer si l'utilisateur a correctement répondu au défi de MFA, p. ex., une notification Push). Le client ne recevra pas de réponse si le délai d'expiration est dépassé à un autre moment.
  • NO_RESPONSE : aucune réponse ne sera envoyée au client lorsque l'agent aura expiré.
 SEND_REJECT_ON_POLL_MFA
ragent.mfa.timeout.seconds La durée (en secondes) pendant laquelle l'agent attendra que le client réponde au défi de MFA (p. ex., : le choix d'un facteur). 60

* Si le message : « La file d'attente des requêtes est complète » s'affiche dans vos journaux, l'agent du serveur RADIUS rejette les tentatives de connexion, car le nombre maximal de threads et de connexions pouvant être traités a été atteint. Consultez La file d'attente des requêtes est complète.

Lorsque vous utilisez RADIUS agent avec un VPN tel que le VPN ASA Cisco, les valeurs de délai d'expiration suivantes doivent être configurées sur RADIUS agent et dans les paramètres du VPN :

RADIUS agent version 2.9.3 et versions précédentes, sans Okta Verify Push. ragent.total.request.timeout.millisecond = nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives
RADIUS agent version 2.9.3 avec Okta Verify Push. ragent.total.request.timeout.millisecond = 2* (nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives)
RADIUS agent version 2.9.4 et versions ultérieures. ragent.request.timeout.millisecond = nombre de tentatives du VPN* (délai d'expiration du VPN + attente du VPN entre les tentatives) - attente du VPN entre les tentatives

Remarque :

  • le nombre de tentatives du VPN doit être compris entre 3 et 5.
  • Le délai d'expiration du VPN doit être compris entre 15 et 60 secondes (entre 60 et 120 secondes avec Okta Verify Push).

Par exemple :

  • tentatives du VPN = 5
  • Délai d'expiration du VPN = 60 secondes
  • Attente du VPN entre les tentatives = 5 secondes

Dans ce cas, le délai d'authentification du VPN = 5* (60 + 5) + 5 = 320 secondes ou 320 000 ms

RADIUS agent version 2.9.3 et versions précédentes avec Okta Verify Push : ragent.total.request.timeout.millisecond = 320 000.

RADIUS agent version 2.9.4 et versions ultérieures : ragent.request.timeout.millisecond = 320 000.

Les propriétés suivantes s'appliquent uniquement à la configuration du proxy :

Propriété Description Par défaut
ragent.proxy.enabled Indique si l'agent RADIUS doit utiliser un proxy. Définissez la valeur sur True. Par exemple,

ragent.proxy.enabled = true

 Non présent. Ajoutez cette propriété à config.properties.
ragent.proxy.address L'adresse IP (et le port, le cas échéant) du proxy. Cette propriété doit exister lorsque ragent.proxy.enabled est défini sur true. Par exemple,

ragent.proxy.address = 127.0.0.1:8888

non présent. Ajoutez cette propriété à config.properties.
ragent.ssl.pinning Si le proxy met fin à la connexion SSL, désactivez l'épinglage SSL. Par exemple,

ragent.ssl.pinning = false

 true
ragent.proxy.user

ragent.proxy.password

Les identifiants du proxy, si nécessaire. Chiffrées lors du redémarrage de l'agent. Par exemple,

ragent.proxy.user = adminragent.proxy.password = password

 Non présent. Ajoutez cette propriété à config.properties.


Pour obtenir la liste complète de toutes les étapes ainsi que des explications détaillées pour installer RADIUS agent Okta, consulter :