プロパティを構成する

この手順では、必要に応じて追加のプロパティを構成します。

RADIUS Agent config.propertiesへの変更は、エージェントの再起動時にのみ読み込まれます。config.propertiesを変更した後は、必ずエージェントを再起動してください。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストールフォルダーは、C:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. current\user\config\radius\config.propertiesを開きます。変更を加える前に、このファイルのバックアップを作成してください。
  3. 必要に応じて、プロパティを構成します。
    プロパティ説明デフォルト
    ragent.num_max_http_connection接続プール内のHTTP接続の最大数。20*
    ragent.num_request_threads要求の処理に使用できる認証ワーカースレッドの数。15*
    ragent.total.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

    Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。

    例:60000 = 60秒、半分に分割 = 30秒。

    ほかのすべての要因については、値は指定どおりに使用されます。

    		60000
    ragent.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

    指定した場合、ragent.total.request.timeout.millisecondは無視されます。

    指定しない場合は、デフォルトでragent.total.request.timeout.millisecondが使用されます。

    バージョン2.9.4以降で使用できます。

    		N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。
    ragent.okta.request.max.timeout.millisecondOkta API要求で設定するソケットタイムアウト。このプロパティは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。動的、要求の残りのTTLに基づく
    ragent.request.timeout.response.mode タイムアウト応答モード。取り得る値は次のとおりです。
    • SEND_REJECT_ALWAYS:エージェントは、タイムアウト後にクライアントにRejectメッセージを送信します。
    • SEND_REJECT_ON_POLL_MFA:MFAポーリングループ中(つまり、ユーザーがプッシュ通知などのMFAチャレンジに正しく応答したかどうかを判断するためにエージェントがOktaをポーリングしている間)にのみタイムアウトが発生した場合、エージェントはクライアントにRejectメッセージを送信します。それ以外のときにタイムアウトが発生した場合、クライアントに応答は送信されません。
    • NO_RESPONSE:エージェントがタイムアウトした場合、クライアントに応答は送信されません。
    		SEND_REJECT_ON_POLL_MFA
    ragent.mfa.timeout.secondsクライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 60

    *ログに「Request queue is full(リクエストキューがいっぱいです)」が出力された場合、処理できるスレッドと接続の最大数に達したため、RADIUS Server Agentはログイン試行を拒否します。「リクエストキューがいっぱい」を参照してください。

    RADIUSエージェントをCisco ASA VPNなどのVPNとともに使用する場合は、RADIUSエージェントとVPNの両方の設定で、次のタイムアウト値を構成する必要があります。

    RADIUSエージェント v2.9.3以前、Okta Verify Pushなしragent.total.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機
    RADIUSエージェント v2.9.3、Okta Verify Pushありragent.total.request.timeout.millisecond = 2 * (VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機)
    RADIUSエージェント v 2.9.4以降ragent.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

    注:

    • VPN再試行回数は3〜5にする必要があります。
    • VPN要求のタイムアウトは15〜60秒である必要があります(Okta Verify Pushを使用する場合は60〜120秒)。

    たとえば、次のようになります。

    • VPN再試行 = 5x
    • VPN要求タイムアウト = 60秒
    • 再試行間のVPN待機 = 5秒

    この場合、VPN認証タイムアウト = 5 * (60 + 5) - 5 = 320秒、または320000ミリ秒

    RADIUSエージェントv2.9.3以前、Okta Verify Pushあり: ragent.total.request.timeout.millisecond = 320000。

    RADIUSエージェント v2.9.4以降:ragent.request.timeout.millisecond = 320000。

    次のプロパティは、プロキシー構成にのみ適用されます。

    プロパティ説明デフォルト
    ragent.proxy.enabledRADIUSエージェントがプロキシーを使用する必要があるかどうかを示します。trueに設定します。例:

    ragent.proxy.enabled = true

    		表示されません。このプロパティをconfig.propertiesに追加します。
    ragent.proxy.addressプロキシーのIPアドレス(必要な場合はポートも)。ragent.proxy.enabledがtrueに設定されている場合、このプロパティーが存在する必要があります。例:

    ragent.proxy.address = 127.0.0.1:8888

    表示されません。このプロパティをconfig.propertiesに追加します。

    ragent.ssl.pinning プロキシーがSSL接続を終了する場合は、SSLピンニングを無効にします。例:

    ragent.ssl.pinning = false

    		true
    ragent.proxy.user

    ragent.proxy.password

    		必要に応じて、プロキシーの認証情報。エージェントの再起動時に暗号化されます。例:

    ragent.proxy.user = adminragent.proxy.password = password

    		表示されません。このプロパティをconfig.propertiesに追加します。
  4. ファイルを保存します。
  5. すべての変更は、使用可能なWindows管理ツールを使ってOkta RADIUSエージェントサービスを再起動した後に有効になります。