AWSにRADIUSエージェントをインストールして構成する

このタスクでは、AWSインスタンスへのRADIUSエージェントのインストールと構成を行います。

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
    この統合全体をとおしてポート1899を使用します。

RADIUSエージェントをインストールする

インスタンスBと呼ばれるAWSインスタンスで次の手順を完了する必要があります。

  • RADIUS Serverエージェントのインストールには、スーパー管理者ロールが割り当てられているアカウントを使用します。または、読み取り専用の管理者権限とアプリ管理者の権限を持つ別のロールを使用します。
  • サーバーの専用サービスアカウントを使ってRADIUS Serverエージェントを認可します。そうすれば、認可がユーザーアカウントに結び付けられません。この認可はユーザーが組織を離れると失われる可能性があります。
  • 適切な管理者権限をRADIUS Serverエージェント用のサービスアカウントに付与します。「標準的な管理者ロールと権限」の「多要素認証」セクションを参照してください。

  1. Admin Console[Settings(設定)][Downloads(ダウンロード)]に移動します。

  2. [Okta RADIUS Serverエージェント(EXE)(Okta RADIUS Serverエージェント(EXE))]までスクロールし、[Download Latest(最新をダウンロード)]をクリックします。
  3. インストーラーを実行します。[重要情報]ページと[ライセンス情報]ページで[Next(次へ)]をクリックします。
  4. Installation folder(インストールフォルダー)の場所を選択し、[Install(インストール)]をクリックします。
  5. 任意。[Okta RADIUSエージェントプロキシ構成]ページにプロキシ情報を入力します。
  6. [Next(次へ)]をクリックします。
  7. [Okta RADIUSエージェントの登録)]ページにorgの完全なURL(例:https://mycompany.okta.com)を入力します。Preview orgでテストするには、Okta Preview Sandbox orgのURL(例:https://mycompany.oktapreview.com)を入力できます。
  8. [Next(次へ)]をクリックします。Oktaのサインインページが表示されます。
  9. サービス固有のOktaアカウントにサインインします。
  10. [Allow Access(アクセスを許可)]をクリックします。
  11. [Finish(終了)]をクリックします。

    Error code 12: Could not establish trust relationship for the SSL/TLS service channel(エラーコード12:SSL/TLSサービスチャネルの信頼関係を確立できませんでした)」が発生した場合には、実行しているのがエージェントの最新バージョンであることを確認してください。古いバージョンのエージェントは、TLS(トランスポートレイヤーセキュリティ)1.2をサポートしていません。

  12. OktaでRADIUSアプリを構成します。「OktaのRADIUSアプリケーション」を参照してください。

追加プロパティの構成

必要に応じて、以下のプロパティのデフォルトを上書きできます。

RADIUSエージェントのconfig.propertiesファイルへの変更は、エージェントの再起動時にのみ読み込まれます。config.propertiesを変更した後は、必ずエージェントを再起動してください。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストールフォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。このファイルのバックアップを作成し、その後テキストエディターで元のファイルを開きます。
  3. 必要に応じて、以下に示すプロパティを構成します。
  4. 完了したら、ファイルを保存します。
  5. 変更は、使用可能なWindows管理ツールを使用してOkta RADIUSエージェントサービスを再起動した後に有効になります。
プロパティ 説明 デフォルト
ragent.num_max_http_connection 接続プール内のHTTP接続の最大数。 20*
ragent.num_request_threads 要求の処理に使用できる認証ワーカースレッドの数。 15*
ragent.total.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。

例:60000 = 60秒、半分に分割 = 30秒。

ほかのすべての要因については、値は指定どおりに使用されます。

 60000
ragent.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

指定した場合、ragent.total.request.timeout.millisecondは無視されます。

指定しない場合は、デフォルトでragent.total.request.timeout.millisecondが使用されます。

バージョン2.9.4以降で使用できます。

 N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。
ragent.okta.request.max.timeout.millisecond Okta API要求で設定するソケットタイムアウト。このプロパティは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。 動的、要求の残りのTTLに基づく
ragent.request.timeout.response.mode タイムアウト応答モード。取り得る値は次のとおりです。
  • SEND_REJECT_ALWAYS:エージェントは、タイムアウト後にクライアントにRejectメッセージを送信します。
  • SEND_REJECT_ON_POLL_MFA:MFAポーリングループ中(つまり、ユーザーがプッシュ通知などのMFAチャレンジに正しく応答したかどうかを判断するためにエージェントがOktaをポーリングしている間)にのみタイムアウトが発生した場合、エージェントはクライアントにRejectメッセージを送信します。それ以外のときにタイムアウトが発生した場合、クライアントに応答は送信されません。
  • NO_RESPONSE:エージェントがタイムアウトした場合、クライアントに応答は送信されません。
 SEND_REJECT_ON_POLL_MFA
ragent.mfa.timeout.seconds クライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 60

*ログに「Request queue is full(リクエストキューがいっぱいです)」が出力された場合、処理できるスレッドと接続の最大数に達したため、RADIUS Serverエージェントはログイン試行を拒否します。「リクエストキューが満杯」を参照してください。

RADIUSエージェントをCisco ASA VPNなどのVPNとともに使用する場合は、RADIUSエージェントとVPNの両方の設定で、次のタイムアウト値を構成する必要があります。

RADIUSエージェント v2.9.3以前、Okta Verify Pushなしragent.total.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機
RADIUSエージェント v2.9.3、Okta Verify Pushありragent.total.request.timeout.millisecond = 2 * (VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機)
RADIUSエージェント v 2.9.4以降ragent.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

注:

  • VPN再試行回数は3〜5にする必要があります。
  • VPN要求のタイムアウトは15〜60秒である必要があります(Okta Verify Pushを使用する場合は60〜120秒)。

たとえば、次のようになります。

  • VPN再試行 = 5x
  • VPN要求タイムアウト = 60秒
  • 再試行間のVPN待機 = 5秒

この場合、VPN認証タイムアウト = 5 * (60 + 5) - 5 = 320秒、または320000ミリ秒

RADIUSエージェントv2.9.3以前、Okta Verify Pushあり: ragent.total.request.timeout.millisecond = 320000。

RADIUSエージェント v2.9.4以降:ragent.request.timeout.millisecond = 320000。

次のプロパティは、プロキシ構成にのみ適用されます。

プロパティ 説明 デフォルト
ragent.proxy.enabled RADIUSエージェントがプロキシを使用する必要があるかどうかを示します。trueに設定します。 例:

ragent.proxy.enabled = true

 表示されません。このプロパティをconfig.propertiesに追加します。
ragent.proxy.address プロキシのIPアドレス(必要な場合はポートも)。ragent.proxy.enabledがtrueに設定されている場合、このプロパティが存在する必要があります。 例:

ragent.proxy.address = 127.0.0.1:8888

表示されません。このプロパティをconfig.propertiesに追加します。
ragent.ssl.pinning プロキシがSSL接続を終了する場合は、SSLピンニングを無効にします。 例:

ragent.ssl.pinning = false

 true
ragent.proxy.user

ragent.proxy.password

必要に応じて、プロキシの認証情報。エージェントの再起動時に暗号化されます。 例:

ragent.proxy.user = adminragent.proxy.password = password

 表示されません。このプロパティをconfig.propertiesに追加します。


Okta RADIUSエージェントをインストールするための詳細な手順や使用できない手順については、次を参照してください。