AWSにRADIUSエージェントをインストールして構成する

このタスクでは、AWSインスタンスへのRADIUSエージェントのインストールと構成を行います。

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
    この統合全体をとおしてポート1899を使用します。

RADIUSエージェントをインストールする

重要な注意事項

重要

インスタンスBと呼ばれるAWSインスタンスで、以下の手順を完了する必要があります。

Caution

注意

RADIUSエージェントをインストールするときは、読み取り専用の管理者およびアプリ管理者の両方のロール、またはスーパー管理者ロールを持つアカウントにログインする必要があります。
さらに、Oktaでは、RADIUSエージェントを承認するために専用のサービス・アカウントを使用することをお勧めしています。専用アカウントは、RADIUSエージェントによって使用されるAPIトークンが、ユーザーが非アクティブ化されたときに非アクティブ化される可能性がある特定のユーザー・アカウントのライフサイクルに関連付けられていないことを保証します。さらに、RADIUSエージェントに使用されるサービス・アカウントには、適切な管理者権限を付与する必要があります。

  1. 管理者ダッシュボードから[設定] > [ダウンロード] > [OktaRADIUSServer Agent]を選択します。

  2. [ダウンロード]ボタンをクリックし、OktaRADIUSインストーラーを実行します。

  3. インストール・ウィザードの[重要な情報]および[ライセンス情報]画面に進みます。

  4. [インストール]フォルダーを選択し、[インストール]ボタンをクリックします。

  5. [Okta RADIUS Agent構成]画面で、[RADIUS共有シークレット]キーと[RADIUSポート番号]を入力します。RADIUSアプリケーションを使用している場合、これらの要素は必要ありません。

    情報

    EAバージョン2.9.6以降では、EA RADIUS共有シークレットとポートは不要です。 RADIUSエージェントv2.9.6 EA以降をインストールする場合、これらの画面は表示されません。

    情報

    共有シークレットを入力する際は、特殊文字を使用しないでください。特定の特殊文字が原因で、エラー・コード:3が発生し、インストールが失敗する可能性があります。

  6. [Okta RADIUS Agentプロキシー構成]画面で、オプションでプロキシー情報を入力できます。[次へ]ボタンをクリックします。

  7. [Okta RADIUSAgentの登録]画面で、次の[組織のバージョンを選択]を入力します。

  8. Oktaプレビュー・サンドボックス組織でテストするようにこれを設定する場合、組織の完全なURLを入力する必要があります。例:https://mycompany.oktapreview.com

    • サブドメインを入力-たとえば、https://mycompany.okta.comを使用してOktaにアクセスする場合、以下の説明のように「mycompany」と入力します。
      • 本番環境-[本番環境]を選択し、本番環境ドメインを入力します。
        例:mycompany.okta.com
      • プレビュー-[プレビュー]を選択し、プレビュー・ドメインを入力します。
        例:mycompany.oktapreview.com
      • カスタム-[カスタム]を選択し、カスタム・ドメインを入力します。
        例:mycompany.mydomain.com[:port]
  9. Windows Server 2008 R2 Coreのみ:ブラウザーを開き、指定されたURLをアドレス・フィールドに追加します。これにより、インストーラーがOktaを使用できるようになります。

  10. [次へ]ボタンをクリックして、Oktaの[サインイン]ページに進みます。
  11. [サインイン]画面でサービス固有のOktaアカウントにサインインします。
  12. [アクセスを許可]ボタンをクリックします。
  13. Radius_7.jpg

  14. 確認画面が表示されます。[完了]ボタンをクリックして、インストールを完了します。
    情報

    エージェントのインストール時に、エラー・コード12:SSL/TLSサービス・チャネルの信頼関係を確立できませんでしたが発生した場合、実行しているのがエージェントの最新バージョンか確認してください。古いエージェントのバージョンでは、TLS 1.2がサポートされていません。

  15. OktaでRADIUSアプリを構成して、RADIUSエージェント・ポート、共有シークレット、高度なRADIUS設定を構成します。
    OktaテナントでRADIUSアプリを構成する方法について詳しくは、 OktaのRADIUSアプリケーション

追加プロパティーの構成

必要に応じて、以下のプロパティーのデフォルトを上書きできます。

重要な注意事項

重要

RADIUSエージェントconfig.propertiesへの変更は、エージェントの再起動時にのみ読み込まれます。
config.propertiesを変更した後は、必ずエージェントを再起動してください。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストール・フォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。変更を加える前に、このファイルのバック・アップを作成することをお勧めします。メモ帳などのテキスト・アプリケーションを使用して、Okta RADIUSエージェントのインストール・フォルダーにあるcurrent\user\config\radius\config.propertiesファイルを開きます。
  3. 必要に応じて、以下に示すプロパティーを構成します。
  4. 完了したら、ファイルを保存します。
  5. すべての変更は、使用可能なWindows管理ツールを使ってOkta RADIUS Agentサービスを再起動した後に有効になります。
プロパティー 説明 デフォルト
ragent.num_max_http_connection 接続プール内のHTTP接続の最大数。 20
ragent.num_request_threads 要求の処理に使用できる 認証ワーカー・スレッドの数。 15
ragent.total.request.timeout.millisecond

UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

 

Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。
例:60000 = 60秒、半分に分割 = 30秒。

ほかのすべての要因については、値は指定どおりに使用されます。


60000
ragent.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

指定した場合、ragent.total.request.timeout.millisecondは無視されます。
指定 しない場合は、デフォルトで ragent.total.request.timeout.millisecondが使用されます。

バージョン2.9.4以降で使用できます。
N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。
ragent.okta.request.max.timeout.millisecond

Okta API要求で設定するソケット・タイムアウト。このプロパティーは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。

動的、要求の残りのTTLに基づく
ragent.request.timeout.response.mode

タイムアウト応答モード。取り得る値は次のとおりです。

  • SEND_REJECT_ALWAYS - エージェントは、タイムアウト後にクライアントにRejectメッセージを送信します。
  • SEND_REJECT_ON_POLL_MFA - MFAポーリング・ループ中(つまり、ユーザーがプッシュ通知などのMFAチャレンジに正しく応答したかどうかを判断するためにエージェントがOktaをポーリングしている間)にのみタイムアウトが発生した場合、エージェントはクライアントにRejectメッセージを送信します。それ以外のときにタイムアウトが発生した場合、クライアントに応答は送信されません。
  • NO_RESPONSE - エージェントがタイムアウトした場合、クライアントに応答は送信されません。
SEND_REJECT_ON_POLL_MFA
ragent.mfa.timeout.seconds クライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 60
Important Note

重要

Cisco ASA VPNなどのVPNでRADIUSエージェントを使用する場合は、RADIUSエージェントとVPNの両方の設定で次のタイムアウト値を構成する必要があります。

RADIUSエージェント v2.9.3以前、Okta Verify Pushなし ragent.total.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

 

RADIUSエージェント v2.9.3、Okta Verify Pushあり ragent.total.request.timeout.millisecond = 2 * (VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機)

 

RADIUSエージェント v2.9.4以降 ragent.request.timeout.millisecond = VPN再試行回数 * (VPNタイムアウト + 再試行間のVPN待機) - 再試行間のVPN待機

  • VPN再試行回数は3〜5の間である必要があります。
  • VPN要求のタイムアウトは15〜60秒である必要があります(Okta Verify Pushを使用する場合は60〜120秒)。

たとえば、次のようになります。

  • VPN再試行 = 5x
  • VPN要求タイムアウト = 60秒
  • 再試行間のVPN待機 = 5秒

この場合、VPN認証タイムアウト = 5 * (60 + 5) + 5 = 320秒、つまり320000ミリ秒
RADIUSエージェントv2.9.3以前、Okta Verify Pushあり: ragent.total.request.timeout.millisecond = 320000

RADIUSエージェントv2.9.4以降: ragent.request.timeout.millisecond = 320000

次のプロパティーは、プロキシー構成にのみ適用されます。

プロパティー 説明 デフォルト
ragent.proxy.enabled RADIUSエージェントがプロキシーを使用する必要があることを示します。trueに設定する必要があります。
例:ragent.proxy.enabled = true
デフォルト:「なし」を config.propertiesに追加する必要があります。
ragent.proxy.address プロキシーのIPアドレスとポート(必要な場合)。ragent.proxy.enabledtrueに設定されている場合は、 このプロパティーが必要です。
例:ragent.proxy.address = 127.0.0.1:8888

デフォルト:「なし」をconfig.propertiesに追加する必要があります。

ragent.ssl.pinning プロキシーがSSL接続を終了する場合は、SSLピンニングを無効にする必要があります。
例:
ragent.ssl.pinning = false
デフォルトtrue
ragent.proxy.user
ragent.proxy.password
必要に応じて、プロキシーの認証情報。
エージェントの再起動時に暗号化されます。
ragent.proxy.user = admin
ragent.proxy.password = password
デフォルト:「なし」を config.propertiesに追加する必要があります。


Okta RADIUSエージェントをインストールするための詳細な手順や使用できない手順については、以下を参照してください。