AWSにRADIUSエージェントをインストールして構成する

このタスクでは、AWSインスタンスへのRADIUSエージェントのインストールと構成を行います。

開始する前に

共通のUDPポートと秘密鍵の値が利用可能であることを確認します。この統合全体をとおしてポート1899を使用します。

RADIUSエージェントをインストールする

  1. Admin Consoleで、設定(Settings) > ダウンロード(Downloads)に移動します。

  2. Okta RADIUS Serverエージェント(EXE)(Okta RADIUS Serverエージェント(EXE))(Okta RADIUS Server Agent (EXE))までスクロールし、最新をダウンロード(Download Latest)をクリックします。
  3. インストーラーを実行します。重要情報(Next)ページとライセンス情報(Important Information)ページで次へ(Next)(License Information)をクリックします。
  4. インストールフォルダー(Installation folder)の場所を選択し、インストール(Install)をクリックします。
  5. 任意。Okta RADIUSエージェントプロキシ構成(Okta RADIUS Agent Proxy Configuration)ページにプロキシ情報を入力します。
  6. 次へ(Next)をクリックします。
  7. Okta RADIUSエージェントの登録)(Register Okta RADIUS Agent)ページにorgの完全なURL(例:https://mycompany.okta.com)を入力します。Preview orgでテストするには、Okta Preview Sandbox orgのURL(例:https://mycompany.oktapreview.com)を入力できます。
  8. 次へ(Next)をクリックします。Oktaのサインイン(Sign In)ページが表示されます。
  9. サービス固有のOktaアカウントにサインインします。
  10. アクセスを許可(Allow Access)をクリックします。
  11. 終了(Finish)をクリックします。
  12. OktaでRADIUSアプリを構成します。OktaのRADIUSアプリケーションを参照してください。

追加プロパティの構成

必要に応じて、以下のプロパティのデフォルトを上書きできます。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストールフォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\.です。
  2. このフォルダーから、current\user\config\radius\config.propertiesに移動します。このファイルのバックアップを作成し、その後テキストエディターで元のファイルを開きます。
  3. 必要に応じて、以下に示すプロパティを構成します。
  4. 完了したら、ファイルを保存します。
  5. 変更は、使用可能なWindows管理ツールを使用してOkta RADIUSエージェントサービスを再起動した後に有効になります。
プロパティ 説明 デフォルト
ragent.num_max_http_connection 接続プール内のHTTP接続の最大数。 20*
ragent.num_request_threads 要求の処理に使用できる認証ワーカースレッドの数。 15*
ragent.total.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

Okta Verify with Push要素の場合、実際の値は、RADIUSエージェントで、構成された値の半分(1/2)として解釈されます。

例:60000 = 60秒、半分に分割 = 30秒。

ほかのすべての要因については、値は指定どおりに使用されます。

 60000
ragent.request.timeout.millisecond UDPパケットがRADIUSクライアントから到着した後にRADIUSエージェントがUDPパケットを処理できる最大時間。

指定した場合、ragent.total.request.timeout.millisecondは無視されます。

指定しない場合は、デフォルトでragent.total.request.timeout.millisecondが使用されます。

バージョン2.9.4以降で使用できます。

 N/Aはデフォルトで、ragent.total.request.timeout.millisecondで指定された値になります。
ragent.okta.request.max.timeout.millisecond Okta API要求で設定するソケットタイムアウト。このプロパティは、構成されている場合にのみ適用されます。それ以外の場合は、合計要求タイムアウト設定に基づいて動的に計算されます。 動的、要求の残りのTTLに基づく
ragent.request.timeout.response.mode タイムアウト応答モード。取り得る値は次のとおりです。
  • SEND_REJECT_ALWAYS:エージェントは、タイムアウト後にクライアントにRejectメッセージを送信します。
  • SEND_REJECT_ON_POLL_MFA:MFAポーリングループ中(つまり、ユーザーがプッシュ通知などのMFAチャレンジに正しく応答したかどうかを判断するためにエージェントがOktaをポーリングしている間)にのみタイムアウトが発生した場合、エージェントはクライアントにRejectメッセージを送信します。それ以外のときにタイムアウトが発生した場合、クライアントに応答は送信されません。
  • NO_RESPONSE:エージェントがタイムアウトした場合、クライアントに応答は送信されません。
 SEND_REJECT_ON_POLL_MFA
ragent.mfa.timeout.seconds クライアントが要素選択などのMFAチャレンジに応答するのをエージェントが待機する時間(秒単位)。 60

*ログに「Request queue is full(リクエストキューがいっぱいです)」が出力された場合、処理できるスレッドと接続の最大数に達したため、RADIUS Server Agentはログイン試行を拒否します。「リクエストキューが満杯」を参照してください。

次のプロパティは、プロキシ構成にのみ適用されます。

プロパティ 説明 デフォルト
ragent.proxy.enabled RADIUSエージェントがプロキシを使用する必要があるかどうかを示します。trueに設定します。例: 
ragent.proxy.enabled = true
 表示されません。このプロパティをconfig.propertiesに追加します。
ragent.proxy.address プロキシのIPアドレス(必要な場合はポートも)。ragent.proxy.enabledがtrueに設定されている場合、このプロパティが存在する必要があります。例:
ragent.proxy.address = 127.0.0.1:8888

表示されません。このプロパティをconfig.propertiesに追加します。
ragent.ssl.pinning プロキシがSSL接続を終了する場合は、SSLピンニングを無効にします。例: 
ragent.ssl.pinning = false
 True
ragent.proxy.user

ragent.proxy.password

必要に応じて、プロキシの認証情報。エージェントの再起動時に暗号化されます。例: 
ragent.proxy.user = admin
ragent.proxy.password = password
 表示されません。このプロパティをconfig.propertiesに追加します。

Okta RADIUSエージェントをインストールするための詳細な手順や使用できない手順については、次を参照してください。