サーバー名の解決

Okta Privileged Accessには、カスタム名解決システムが実装されています。このシステムは、Okta Privileged Accessに登録されているサーバーのユーザー指定の名前の解決に使用されます。

たとえば、sft ssh web0を実行すると、web0という名前がOkta Privileged Accessで解決されます。同様に、web0上のエージェント構成ファイルにBastion: bastion.example.comが指定されている場合、bastion.example.comを解決することでweb0へのトンネルが確立されます。

登録済みサーバーの名前を解決できない場合、Okta Privileged Accessはローカルにサポートされる名前解決と認証方式にフォールバックしてサーバーにアクセスします。たとえば、sft ssh web0.example.comを実行したときにOkta Privileged AccessOkta Privileged Accessに登録されているサーバーのweb0.example.comという名前を解決できない場合は、クライアントは、ssh web0.example.comOkta Privileged Accessなしで実行されたかのように動作します。

アクティブなサーバー

Okta Privileged Accessはアクティブなサーバーに対してのみ名前を照合します。次の条件が真である場合、サーバーはアクティブとみなされます。

  1. サーバーはOkta Privileged Accessに登録されている
  2. その後、サーバーがOkta Privileged Accessから削除されていない
  3. 最近サーバー上でOkta Privileged Accessエージェントが実行され、Okta Privileged Accessプラットフォームに接続できました。現在のしきい値は96時間(4日)ですが、変更される可能性があります。

特殊なケースとして、管理対象外のサーバーがOkta Privileged Accessで作成された場合、これは削除されるまでアクティブと見なされます。

マッチング

名前の解決では、Okta Privileged Accessは次のいずれかの値に一致するサーバーを検出します。

サーバーID

サーバーのid。登録時にOkta Privileged Accessプラットフォームによって自動的に割り当てられるランダムなUUID。

ホスト名

サーバーのhostname。サーバーのオペレーティングシステムが報告する名前。OSホスト名がlocalで終わる場合、プラットフォームはこれを無視します。たとえば、OSホスト名がweb0.localの場合、サーバーにはweb0としてならアクセスできますが、web0.localとしてはアクセスできません。

Okta Privileged Accessエージェントの構成にCanonicalName値が指定されている場合、OSホスト名の代わりにこの値が使用されます。

AltNames

サーバーのOkta Privileged Accessエージェント構成ファイルに指定されているAltNames値。AltNamesを使用することで、別のエイリアスをサーバーに追加できます。

デフォルトIPアドレス

Okta Privileged Accessによって決定されるサーバーのデフォルトIPアドレス。

インスタンスID

サーバーがAWSまたはGCEクラウドインスタンスの場合、これはプロバイダーが割り当てたインスタンスID です。

あいまいな名前

Okta Privileged Accessクライアントに提供される名前が複数のサーバーとして解決される場合、誤って意図しないサーバーに接続するのを回避するために、クライアントはエラーを返します。

これには副次的な影響があります。サーバーが同一ホスト名の新しいサーバーに置き換えられた場合、またはエージェントが再登録を強制された場合に、新しいサーバーを共通名で指定できるように、管理者は事前に元のサーバーレコードを手動で削除する必要があります。または、サーバーID等の明確な名前を指定するか、元のサーバーレコードが非アクティブになるまで待機することもできます。

Okta Privileged Accessエージェントの構成に指定されたBastion名があいまいな場合、Okta Privileged Accessプラットフォームは、次を一致させて降順の優先順位で一致をランク付けすることで最適候補の選択を試みます。

  1. idまたはCanonicalName
  2. クラウドインスタンスID
  3. ホスト名
  4. AltNames
  5. デフォルトIPアドレス

接続は任意に切断されます。

IPアドレス

サーバーの解決後、Okta Privileged Accessはサーバーの指定に使用されるIPアドレスの決定を試みます。

Okta Privileged Accessクライアントがサーバーに直接アクセスする場合、以下に説明するように、クライアントはサーバーのデフォルトIPアドレスの使用を試みます。

サーバーアクセスが1つまたは複数のBastionを経由し、直前のBastionがサーバーと同じAWS VPCまたはGCEネットワークに存在する場合、Okta Privileged Accessは、サーバーの対応プライベートIPアドレスを優先します。それ以外の場合、Okta Privileged AccessはデフォルトのIPアドレスを使用します。

デフォルトIPアドレス

Okta Privileged Accessに登録されている各サーバーには、以下の値の中で利用できる最初の値であるデフォルトIPアドレスが割り当てられます。

  1. Okta Privileged Accessエージェント構成ファイルに指定されているAccessAddressの値。
  2. インスタンスのメタデータに基づくAWSインスタンスのpublic_ip_v4アドレス。
  3. インスタンスのメタデータに基づくGCEまたはAzureインスタンスの外部または内部IPアドレス。
  4. パブリックアドレスの範囲内で数値的に最小のIPv4アドレス。
  5. プライベートアドレスの範囲内で数値的に最小のIPv4アドレス。

関連項目

Okta Privileged Accessサーバーエージェントを構成する