ADC

認証仮想サーバー

トラフィック管理仮想サーバー(負荷分散またはコンテンツスイッチング)は、すべての認証要求を認証仮想サーバーにリダイレクトします。この仮想サーバは、関連付けられた認証ポリシーを処理し、それに応じてアプリケーションへのアクセスを提供します。

注: トラフィック管理ポリシーを認証、承認、および監査仮想サーバーにバインドすることはできません。

認証仮想サーバーをセットアップする

認証仮想サーバーのセットアップに関連する手順は次のとおりです。

  1. 認証、認可、および監査機能を有効にします。

    enable ns feature AAA
    <!--NeedCopy-->
    
  2. 認証仮想サーバを設定します。タイプはSSLである必要があり、SSL証明書とキーのペアを仮想サーバーにバインドするようにしてください。

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    <!--NeedCopy-->
    
  3. 認証仮想サーバーのドメインの FQDN を指定します。

    set authentication vserver <name> -authenticationDomain <FQDN>
    <!--NeedCopy-->
    
  4. 認証仮想サーバを、関連するトラフィック管理仮想サーバに関連付けます。

    注意事項:

    • ドメインセッション cookie が正しく機能するためには、トラフィック管理仮想サーバの FQDN が、認証仮想サーバの FQDN と同じドメインにある必要があります。トラフィック管理仮想サーバで、次の手順を実行します。
      • 認証を有効にします。
      • トラフィック管理仮想サーバの認証ホストとして、認証仮想サーバの FQDN を指定します。
      • [(オプション)] トラフィック管理仮想サーバーの認証ドメインを指定します。
      • 認証ドメインを構成しない場合、アプライアンスは、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。例えば、場合には、認証仮想サーバのドメイン名は、認証ドメインとして tm.xyz.bar.com、アプライアンス割り当て xyz.bar.com です。
        • 負荷分散の場合:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
         <!--NeedCopy-->
        
        • コンテンツスイッチングの場合:
         set cs vserver <name> <protocol> <IPAddress> <port>
         <!--NeedCopy-->
        
    • 認証ドメインにドメイン全体のCookieを設定する必要がある場合は、負荷分散仮想サーバーで認証プロファイルを有効にする必要があります。
  5. 両方の仮想サーバが稼動していて、正しく設定されていることを確認します。

    show authentication vserver <name>
    <!--NeedCopy-->
    

GUI を使用して認証仮想サーバーをセットアップするには

  1. 認証、認可、および監査機能を有効にします。

    [システム] > [設定] に移動し、[基本機能の構成] をクリックして 、認証、承認、監査を有効にします。

  2. 認証仮想サーバを設定します。

    Security > AAA - Application Traffic > Virtual Serversに移動して、必要に応じて構成します。

  3. 認証用にトラフィック管理仮想サーバを設定します。

    • 負荷分散の場合:

      Traffic Management > Load Balancing > Virtual Serversに移動して必要に応じて仮想サーバーを構成します。

    • コンテンツスイッチングの場合:

      Traffic Management > Content Switching > Virtual Serversに移動して、必要に応じて仮想サーバーを構成します。

    • 認証の設定を確認します。

      [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、関連する認証仮想サーバの詳細を確認します。

認証仮想サーバーを構成します

認証、認可、および監査を構成するには、まず認証トラフィックを処理するように認証仮想サーバーを構成します。次に、SSL 証明書とキーのペアを仮想サーバーにバインドして、SSL 接続を処理できるようにします。 SSL の構成および証明書とキーのペアの作成の詳細については、「 SSL 証明書」を参照してください。

CLIを使用して認証仮想サーバーを構成します

認証仮想サーバーを構成して構成を確認するには、コマンドプロンプトで次のコマンドを同じ順序で入力します。

dd authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

例:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

注:

認証ドメインパラメーターは非推奨です。ドメイン全体のクッキーを設定するには、認証プロファイルを使用します。

GUIを使用して認証仮想サーバーを構成する

  1. セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します
  2. 詳細ウィンドウで、次のいずれかの操作を行います。

    • 新しい認証仮想サーバーを作成するには、[追加] をクリックします。
    • 既存の認証仮想サーバーを変更するには、仮想サーバーを選択し、[編集] をクリックします。[基本設定] 領域を展開した状態で、[構成] ダイアログが開きます。
  3. パラメータの値を次のように指定します (アスタリスクは必須パラメータを示します)。

    • 名前*—name (以前に作成した仮想サーバーでは変更できません)
    • IPアドレス Type*—IP 認証仮想サーバーのアドレスタイプ
    • [IP Address*]:認証仮想サーバの IP アドレス
    • [Port*]:仮想サーバが接続を受け付ける TCP ポート。
    • ログインタイムアウトの失敗-failedLoginTimeout(ログインが失敗するまでの秒数。ユーザーはログインプロセスを再開する必要があります。)
    • 最大ログイン試行回数:maxLoginAttempts(ユーザーがロックアウトされるまでに許可されるログイン試行回数)

    注:

    認証仮想サーバーはSSLプロトコルとポート443のみを使用するため、これらのオプションはグレー表示されます。言及されていないオプションは無視できます。

  4. [続行] をクリックして、[証明書] 領域を表示します。
  5. [証明書] 領域で、この仮想サーバーで使用する SSL 証明書を構成します。

    • CA 証明書を構成するには、[CA 証明書] の右側にある矢印をクリックして [CA Cert Key] ダイアログボックスを表示し、この仮想サーバーにバインドする証明書を選択して [保存] をクリックします。
    • サーバー証明書を構成するには、サーバー証明書の右側にある矢印をクリックし、CA証明書の場合と同じプロセスに従います。
  6. [続行] をクリックして、[高度な認証ポリシー] 領域を表示します。
  7. 高度な認証ポリシーを仮想サーバーにバインドする場合は、行の右側にある矢印をクリックして [認証ポリシー] ダイアログボックスを表示し、サーバーにバインドするポリシーを選択し、優先順位を設定して [OK] をクリックします。
  8. [続行] をクリックして、[基本認証ポリシー] 領域を表示します。
  9. 基本認証ポリシーを作成して仮想サーバにバインドする場合は、プラス記号をクリックして [Policies] ダイアログ・ボックスを表示し、プロンプトに従ってポリシーを構成し、この仮想サーバにバインドします。
  10. [続行] をクリックして、401ベースの仮想サーバー領域を表示します。
  11. [401 ベースの仮想サーバー] 領域で、この仮想サーバーにバインドする負荷分散またはコンテンツスイッチ仮想サーバーを構成します。

    • 負荷分散仮想サーバーをバインドするには、負荷分散仮想サーバーの右側にある矢印をクリックして[負荷分散仮想サーバー]ダイアログボックスを表示し、プロンプトに従います。
    • コンテンツスイッチング仮想サーバーをバインドするには、コンテンツスイッチング仮想サーバーの右側にある矢印をクリックして[コンテンツスイッチング仮想サーバー]ダイアログボックスを表示し、LB仮想サーバーをバインドするのと同じプロセスに従います。
  12. グループを作成または設定する場合は、[グループ] 領域で矢印をクリックして [グループ] ダイアログボックスを表示し、プロンプトに従います。
  13. 設定を確認し、完了したら、[完了] をクリックします。ダイアログボックスが閉じます。新しい認証仮想サーバを作成した場合は、そのサーバが [Configuration] ウィンドウのリストに表示されます。

トラフィック管理仮想サーバー

認証仮想サーバーを作成および構成したら、次にトラフィック管理仮想サーバーを作成または構成し、認証仮想サーバーをそれに関連付けます。トラフィック管理仮想サーバーには、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。 いずれかのタイプの仮想サーバーの作成と構成の詳細については、「 Citrix トラフィック管理ガイド」の「 トラフィック管理」を参照してください。

注:

ドメインセッションCookieが正しく機能するには、トラフィック管理仮想サーバーのFQDNが認証仮想サーバーのFQDNと同じドメインにある必要があります。

認証を有効にし、認証サーバの FQDN をトラフィック管理仮想サーバに割り当てることで、認証、認可、および監査用にトラフィック管理仮想サーバを設定します。現在、トラフィック管理仮想サーバーで認証ドメインを構成することもできます。このオプションを構成しない場合、Citrix ADCアプライアンスは、トラフィック管理仮想サーバーに、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。たとえば、認証仮想サーバーのドメイン名がtm.xyz.bar.comの場合、アプライアンスはxyz.bar.comを割り当てます。認証ドメインとして。

CLIを使用してトラフィック管理仮想サーバーを構成するには

コマンドプロンプトで、次のいずれかのコマンドセットを入力します。

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

例:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

GUIを使用してトラフィック管理仮想サーバーを構成するには

  1. ナビゲーションペインで、次のいずれかの操作を行います。

    • Traffic Management > Load Balancing > Virtual Serversに移動します。
    • [トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
    • 詳細ウィンドウで、認証を有効にする仮想サーバーを選択し、[編集] をクリックします。
    • 「ドメイン」テキスト・ボックスに、認証ドメインを入力します。
    • 右側の [詳細設定] メニューで、[認証] を選択します。
    • [フォームベース認証] または [401 ベース認証] のいずれかを選択し、認証情報を入力します。

      • フォームベース認証の場合は、認証FQDN(認証サーバーの完全修飾ドメイン名)、認証仮想サーバー(認証仮想サーバーのIPアドレス)、および認証プロファイル(認証に使用するプロファイル)を入力します。
      • 401ベースの認証の場合は、認証仮想サーバーと認証プロファイルのみを入力します。
    • [OK] をクリックします。仮想サーバーが正常に構成されたことを示すメッセージがステータスバーに表示されます。

認証、承認、監査のためのシンプルなログインプロトコルのサポート

認証、認可、および監査トラフィック管理仮想サーバと認証、認可、監査仮想サーバ間のログインプロトコルは、クエリパラメータを使用して暗号化されたデータを送信するのではなく、内部メカニズムを使用するように簡略化されます。この機能を使用すると、リクエストの再生が防止されます。

DNSを構成する

認証プロセスで使用されるドメインセッション Cookie が正しく機能するには、認証とトラフィック管理の両方の仮想サーバーを同じドメイン内の FQDN に割り当てるように DNS を構成する必要があります。DNS アドレスレコードを構成する方法については、「 ドメインネームシステム」を参照してください。

認証仮想サーバーを確認する

認証およびトラフィック管理仮想サーバーを構成した後、ユーザーアカウントを作成する前に、両方の仮想サーバーが正しく構成され、UP状態にあることを確認する必要があります。

CLIを使用してnoAuth認証を構成します

コマンドプロンプトで、次のコマンドを入力します。

show authentication vserver <name>
<!--NeedCopy-->

例:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

GUIを使用してnoAuth認証を構成します

  1. Security > Citrix ADC AAA - Application Traffic > Virtual Serversに移動します。 注:Citrix Gatewayから、Citrix Gateway > Virtual Serversに移動します。
  2. AAA Virtual Servers ペインの情報を確認して、設定が正しく、認証仮想サーバがトラフィックを受け入れていることを確認します。特定の仮想サーバーを選択して、詳細情報を詳細ウィンドウに表示できます。