Citrix ADC

認証ポリシー

Citrix ADCアプライアンスは、認証のためにUTF-8文字のみをエンコードします。ISO-8859-1文字を使用するサーバーとの互換性はありません。

Citrix ADCは、ローカルユーザーアカウントまたは外部認証サーバーを使用してユーザーを認証できます。アプライアンスは、次の認証タイプをサポートしています。

  • LOCAL

    外部認証サーバーを参照せずに、パスワードを使用してCitrix ADCアプライアンスに対して認証します。ユーザーデータは、Citrix ADCアプライアンスにローカルに保存されます。

  • RADIUS

    外部 RADIUS サーバに対する認証を行います。

  • LDAP

    外部 LDAP 認証サーバに対する認証を行います。

  • TACACS

    外部ターミナルアクセスコントローラアクセスコントロールシステム (TACACS) 認証サーバに対する認証を行います。

    ユーザーがTACACSサーバーに対して認証されると、Citrix ADCは後続のすべての認証のために同じTACACSサーバーに接続します。プライマリ TACACS サーバが使用できない場合、この機能により、ADC が最初の TACACS サーバがタイムアウトするのを待つ間遅延が回避されます。これは、2 番目の TACACS サーバに認可要求を再送信する前に発生します。

    TACACS サーバを介して認証する場合、認証、認可、および監査トラフィック管理ログは、TACACS コマンドを実行しただけです。TACACS コマンドの実行を許可されていないユーザが入力した TACACS コマンドをログに表示しないようにします。

NetScaler 12.0ビルド57.x以降、ターミナルアクセスコントローラアクセス制御システム(TACACS)は、TACACS要求の送信中に認証、承認、監査デーモンをブロックしていません。LDAP および RADIUS 認証が要求を続行できるようになります。TACACS サーバが TACACS 要求を確認すると、TACACS 認証要求が再開されます。

重要

  • 「clear ns config」コマンドを実行するときは、TACACS関連の設定を変更しないことをお勧めします。

  • 詳細ポリシーの「clear ns config」コマンドで「rbaConfig」パラメータが NO に設定されている場合、詳細ポリシーに関連する TACACS 関連の設定がクリアされ、再適用されます。

  • CERT

    外部認証サーバーを参照せずに、クライアント証明書を使用してCitrix ADCアプライアンスを認証します。

  • NEGOTIATE

    Kerberos 認証サーバに対する認証を行います。Kerberos 認証でエラーが発生した場合、Citrix ADC は NTLM 認証を使用します。

  • SAML

    Security Assertion Markup Language (SAML) をサポートするサーバーに対して認証します。

  • SAML IDP

    セキュリティアサーションマークアップ言語(SAML)アイデンティティプロバイダー(IdP)として機能するようにCitrix ADCを構成します。

  • WEB

    Web サーバに対する認証を行い、Web サーバが HTTP 要求で要求するクレデンシャルを提供し、Web サーバの応答を分析して、ユーザ認証が成功したかどうかを判断します。

認証ポリシーは、式とアクションで構成されます。認証ポリシーでは、Citrix ADC 式が使用されます。

認証アクションと認証ポリシーを作成したら、それを認証仮想サーバにバインドし、優先順位を割り当てます。バインドする場合は、プライマリポリシーまたはセカンダリポリシーとして指定します。プライマリポリシーは、セカンダリポリシーの前に評価されます。両方のタイプのポリシーを使用する構成では、通常、プライマリポリシーはより具体的なポリシーであり、セカンダリポリシーは通常、より一般的なポリシーです。これは、より具体的な基準を満たさないユーザーアカウントの認証を処理することを目的としています。

TACACS 認証に対する名前/値属性のサポート

TACACS 認証属性に、一意の名前と値を設定できるようになりました。名前は TACACS アクションパラメータで設定され、値は名前のクエリによって取得されます。name 属性値を指定することで、管理者は属性名に関連付けられた属性値を簡単に検索できます。また、管理者は属性値を単独で覚えておく必要がなくなりました。

重要

  • tacacsAction コマンドでは、合計サイズが 2048 バイト未満のカンマで区切られた最大 64 個の属性を設定できます。

CLI を使用して名前/値属性を設定するには

コマンドプロンプトで、次のように入力します。

add authentication tacacsAction <name> [-Attributes <string>]

例:

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”

コマンドラインインターフェイスを使用して認証アクションを追加するには

LOCAL 認証を使用しない場合は、明示的な認証アクションを追加する必要があります。コマンドプロンプトで、次のコマンドを入力します。

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

> add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

コマンドラインインターフェイスを使用して認証アクションを構成するには

既存の認証操作を構成するには、コマンドプロンプトで次のコマンドを入力します。

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

コマンドラインインターフェイスを使用して認証操作を削除するには

既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。

rm authentication radiusAction <name>

> rm authentication tacacsaction Authn-Act-1
Done

構成ユーティリティを使用して認証サーバーを構成するには

構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使用されますが、同じタスクを指します。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証]に移動します。
  2. 詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。

    • 新しい認証サーバを作成するには、[Add] をクリックします。
    • 既存の認証サーバーを変更するには、サーバーを選択し、[開く] をクリックします。
  3. [認証サーバーの作成] または [認証サーバーの構成] ダイアログボックスで、パラメーターの値を入力または選択します。

    • 名前*—radiusActionName (以前に設定されたアクションでは変更できません)
    • 認証タイプ*:authtype(RADIUSに設定され、変更不可)
    • IP Address*—serverip </IP>
    • IPv6*:サーバ IP が IPv6 IP である場合は、チェックボックスをオンにします。(コマンドラインに相当するものはありません)。
    • ポート*:serverPort
    • タイムアウト (秒) *—authTimeout
  4. [作成] または [OK] をクリックし、[閉じる] をクリックします。作成したポリシーが [認証ポリシーサーバー] ページに表示されます。

コマンドラインインターフェイスを使用して認証ポリシーを作成およびバインドするには

コマンドプロンプトで、次のコマンドを表示順に入力し、認証ポリシーを作成およびバインドし、構成を確認します。

  • add authentication negotiatePolicy <name> <rule> <reqAction>
  • show authentication localPolicy <name>
  • bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
  • show authentication vserver <name>

> add authentication localPolicy Authn-Pol-1 ns_true
Done
> show authentication localPolicy
1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done
> bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Done
> show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
Timeout: 180 sec Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
1)  Primary authentication policy name:  Authn-Pol-1 Priority: 0
Done

コマンドラインインターフェイスを使用して既存の認証ポリシーを変更するには

コマンドプロンプトで、次のコマンドを入力して、既存の認証ポリシーを変更します。

set authentication localPolicy <name> <rule> [-reqaction <action>]

> set authentication localPolicy Authn-Pol-1 'ns_true'
Done

コマンドラインインターフェイスを使用して認証ポリシーを削除するには

コマンドプロンプトで次のコマンドを入力して、認証ポリシーを削除します。

rm authentication localPolicy <name>

> rm authentication localPolicy Authn-Pol-1
Done

構成ユーティリティを使用して認証ポリシーを構成およびバインドするには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] に移動し、作成するポリシーのタイプを選択します。
  2. 詳細ウィンドウの [ポリシー] タブで、次のいずれかの操作を行います。

    • 新しいポリシーを作成するには、[Add] をクリックします。
    • 既存のポリシーを変更するには、アクションを選択し、[Edit] をクリックします。
  3. [認証ポリシーの作成] または [認証ポリシーの構成] ダイアログで、パラメータの値を入力または選択します。

    • 名前 :ポリシー名(以前に設定されたアクションでは変更できません)
    • 認証タイプ — authtype
    • サーバー — authVsName
    • — 規則 (式を入力するには、まず [式] ウィンドウの下の左端のドロップダウンリストで式のタイプを選択し、式のテキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、ダウンリストを使用して式を作成します)。
  4. [作成] または [OK] をクリックします 。作成したポリシーが [ポリシー] ページに表示されます。
  5. [サーバー] タブをクリックし、詳細ペインで次のいずれかの操作を行います。

    • 既存のサーバーを使用するには、そのサーバーを選択してをクリックします。
    • 新しいサーバーを作成するには、[追加] をクリックし、指示に従います。
  6. このポリシーをセカンダリ認証ポリシーとして指定する場合は、[認証] タブの [セカンダリ] をクリックします。このポリシーをプライマリ認証ポリシーとして指定する場合は、この手順をスキップします。
  7. [ポリシーの挿入]をクリックします。
  8. ドロップダウンリストから、認証仮想サーバにバインドするポリシーを選択します。
  9. 左側の [Priority] 列で、デフォルトの優先度を変更し、ポリシーが適切な順序で評価されるようにします。
  10. [OK] をクリックします。ポリシーが正常に構成されたことを示すメッセージがステータスバーに表示されます。

ユーザーの現在のログイン試行を取得するためのサポート

Citrix ADCアプライアンスには、ユーザーの現在のログイン試行の値を新しい式「aaa.user.login_attempts」で取得するオプションが用意されています。式は、1つの引数(ユーザー名)または引数なしのいずれかを取ります。引数がない場合、式は aaa_session または aa_info からユーザ名を取得します。

さらに処理するために、認証ポリシーで「aaa.user.login_attempts」式を使用できます。

CLI を使用してユーザごとのログイン試行回数を設定するには

コマンドプロンプトで、次のように入力します。

式を追加します。ユーザー.ログイン試行回数