アプリケーショントラフィックの認証、承認、監査

認証ポリシーのネゴシエート

他の種類の認証ポリシーと同様に、Negotiate 認証ポリシーは式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。

標準の認証機能に加えて、Negotiate Action コマンドでは、手動で情報を入力する代わりに、キータブファイルからユーザー情報を抽出できるようになりました。キータブに複数の SPN がある場合、認証、承認、および監査によって正しい SPN が選択されます。この機能は、コマンドラインまたは構成ユーティリティを使用して構成できます。

これらの手順は、すでに LDAP プロトコルに精通しており、選択した LDAP 認証サーバをすでに設定していることを前提としています。

コマンドラインインターフェイスを使用して keytab ファイルからユーザー情報を抽出するように認証、承認、および監査を構成するには

コマンドプロンプトで、適切なコマンドを入力します。

  • add authentication negotiateAction <name> [-keytab <string>]
  • set authentication negotiateAction <name> [-keytab <string>]

> set authentication negotiateAction negotiateAction-1 -keytab keytab-1

設定ユーティリティを使用して keytab ファイルからユーザー情報を抽出するための認証、承認、および監査を構成するには

構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使用されますが、同じタスクを指します。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [ネゴシエート] に移動します。
  2. 詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。

    • 新しい [ネゴシエート] アクションを作成する場合は、[追加] をクリックします。
    • 既存の [ネゴシエート] アクションを変更する場合は、データウィンドウでアクションを選択し、[編集] をクリックします。
  3. 新しい [ネゴシエート] アクションを作成する場合は、[名前] テキストボックスに新しいアクションの名前を入力します。名前の長さは 1 ~ 127 文字で、大文字、小文字、数字、ハイフン (-) およびアンダースコア (_) を使用できます。既存の「ネゴシエート」アクションを変更する場合は、この手順をスキップします。名前は読み取り専用です。変更できません。
  4. [ネゴシエート] で、[キータブファイルを使用] チェックボックスがオンになっていない場合は、オンにします。
  5. 「キータブファイルのパス」テキストボックスに、使用するキータブファイルのフルパスとファイル名を入力します。
  6. [既定の認証グループ] テキストボックスに、このユーザーの既定として設定する認証グループを入力します。
  7. [作成] または [OK] をクリックして 変更を保存します。