製品ドキュメント
Citrix ADC
Current Release 13.0 12.1
PDFを表示

nFactor 認証の要素として事前認証エンドポイント分析スキャンを設定する

October 7, 2021
寄稿者: 
C

Citrix Gateway では、エンドポイント分析(EPA)を設定して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可することができます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがエンドポイント分析プラグインをユーザーデバイスにインストールしない場合、またはスキャンをスキップした場合、ユーザーはCitrix Gateway プラグインを使用してログオンできません。必要に応じて、ユーザは隔離グループに配置され、ユーザは内部ネットワークリソースへのアクセスが制限されます。

nFactor 認証または多要素認証での EPA スキャン

このトピックでは、EPA スキャンは nFactor 認証または多要素認証の初期チェックとして使用されます。

ユーザーがCitrix Gateway の仮想IPアドレスに接続します。EPA スキャンが開始されます。EPA スキャンが成功すると、RADIUS または OTP ベースの認証用のユーザ名とパスワードフィールドを含むログインページが表示されます。それ以外の場合は、ユーザーはログインページとともにレンダリングされますが、今回はLDAPまたはAD(Active Directory)ベースの認証を使用して認証されます。ユーザーが指定した資格情報の成功または失敗に基づいて、ユーザーはアクセスを許可されます。

EPA後のこのロジックを実装する:

  1. EPAスキャンが成功すると、ユーザーはデフォルトのユーザー・グループに配置されるか、タグ付けされます。

  2. EPA スキャンが失敗した場合、ユーザーは隔離グループに配置されるか、またはタグ付けされます。

  3. 次の認証方法(RADIUS または LDAP)は、最初の 2 つの手順で決定されたユーザグループメンバシップに基づいて選択されます。

前提条件

次の設定が行われていることを確認します。

  • VPN 仮想サーバーまたはGateway および認証仮想サーバーの構成
  • 認証、承認、監査ユーザーグループ(デフォルトおよび隔離ユーザーグループ用)および関連するポリシー
  • LDAPおよびRADIUSサーバの設定および関連ポリシー

次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左にアプローチします。

この例でのポリシーとポリシーラベルのマッピング

注: セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

ビジュアライザーでのこの設定の表現

CLI を使用して、次の操作を実行します

  1. quarantined_group メンバシップをチェックし、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けるように LDAP 認証ポリシーを設定します。次のサンプルコマンドでは、ldap-authは認証ポリシーの名前で、 ldap_server1は作成された LDAP アクションの名前です。

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
<!--NeedCopy-->

  2. default_group メンバシップをチェックし、特定の RADIUS サーバで認証するように設定された RADIUS ポリシーに関連付けるように Radius-auth ポリシーを設定します。次のコマンド例では、 radius-auth は認証ポリシーの名前で、 radius_server1 は作成された RADIUS アクションの名前です。

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
<!--NeedCopy-->

  3. ポリシーラベル postepa-usergroup-check をログインスキーマとともに設定し、単一ファクタのユーザ名とパスワードを取得します。

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
<!--NeedCopy-->

    注: 組み込みスキーマ lschema_single_factor_deviceid を使用しない場合は、要件に従ってスキーマに置き換えることができます。

  4. ステップ 1 および 2 で設定したポリシーを、ステップ 3 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END

bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
<!--NeedCopy-->

    注: END は、そのレッグの認証メカニズムの終了を示します。

  5. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
<!--NeedCopy-->

    default_group と Quarantined_group は、事前に設定されたユーザグループです。手順 5 の式は、macOS ユーザーのブラウザのバージョンが 10.0.3 未満であるか、または Windows 7 ユーザーに Service Pack 1 がインストールされているかどうかをスキャンします。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
<!--NeedCopy-->

  6. EPA スキャンポリシーを認証、承認、および監査仮想サーバーに関連付けます。次の手順では、ポリシーラベル postepa-usergroup-check を指します。これは、認証の次のステップを実行するためです。

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
<!--NeedCopy-->

nFactor ビジュアライザーを使用した構成

  1. セキュリティ > AAA アプリケーショントラフィック > nFactor ビジュアライザー > nFactor フローに移動し追加をクリックします。

  2. + をクリックして nFactor フローを追加します。

    クリックして係数を追加します

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    係数の名前を追加する

    注: 最初の要素にはスキーマは必要ありません。

    最初の要素にスキーマは必要ありません

  4. [ポリシーの追加] をクリックし、[追加] をクリックして、EPA チェック用の認証ポリシーを作成します。

    クリックしてポリシーを追加します

  5. アクション」 フィールドで、「 追加」 をクリックしてEPAアクションを追加します。

    クリックしてアクションを追加

    EPA の詳細については、「 高度なエンドポイント分析スキャンの構成」を参照してください。

  6. EPA_nFactor ブロックの緑の + 記号をクリックして、EPA ユーザグループチェックの次のファクタを追加します。

    クリックしてポストEPAユーザーグループチェックの次の要素を追加します

  7. [スキーマの追加] をクリックして、2 番目の要素のスキーマを追加します。スキーマの「単一ファクタデバイス ID」を選択します。

    クリックして 2 番目の要素のスキーマを追加

    第 2 ファクタのスキーマを選択

  8. [ポリシーの追加] をクリックして、LDAP 認証のポリシーを選択します。

    クリックすると、LDAP 認証のポリシーを追加できます

    LDAP のポリシーは、ユーザーが隔離グループの一部であるかどうかをチェックします。LDAP 認証の作成の詳細については、「LDAP 認証の設定」を参照してください。

    LDAP 認証のポリシーの選択

  9. EPA_nFactor ブロックの青い + 記号をクリックして、2 番目の認証を追加します。

    クリックして 2 番目の認証を追加します

  10. [Add] をクリックして、RADIUS 認証のポリシーを選択します。RADIUS 認証の作成の詳細については、「RADIUS 認証の設定」を参照してください。

    RADIUS 認証のポリシーを選択するには、[追加] をクリックします。

    LDAP のポリシーは、ユーザーがデフォルトグループの一部であるかどうかをチェックします。

    LDAP のポリシーの選択

  11. [完了] をクリックします。

  12. nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。[認証サーバにバインド] をクリックし、[作成] をクリックします。

    クリックしてフローを認証仮想サーバーにバインドします

nFactor フローのバインドを解除する

  1. nFactor フローを選択し、[ バインドを表示] をクリックします。

  2. 認証仮想サーバーを選択し、[ バインド解除] をクリックします。

    nFactor フローのバインドを解除する

nFactor 認証の要素として事前認証エンドポイント分析スキャンを設定する
October 7, 2021
寄稿者: 
C
October 7, 2021
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Cloud Software Group, Inc. All rights reserved.