Citrix ADC

nFactor 認証の要素として事前認証エンドポイント分析スキャンを設定する

Citrix Gateway では、エンドポイント分析(EPA)を設定して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可することができます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがエンドポイント分析プラグインをユーザーデバイスにインストールしない場合、またはスキャンをスキップした場合、ユーザーはCitrix Gateway プラグインを使用してログオンできません。必要に応じて、ユーザは隔離グループに配置され、ユーザは内部ネットワークリソースへのアクセスが制限されます。

nFactor 認証または多要素認証での EPA スキャン

このトピックでは、EPA スキャンは nFactor 認証または多要素認証の初期チェックとして使用されます。

ユーザーがCitrix Gateway の仮想IPアドレスに接続します。EPA スキャンが開始されます。EPA スキャンが成功すると、RADIUS または OTP ベースの認証用のユーザ名とパスワードフィールドを含むログインページが表示されます。それ以外の場合は、ユーザーはログインページとともにレンダリングされますが、今回はLDAPまたはAD(Active Directory)ベースの認証を使用して認証されます。ユーザーが指定した資格情報の成功または失敗に基づいて、ユーザーはアクセスを許可されます。

EPA後のこのロジックを実装する:

  1. EPAスキャンが成功すると、ユーザーはデフォルトのユーザー・グループに配置されるか、タグ付けされます。

  2. EPA スキャンが失敗した場合、ユーザーは隔離グループに配置されるか、またはタグ付けされます。

  3. 次の認証方法(RADIUS または LDAP)は、最初の 2 つの手順で決定されたユーザグループメンバシップに基づいて選択されます。

前提条件

次の設定が行われていることを確認します。

  • VPN 仮想サーバーまたはGateway および認証仮想サーバーの構成
  • 認証、承認、監査ユーザーグループ(デフォルトおよび隔離ユーザーグループ用)および関連するポリシー
  • LDAPおよびRADIUSサーバの設定および関連ポリシー

次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左にアプローチします。

この例でのポリシーとポリシーラベルのマッピング

注: セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

ビジュアライザーでのこの設定の表現

CLI を使用して、次の操作を実行します

  1. quarantined_group メンバシップをチェックし、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けるように LDAP 認証ポリシーを設定します。

    add authentication Policy ldap-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  2. default_group メンバシップをチェックし、特定の RADIUS サーバで認証するように設定された RADIUS ポリシーに関連付けるように Radius-auth ポリシーを設定します。

    add authentication Policy radius-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    
    radius_server1 is Radius Policy and radius-auth is policy name
    
  3. ポリシーラベル postepa-usergroup-check をログインスキーマとともに設定し、単一ファクタのユーザ名とパスワードを取得します。

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    

    注: 組み込みスキーマ lschema_single_factor_deviceid を使用しない場合は、要件に従ってスキーマに置き換えることができます。

  4. ステップ 1 および 2 で設定したポリシーを、ステップ 3 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    

    注: END は、そのレッグの認証メカニズムの終了を示します。

  5. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    

    default_group と Quarantined_group は、事前に設定されたユーザグループです。手順 5 の式は、macOS ユーザーのブラウザのバージョンが 10.0.3 未満であるか、または Windows 7 ユーザーに Service Pack 1 がインストールされているかどうかをスキャンします。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  6. EPA スキャンポリシーを認証、承認、および監査仮想サーバーに関連付けます。次の手順では、ポリシーラベル postepa-usergroup-check を指します。これは、認証の次のステップを実行するためです。

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    

nFactor ビジュアライザーを使用した構成

  1. [セキュリティ]>[AAA アプリケーショントラフィック]>[nFactor ビジュアライザー]>[nFactor フロー][追加] の順に選択します。

  2. + をクリックして nFactor フローを追加します。

    クリックして係数を追加します

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    係数の名前を追加する

    注: 最初の要素にはスキーマは必要ありません。

    最初の要素にスキーマは必要ありません

  4. [ポリシーの追加] をクリックし、[追加] をクリックして、EPA チェック用の認証ポリシーを作成します。

    クリックしてポリシーを追加します

  5. アクション」 フィールドで、「 追加」 をクリックしてEPAアクションを追加します。

    クリックしてアクションを追加

    EPA の詳細については、高度なエンドポイント分析スキャンの設定を参照してください。

  6. EPA_nFactor ブロックの緑の + 記号をクリックして、EPA ユーザグループチェックの次のファクタを追加します。

    クリックしてポストEPAユーザーグループチェックの次の要素を追加します

  7. [スキーマの追加] をクリックして、2 番目の要素のスキーマを追加します。スキーマの「単一ファクタデバイス ID」を選択します。

    クリックして 2 番目の要素のスキーマを追加

    第 2 ファクタのスキーマを選択

  8. [ポリシーの追加] をクリックして、LDAP 認証のポリシーを選択します。

    クリックすると、LDAP 認証のポリシーを追加できます

    LDAP のポリシーは、ユーザーが隔離グループの一部であるかどうかをチェックします。LDAP 認証の作成の詳細については、「LDAP認証の構成」を参照してください。

    LDAP 認証のポリシーの選択

  9. EPA_nFactor ブロックの青い + 記号をクリックして、2 番目の認証を追加します。

    クリックして 2 番目の認証を追加します

  10. [Add] をクリックして、RADIUS 認証のポリシーを選択します。RADIUS 認証の作成の詳細については、RADIUS認証の構成を参照してください。

    RADIUS 認証のポリシーを選択するには、[追加] をクリックします。

    LDAP のポリシーは、ユーザーがデフォルトグループの一部であるかどうかをチェックします。

    LDAP のポリシーの選択

  11. [完了] をクリックします。

  12. nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。[認証サーバにバインド] をクリックし、[作成] をクリックします。

    クリックしてフローを認証仮想サーバーにバインドします

nFactor フローのバインドを解除する

  1. nFactorフローを選択し、[バインディングを表示] をクリックします。

  2. 認証仮想サーバーを選択し、[バインド解除] をクリックします。

    nFactor フローのバインドを解除する

nFactor 認証の要素として事前認証エンドポイント分析スキャンを設定する