Citrix ADC

nFactor 認証の要素として、認証前および認証後の EPA スキャンを構成する

Citrix Gateway では、エンドポイント分析(EPA)を設定して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可することができます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがエンドポイント分析プラグインをユーザーデバイスにインストールしない場合、ユーザーはCitrix Gateway プラグインを使用してログオンできません。

nFactor の概念における EPA については、「NetScaler によるnFactor認証でEPAに使用される概念とエンティティ」を参照してください。

このトピックでは、nFactor 認証または多要素認証の初期チェックとして EPA スキャンを使用し、ログインと EPA スキャンを最終チェックとして使用します。

nFactor認証または多要素認証の初期チェックとして使用されるEPAスキャンの表現

ユーザーがCitrix Gateway の仮想IPアドレスに接続します。EPA スキャンが開始されます。EPA スキャンが成功すると、LDAP または AD (Active Directory) ベースの認証用のユーザー名とパスワードフィールドとともにログインページが表示されます。ユーザー資格情報の成功に基づいて、ユーザーは次の EPA 要素にリダイレクトされます。

この構成に関連するハイレベルの手順

  1. スキャンが成功すると、ユーザーはデフォルトのユーザー・グループに配置されるか、タグ付けされます。

  2. 次の認証方式(LDAP)が選択されます。

  3. 認証の結果に基づいて、ユーザーには次のスキャンセットが表示されます。

前提条件

以下の設定が行われていることを前提としています。

  • VPN 仮想サーバー/ゲートウェイおよび認証仮想サーバーの構成
  • 認証、承認、監査ユーザーグループ(デフォルトおよび隔離ユーザーグループ用)および関連するポリシー
  • LDAP サーバの設定と関連ポリシー

CLI を使用した設定

  1. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    

    上記の式は、Firefox プロセスがクライアントマシンで実行されているかどうかをスキャンします。

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    
  2. EPA スキャンのポリシーをホストするポリシーラベル post-epa-scan を設定します。

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    

    注: LSCHEMA_INTは、スキーマ(noschema)のない組み込みスキーマです。つまり、このステップでは追加のWebページがユーザーに表示されません。

  3. ステップ 1 で設定したポリシーを、ステップ 2 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    

    END は、認証メカニズムの終了を示します。

  4. ldap-auth ポリシーを設定し、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けます。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  5. ポリシーラベル ldap-factor を設定し、ログインスキーマを使用して、単一ファクタのユーザ名とパスワードを取得します。

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    

    注: ビルドされたスキーマLoginSchema/SingleAuth.xmlで使用したくない場合は、必要なスキーマに置き換えてください。

  6. ステップ 4 で設定したポリシーを、ステップ 5 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    

    END は、そのレッグの認証メカニズムの終了を示し、nextFactor は認証に続く次の要素を示します。

  7. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    

    ここでは、default_group は事前設定されたユーザグループです。

    上記の式は、Windows 7 ユーザーに Service Pack 1 がインストールされている場合にスキャンします。

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    
  8. 認証の次のステップを実行するポリシーラベル ldap-factor を指す次の手順で、EPA スキャンポリシーを認証、認可、および監査仮想サーバーに関連付けます。

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    

GUI を使用した設定

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [アクション] > [EPA] に移動します。

    Windows の自動更新と既定のグループをチェックする最初の EPA スキャン

    最初のEPAスキャンを作成

    Firefoxブラウザをチェックするための2番目のEPAスキャン

    2 回目の EPA スキャンを作成

  2. EPA ポリシーを作成します。[セキュリティ] > [AAA アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー] に移動し、手順 1 で作成したアクションをバインドします。

    最初の EPA スキャンのポリシー

    最初の EPA スキャンのポリシーを作成

    2 回目の EPA スキャンのポリシー

    2 回目の EPA スキャンのポリシーを作成

    高度な EPA の詳細については、高度なエンドポイント分析スキャンを参照してください

  3. nFactor フローを作成します。[セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加] をクリックします。

    クリックしてn係数を追加します

    注: nFactor ビジュアライザーは、ファームウェア 13.0 以降で使用できます。

  4. 係数を追加します。入力する名前は nFactor フローの名前です。

    因子名の追加

    EPA スキャンにスキーマは必要ありません。

  5. [Add Policy] をクリックして、最初の要素のポリシーを追加します。

    クリックしてポリシーを追加します

  6. 手順 2 で作成した最初の EPA ポリシーを選択します。

    最初の EPA ポリシーをクリックして選択します

  7. 緑色の + 記号をクリックし、次の要素、つまりLDAP認証を追加します。

    クリックして次の係数を追加します

  8. [スキーマの追加] をクリックし、[追加] をクリックして、2 番目の要素のスキーマを追加します。

    クリックしてスキーマを追加

  9. スキーマ(この例では Single_Auth)を作成し、このスキーマを選択します。

    単一の認証スキーマの作成

    単一の認証スキーマの選択

  10. [Add Policy] をクリックして、認証用の LDAP ポリシーを追加します。

    認証用の LDAP ポリシーの追加

    LDAP 認証の作成の詳細については、「LDAP認証の構成」を参照してください。

  11. 認証後のEPAスキャン用の次の要素を作成します。

    ポスト認証 EPA スキャンの次の要素を作成

  12. [ポリシーの追加] をクリックし、手順 2 で作成した Second EPA_Check ポリシーを選択して、[追加] をクリックします。

    クリックしてポリシーを追加します

  13. [完了] をクリックします。

  14. [認証サーバーにバインド] をクリックし、nFactor フローを選択して [作成] をクリックします。

    フローを認証仮想サーバーにバインドする

nFactor フローのバインドを解除する

  1. nFactorフローを選択し、[バインディングを表示] をクリックします。

  2. 認証仮想サーバーを選択し、[バインド解除] をクリックします。

    認証仮想サーバからフローをバインド解除する

nFactor 認証の要素として、認証前および認証後の EPA スキャンを構成する