Citrix ADC

Citrix ADC nFactor 認証で証明書からプリフィルのユーザー名を構成する

次のセクションでは、2 要素認証の使用事例について説明します。最初の要素は、証明書認証に続いて LDAP です。

使用例:証明書および LDAP 認証

管理者が 2 要素認証を設定するユースケースを想定します。証明書認証としての第 1 レベル、LDAP 認証に続く。最初の要素の一部として、クライアントはユーザー証明書を要求します。ユーザー名は証明書から抽出され、次の要素で返されるログオンフォームのユーザー名フィールドに事前に入力されます。

  1. クライアントブラウザは、トラフィック管理仮想サーバにアクセスし、認証用のログオンページにリダイレクトされます。

  2. 最初の要素は、ユーザー名を抽出する証明書アクションに対して評価されます。評価は成功し、この場合は次の要因、ポリシー「label1」に渡されます。

  3. ポリシーラベルは、2 番目の要素が LDAP ポリシーを使用したログインスキーマ「login1” であることを指定します。

  4. LDAP 認証用にユーザーからパスワードを取得するために、ユーザー名が事前に入力されたログオンフォームが返されます。

  5. 認証サーバは Cookie と応答を返し、クライアントのブラウザをトラフィック管理仮想サーバにリダイレクトします。この仮想サーバでは、要求されたコンテンツが戻されます。一方、ログインに失敗すると、クライアントのブラウザに元のログオンページが表示され、クライアントは再試行できます。

セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

nFactor visualizer SAML and LDAP

CLI を使用して、次の操作を実行します

  1. トラフィック管理仮想サーバと認証サーバを設定します。

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      または

    • set ssl parameter –denysslrenegotiation NO
  2. 最初の要素を証明書処理として設定します。

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. 2 番目の要素を設定します。

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. LDAP アクションを設定します。

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. ポリシーをバインドします。

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

nFactor ビジュアライザーを使用した構成

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加] をクリックします。

  2. + をクリックして nFactor フローを追加します。

    クリックしてフローを追加

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    フローの名前を追加する

  4. 証明書の認証にスキーマは必要ありません。

  5. [ポリシーの追加] をクリックして、証明書認証のポリシーを作成します。

    プリフィルポリシー

  6. 証明書認証のポリシーを追加します。

    証明書ポリシーの追加

    注:

    証明書認証の詳細については、クライアント証明書認証ポリシーの構成およびバインドを参照してください。

  7. 証明書ポリシーの横にある緑の [+] をクリックして、次の要素を追加します。

    ポリシーの次の要素を追加

  8. [ファクタの作成] を選択して、LDAP 認証のファクタを作成します。

    要素LDAPの作成

  9. [スキーマの追加] をクリックして、ユーザー名があらかじめ入力されている 2 番目の要素に PrefilUserFormExpr.xml スキーマを追加します。

    入力済みのユーザー名

  10. [Add Policy] を選択して、LDAP 認証のポリシーを追加します。

    LDAP のポリシー

    注:

    LDAP認証の作成の詳細については、構成ユーティリティを使用して LDAP 認証を構成するにはを参照してください。

  11. [完了] をクリックして、設定を保存します。

  12. 作成した nFactor フローを認証、承認、および監査の仮想サーバーにバインドするには、[認証サーバーにバインド] をクリックし、[作成] をクリックします。

    バインド認証サーバー

    注:

    [バインドのみ を表示] の [nFactor フロー] で指定されたオプションを使用して、nFactor フローをバインドおよびバインド解除します。

nFactor フローのバインドを解除する

  1. nFactor フローを選択し、[バインドを表示] をクリックします。

  2. 認証仮想サーバーを選択し、[バインド解除] をクリックします。

    認証サーバのバインド解除

Citrix ADC nFactor 認証で証明書からプリフィルのユーザー名を構成する