Citrix ADC

Citrix ADC nFactor認証で、1つのログインスキーマと1つのパススルースキーマを使用して2要素認証を構成する

次のセクションでは、1 つのログインスキーマと 1 つのパススルースキーマでの 2 要素認証の使用事例について説明します。

1 つのログインスキーマと 1 つのパススルースキーマによる 2 要素認証

管理者が 1 つのログインスキーマと 1 つのパススルースキーマを使用して 2 要素認証を設定するユースケースを想定します。クライアントは、1つのユーザー名と2つのパスワードを送信します。ユーザー名とパスワードの最初のセットは LDAP ポリシーを通じて第 1 要素として評価され、第 2 のパスワードは RADIUS ポリシーを通じて第 2 要素として評価されます。

  1. トラフィック管理仮想サーバにアクセスすると、認証用のログインページにリダイレクトされます。

  2. クライアントは、ユーザー名と2つのパスワード(例:user1、pass1、pass2)を送信します。

  3. 第 1 ファクタは、ユーザー 1 とパス 1 の LDAP アクションに対して評価されます。評価は成功し、次の要素、ポリシー「label1」に渡されます。この場合。

  4. ポリシーラベルは、2 番目の要素が RADIUS ポリシーを使用したパススルーであることを指定します。パススルースキーマとは、Citrix ADCアプライアンスがそれ以上の入力のためにクライアントに戻らないことを意味します。Citrix ADCは、すでに持っている情報を使用します。この場合、ユーザー 1 とパス 2 です。第二因子は暗黙的に評価されます。

  5. 認証サーバは Cookie と、クライアントのブラウザをトラフィック管理仮想サーバにリダイレクトする応答を返します。この仮想サーバでは、要求されたコンテンツが使用可能です。ログインに失敗すると、クライアントが再試行できるように、元のログオンページがクライアントブラウザに表示されます。

    ログオンページ

CLI を使用して、次の操作を実行します

  1. トラフィック管理と認証仮想サーバを設定します。

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. 第 2 要素を設定します。

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. LDAP および RADIUS ファクタを設定します。

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. ポリシーをバインドします。

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

nFactor ビジュアライザの 2 つの因子

nFactor ビジュアライザーを使用した構成

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加] をクリックします。

  2. + をクリックして nFactor フローを追加します。

    フローの追加

  3. 係数を追加します。入力する名前は nFactor フローの名前です。[作成] をクリックします。

    フローの名前を追加する

  4. 第 1 要素に 2 つのパスワードスキーマを追加するには、[スキー マの追加] をクリックします。

    スキーマの追加

  5. [ポリシーの追加] をクリックして、LDAP ポリシーを追加します。認証ポリシーを作成するか、リストから既存の認証ポリシーを選択できます。

    LDAP ポリシーの追加

  6. [操作] タブで、[LDAP サーバー] を選択します。

    LDAP ポリシーの追加

    LDAP サーバーが追加されていない場合、LDAP サーバーの追加の詳細については、「LDAP 認証ポリシー」を参照してください。

  7. 緑の [+] をクリックして RADIUS 係数を追加し、[作成] をクリックします。

    次の係数を追加

  8. この係数のスキーマを追加しないでください。デフォルトではスキーマは使用されません。RADIUS 認証ポリシーを追加するには、[ポリシーの追加] をクリックします。

    Radius 認証ポリシー

    RADIUS サーバを追加しない場合、RADIUS サーバの追加の詳細については、RADIUS認証を構成するにはを参照してください。

  9. [完了] をクリックして、設定を保存します。

  10. 作成した nFactor フローを認証、承認、および監査の仮想サーバーにバインドするには、[認証サーバーにバインド] をクリックし、[作成] をクリックします。

    バインド認証サーバー

Citrix ADC nFactor認証で、1つのログインスキーマと1つのパススルースキーマを使用して2要素認証を構成する