Citrix ADC

nFactor 認証の設定

2つの要素だけでなく、nFactor構成を使用して複数の認証要素を構成できます。nFactor構成は、Citrix ADC AdvancedエディションとPremiumエディションでのみサポートされています。

nFactorを設定する方法

NFactor認証は、次のいずれかの方法で設定できます。

  • nFactorビジュアライザー: nFactorビジュアライザーを使用すると、簡単に1つのペインに一緒にファクターやポリシーラベルをリンクし、同じペイン内のファクターのリンクを変更することができます。ビジュアライザーを使用してnFactorフローを作成し、そのフローをCitrix ADC AAA仮想サーバーにバインドできます。nFactor ビジュアライザーの詳細と、ビジュアライザーを使用した nFactor の設定例については、「シンプルな構成のためのnFactorビジュアライザー」を参照してください。

  • Citrix ADC GUI: 詳細については、「nFactor構成に関係する構成要素」を参照してください。

  • Citrix ADC CLI: Citrix ADC CLIを使用したnFactor構成のサンプルスニペットについては、「Citrix ADC CLIを使用したnFactor構成のサンプルスニペット」を参照してください。

重要: このトピックでは、Citrix ADC GUIを使用してnFactorを構成する方法の詳細について説明します。

nFactor構成に関係する構成要素

nFactorの設定には、次の要素が含まれます。詳細な手順については、このトピックの該当するセクションを参照してください。

構成要素 実行するタスク
AAA 仮想サーバ AAA仮想サーバの作成
  ポータルテーマをAAA仮想サーバーにバインドする
  クライアント証明書の認証を有効にする
ログインスキーマ ログインスキーマプロファイルの設定
  ログインスキーマポリシーの作成とバインド
高度な認証ポリシー 高度な認証ポリシーの作成
  第1要素の高度な認証ポリシーをCitrix ADC AAA仮想サーバーにバインドする
  抽出されたLDAPグループを使用して、次の認証係数を選択する
認証ポリシーのラベル 認証ポリシーラベルの作成
  認証ポリシーラベルのバインド
Citrix GatewayのnFactor Citrix ADC AAA仮想サーバーをCitrix Gateway仮想サーバーにリンクするための認証プロファイルの作成
  Citrix GatewayのSSLパラメーターとCA証明書の構成
  StoreFrontへのnFactorシングルサインオンのためのCitrix Gatewayトラフィックポリシーを構成する

nFactorのしくみ

ユーザーがCitrix ADC AAAまたはCitrix Gateway仮想サーバーに接続すると、次の一連のイベントが発生します。

  1. フォームベース認証を使用する場合、Citrix ADC AAA仮想サーバーにバインドされたログインスキーマが表示されます。

  2. Citrix ADC AAA仮想サーバーにバインドされた高度な認証ポリシーが評価されます。
    • 高度な認証ポリシーが成功し、次の要素(認証ポリシーラベル)が設定されている場合は、次の要素が評価されます。Next Factor が設定されていない場合、認証は完了して成功します。
    • 高度な認証ポリシーが失敗し、[Goto Expression] が [Next] に設定されている場合、次にバインドされた高度な認証ポリシーが評価されます。高度な認証ポリシーのいずれも成功しなかった場合、認証は失敗します。
  3. 次のファクタ認証ポリシーラベルにバインドされたログインスキーマがある場合、そのラベルはユーザーに表示されます。
  4. 次の要素認証ポリシーラベルにバインドされた高度な認証ポリシーが評価されます。
    • 高度な認証ポリシーが成功し、次の要素(認証ポリシーラベル)が設定されている場合は、次の要素が評価されます。
    • Next Factor が設定されていない場合、認証は完了して成功します。
  5. 高度な認証ポリシーが失敗し、[Goto Expression] が [Next] の場合、次にバインドされた高度な認証ポリシーが評価されます。

  6. 高度な認証ポリシーのいずれも成功しなかった場合、認証は失敗します。

AAA 仮想サーバ

Citrix GatewayでnFactorを使用するには、まずAAA仮想サーバー上でnFactorを構成します。その後、AAA仮想サーバーをCitrix Gateway仮想サーバーにリンクします。

AAA 仮想サーバの作成

  1. AAA 機能がまだ有効になっていない場合は、[セキュリティ]>[AAA-アプリケーショントラフィック] に移動し、右クリックして機能を有効にします。

    ローカライズされた画像

  2. [設定]>[セキュリティ]>[AAA-アプリケーショントラフィック]>[仮想サーバ] に移動します。

    ローカライズされた画像

  3. [Add] をクリックして、認証仮想サーバーを作成します。

    ローカライズされた画像

  4. 次の情報を入力し、[OK] をクリックします。

    パラメーター名 パラメータの説明
    名前 AAA 仮想サーバの名前。
    IPアドレスの種類 この仮想サーバーがCitrix Gatewayでのみ使用されている場合は、[IPアドレスの種類]を [アドレス不可] に変更します。

    ローカライズされた画像

  5. [証明書]で、[サーバー証明書なし] を選択します。

    ローカライズされた画像

  6. テキストをクリックして、サーバー証明書を選択します。

    ローカライズされた画像

  7. AAA 仮想サーバの証明書の横にあるオプションボタンをクリックし、[Select] をクリックします。このサーバに直接アクセスできないため、選択した証明書は関係ありません。

    ローカライズされた画像

  8. [バインド] をクリックします。

    ローカライズされた画像

  9. [続行] をクリックして [証明書] セクションをクリックします。

    ローカライズされた画像

  10. [続行] をクリックします。

    ローカライズされた画像

ポータルテーマをAAA仮想サーバーにバインドする

  1. [Citrix Gateway]>[ポータルテーマ] に移動し、テーマを追加します。Citrix Gatewayでテーマを作成し、後でそれをAAA仮想サーバーにバインドします。

    ローカライズされた画像

  2. RFWebui テンプレートテーマに基づいてテーマを作成します。

    ローカライズされた画像

  3. 必要に応じてテーマを調整した後、ポータル・テーマ編集ページの上部で、構成済テーマのバインドと表示をクリックします。

    ローカライズされた画像

  4. 選択を[認証]に変更します。[認証仮想サーバ名] ドロップダウンメニューから、AAA 仮想サーバを選択し、[バインドとプレビュー] をクリックしてプレビューウィンドウを閉じます。

    ローカライズされた画像

クライアント証明書の認証を有効にする

認証要因の 1 つがクライアント証明書である場合、AAA 仮想サーバでいくつかの SSL 設定を実行する必要があります。

  1. [トラフィック管理]>[SSL]>[証明書]>[CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。ルート証明書にはキーファイルがありません。

    ローカライズされた画像

    ローカライズされた画像

  2. [トラフィック管理]>[SSL]>[SSLの詳細設定の変更] に移動します。

    ローカライズされた画像

    a. 下にスクロールして、[既定のプロファイル][有効] かどうかを確認します。「はい」の場合は、SSLプロファイルを使用してクライアント証明書認証を有効にする必要があります。それ以外の場合は、[SSL パラメータ] セクションの AAA 仮想サーバでクライアント証明書認証を直接有効にできます。

  3. デフォルトのSSLプロファイルが有効になっていない場合:

    a.[セキュリティ]>[AAA-アプリケーション]>[仮想サーバ] に移動し、既存の AAA 仮想サーバを編集します。

    ローカライズされた画像

    b. 左側の [SSL パラメータ] セクションで、鉛筆アイコンをクリックします。

    ローカライズされた画像

    c.[クライアント認証] の横にあるチェックボックスをオンにします。

    d.[クライアント証明書] ドロップダウンメニューで [オプション] が選択 されていることを確認し、[OK] をクリックします。

    ローカライズされた画像

  4. デフォルトのSSLプロファイルが有効になっている場合は、クライアント認証を有効にして新しいSSLプロファイルを作成します。

    a. 左側のメニューで、[システム] を展開し、[プロファイル] をクリックします。

    b. 右上の [SSL プロファイル] タブに切り替えます。

    c. ns_default_ssl_profile_フロントエンドプロファイルを右クリックし、[追加] をクリックします。これにより、既定のプロファイルから設定がコピーされます。

    d. プロフィールに名前を付けます。このプロファイルの目的は、クライアント証明書を有効にすることです。

    e. 下にスクロールして、[クライアント認証] チェックボックスを選択します。チェックボックスをオンにします。

    f. [クライアント証明書]ドロップダウンを[オプション]に変更します。

    g. デフォルトの SSL プロファイルをコピーしても SSL 暗号はコピーされないため、やり直す必要があります。

    h. SSL プロファイルの作成が完了したら、[完了] をクリックします。

    i. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、AAA 仮想サーバを編集します。

    j. [SSL プロファイル] セクションまで下にスクロールし、鉛筆をクリックします。

    k. [SSLプロファイル] ドロップダウンを、クライアント証明書が有効になっているプロファイルに変更します。[OK] をクリックします。

    l. CA 証明書をバインドする指示が表示されるまで、この記事を下にスクロールします。

  5. 左側の [証明書] セクションで、[CA 証明書なし] と表示されている場所をクリックします。

    ローカライズされた画像

  6. テキストをクリックし、 クリックして選択します。

    ローカライズされた画像

  7. クライアント証明書の発行者のルート証明書の横にあるオプションボタンをクリックし、[Select] をクリックします。

    ローカライズされた画像

  8. [バインド] をクリックします。

    ローカライズされた画像

ログインスキーマ XML ファイル

ログインスキーマは、フォームベース認証ログオンページの構造を提供するXMLファイルです。

nFactorは、一緒にチェーンされている複数の認証要因を意味します。各ァクターは、異なるログインスキーマページ/ファイルを持つことができます。一部の認証シナリオでは、ユーザーに複数のログオン画面が表示される場合があります。

ログインスキーマプロファイルの設定

ログインスキーマプロファイルを構成するには、次の手順に従います。

  1. nFactor設計に基づいてログインスキーマ.XMLファイルを作成または編集します。
  2. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

    ローカライズされた画像

  3. 右側の [プロファイル] タブに切り替えて、[追加] をクリックします。

    ローカライズされた画像

  4. [認証スキーマ] フィールドで、鉛筆アイコンをクリックします。

    ローカライズされた画像

  5. LoginSchemaフォルダをクリックして、その中のファイルを表示します。

    ローカライズされた画像

  6. ファイルの1つを選択します。右側にプレビューが表示されます。ラベルを変更するには、右上の [編集] ボタンをクリックします。

    ローカライズされた画像

  7. 変更を保存すると、/NSConfig/LoginSchemaの下に新しいファイルが作成されます。

    ローカライズされた画像

  8. 右上の [選択] をクリックします。

    ローカライズされた画像

  9. ログインスキーマに名前を付けて、[詳細] をクリックします。

    ローカライズされた画像

  10. 通常、入力した認証情報は別の場所で使用する必要があります。たとえば、後でStoreFrontにシングルサインオンするには、ユーザー名とパスワードを使用する必要があります。[認証ログインスキーマの作成] ページの下部にある [詳細] をクリックし、索引に一意の値を入力します。これらの値は1 ~ 16の範囲です。

    ローカライズされた画像

    a. 後で、HTTP.REQ.USER.Attribute (#) という式を使用して、トラフィックポリシー/プロファイルでこれらのインデックス値を参照します。

  11. [OK] をクリックして、ログインスキーマプロファイルを作成します。

    注: 後でログインスキーマ.xmlファイルを編集すると、ログインスキーマプロファイルを編集して.xmlファイルを再度選択するまで、変更が反映されないことがあります。

ログインスキーマポリシーの作成とバインド

ログインスキーマプロファイルを AAA仮想サーバにバインドするには、まずログインスキーマポリシーを作成する必要があります。後で詳しく説明するように、ログインスキーマプロファイルを認証ポリシーラベルにバインドする場合、ログインスキーマポリシーは必要ありません。

ログインスキーマポリシーを作成してバインドするには、次の手順に従います:

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

    ローカライズされた画像

  2. [Policies] タブで [Add] をクリックします。

    ローカライズされた画像

  3. [プロファイル] ドロップダウンメニューを使用して、すでに作成したログインスキーマプロファイルを選択します。

  4. [規則] ボックスに「既定の構文式」(true など) を入力し、[作成] をクリックします。

    ローカライズされた画像

  5. 左側で、[セキュリティ]>[AAA-アプリケーショントラフィック]>[仮想サーバ] に移動し、既存のAAA仮想サーバを編集します。

    ローカライズされた画像

  6. [詳細設定]列で、[ログインスキーマ] をクリックします。

    ローカライズされた画像

  7. [ログインスキーマ]セクションで、[ログインスキーマなし] というテキストをクリックします。

    ローカライズされた画像

  8. テキストをクリックし、 クリックして選択します。

    ローカライズされた画像

  9. ログインスキーマポリシーの横にあるオプションボタンをクリックし、[Select] をクリックします。このリストには、ログインスキーマポリシーのみが表示されます。ログインスキーマプロファイル(ポリシーなし)は表示されません。

    ローカライズされた画像

  10. [バインド] をクリックします。

高度な認証ポリシー

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

高度な認証ポリシーの作成

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

認証アクション/サーバ(LDAP、RADIUS、CERT、SAMLなど)が必要です 高度な認証ポリシーを作成する場合、認証アクション/サーバーを作成できるプラス(追加)アイコンが表示されます。

または、高度な認証ポリシーを作成する前に、認証アクション (サーバー) を作成することもできます。認証サーバーは、[認証] > [ダッシュボード] の下にあります。右側の [追加] をクリックし、[サーバーの種類] を選択します。これらの認証サーバの作成手順については、ここでは詳しく説明しません。「認証 — NetScaler 12/Citrix ADC 12.1」の手順を参照してください。

高度な認証ポリシーを作成するには、次の手順に従います。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー]に移動します。

    ローカライズされた画像

  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • ポリシーを作成するには、[追加] をクリックします。
    • 既存のポリシーを変更するには、ポリシーを選択し、[Edit] をクリックします。
  3. [認証ポリシーの作成] または [認証ポリシーの構成] ダイアログボックスで、パラメーターの値を入力または選択します。

    ローカライズされた画像

    • Name :ポリシー名。以前に構成されたポリシーでは変更できません。
    • [アクションタイプ] -ポリシータイプ:[証明書]、[ネゴシエート]、[LDAP]、[RADIUS]、[SAML]、[SAMLIDP]、[TACACS]、または [WEBAUTH]。
    • Action:ポリシーに関連付ける認証アクション(プロファイル)。既存の認証アクションを選択するか、プラスをクリックして適切なタイプのアクションを作成できます。
    • Log Action-ポリシーに関連付ける監査アクション。既存の監査アクションを選択することも、プラスをクリックしてアクションを作成することもできます。 アクションが設定されていないか、アクションを作成するには、[追加] をクリックして手順を完了します。
    • Expression-指定したアクションを適用する接続を選択するルール。ルールは、シンプル(「true」はすべてのトラフィックを選択)または複雑にすることができます。式を入力するには、まず [式] ウィンドウの下の左端のドロップダウンリストで式のタイプを選択し、次に式のテキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式で指定します)。
    • Comment:この認証ポリシーが適用されるトラフィックの種類を説明するコメントを入力できます。オプションです。
  4. [Create] をクリックしてから、[Close] をクリックします。ポリシーを作成した場合、そのポリシーが [認証ポリシーとサーバー] ページに表示されます。

必要に応じて、nFactor の設計に基づいて、追加の高度な認証ポリシーを作成する必要があります。

第1要素の高度な認証ポリシーをCitrix ADC AAAにバインドする

第1要素の高度な認証ポリシーをCitrix ADC AAA仮想サーバーに直接バインドできます。次の要素については、高度な認証ポリシーを認証ポリシーのラベルにバインドする必要があります。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動します。既存の仮想サーバーを編集します。

ローカライズされた画像

  1. 左側の[高度な認証ポリシー]セクションで、[認証ポリシーなし] をクリックします。

    ローカライズされた画像

  2. [ポリシーの選択] で、クリックして選択というテキストをクリックします。

    ローカライズされた画像

  3. [高度な認証ポリシー]の横にあるオプションボタンをクリックし、[選択]をクリックします。

    ローカライズされた画像

  4. [バインドの詳細]セクションで、 Goto式によって、この高度な認証ポリシーが失敗した場合の次の処理が決まります。
    • [Goto式][NEXT] に設定されている場合、このCitrix ADC AAA仮想サーバーにバインドされた次の高度な認証ポリシーが評価されます。
    • [Goto式][END] に設定されている場合、またはこのCitrix ADC AAA仮想サーバーにバインドされた高度な認証ポリシーがない場合は、認証が完了し、失敗としてマークされます。

    ローカライズされた画像

  5. [次の要素の選択] で、認証ポリシーラベルをポイントできます。次の要素は、高度な認証ポリシーが成功した場合のみ評価されます。最後に、[バインド] をクリックします。

    ローカライズされた画像

抽出されたLDAPグループを使用して、次の認証係数を選択する

抽出されたLDAPグループを使用して、LDAPを使用した実際の認証なしに、次の認証係数を選択できます。

  1. LDAPサーバまたはLDAPアクションを作成または編集するときは、[認証] チェックボックスをオフにします。
  2. [その他の設定] で、[グループ属性] および [サブ属性名] で適切な値を選択します。

ポリシーラベルの認証

高度な認証ポリシーをCitrix ADC AAA仮想サーバーにバインドし、次の要素を選択すると、高度な認証ポリシーの場合にのみ次の要素が評価されます。評価される次の要素は、認証ポリシーラベルです。

認証ポリシーラベルは、特定の要素に対する認証ポリシーのコレクションを指定します。各ポリシーラベルは、1 つの要素に対応します。また、ユーザーに提示する必要があるログインフォームも指定します。認証ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。

:すべての要素にログインスキーマは必要ありません。ログインスキーマプロファイルは、ログインスキーマを認証ポリシーラベルにバインドする場合にのみ必要です。

認証ポリシーラベルの作成

ポリシーラベルは、特定の要素の認証ポリシーを指定します。各ポリシーラベルは、1 つの要素に対応します。ポリシーラベルは、ユーザーに提示する必要があるログインフォームを指定します。ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。通常、ポリシーラベルには、特定の認証メカニズムの認証ポリシーが含まれます。ただし、異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使用することもできます。

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ポリシー]>[認証]>[詳細ポリシー]>[ポリシーラベル] に移動します。

    ローカライズされた画像

  2. [追加] をクリックします。

    ローカライズされた画像

  3. 認証ポリシーラベルを作成するには、次のフィールドに入力します:

    a) 新しい認証ポリシーラベルの名前 を入力します。

    b) 認証ポリシーラベルに関連付けられたログインスキーマを選択します。ユーザーに何も表示しない場合は、noschema (LSCHEMA_INT) に設定されているログインスキーマプロファイルを選択できます。

    c) [続行] をクリックします。

    ローカライズされた画像

  4. [ポリシーバインド] セクションで、クリックして選択と表示されている場所をクリックします。

  5. この係数を評価する認証ポリシーを選択します。

    ローカライズされた画像

  6. 次のフィールドに入力します:

    a) ポリシーバインディングの [Priority] を入力します。

    b)[Goto式] で、より高度な認証ポリシーをこの要素にバインドする場合は、[NEXT] を選択するか、[END] を選択します。

    ローカライズされた画像

  7. 別の要素を追加する場合は、[次の要素の選択] で、次の認証ポリシーラベル (次の要素) をクリックして選択し、バインドします。 次の要素を選択せず、この高度な認証ポリシーが成功すると、認証は成功して完了します。
  8. [バインド] をクリックします。

  9. [Add Binding] をクリックすると、このポリシーラベル(要素)に高度な認証ポリシーを追加できます。完了したら、[完了] をクリックします。

    ローカライズされた画像

認証ポリシーラベルのバインド

ポリシーラベルを作成したら、既存の高度な認証ポリシーバインディングにバインドして、チェーンファクタをまとめます。

高度な認証ポリシーがバインドされている既存のCitrix ADC AAA仮想サーバーを編集する場合、または別のポリシーラベルを編集して次の要素を含めることができます。

高度な認証ポリシーがすでにバインドされている既存のCitrix ADC AAA仮想サーバーを編集するには

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[仮想サーバ] に移動します。仮想サーバーを選択し、[Edit] をクリックします。

    ローカライズされた画像

  2. 左側の [高度な認証ポリシー] セクションで、既存の認証ポリシーバインディングをクリックします。

    ローカライズされた画像

  3. [アクションの選択]で、[バインドの編集] をクリックします。

    ローカライズされた画像

  4. [次の要素の選択] をクリックし、既存の認証ポリシーラベル (次の要素) を選択します。

    ローカライズされた画像

  5. [バインド] をクリックします。一番右に次の要素が表示されます。

    ローカライズされた画像

次の要素ポリシーラベルを別のポリシーラベルに追加するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [PolicyLabel]別のポリシーラベルを選択し、[Edit] をクリックします。

    ローカライズされた画像

  2. [アクションの選択]で、[バインドの編集] をクリックします。

    ローカライズされた画像

  3. [バインド詳細]>[次の要素を選択] で、次の要素をクリックして選択します。
  4. 次の要素のポリシーラベルを選択し、[Select] ボタンをクリックします。

    ローカライズされた画像

  5. [バインド] をクリックします。次の要素は右に表示できます。

    ローカライズされた画像

Citrix GatewayのnFactor

Citrix GatewayでnFactorを有効にするには、認証プロファイルをCitrix ADC AAA仮想サーバーにリンクする必要があります。

Citrix ADC AAA仮想サーバーをCitrix Gateway仮想サーバーにリンクするための認証プロファイルの作成

  1. [Citrix Gateway]>[仮想サーバー] に移動し、編集する既存のGateway仮想サーバーを選択します。

    ローカライズされた画像

  2. [詳細設定] で、[認証プロファイル] をクリックします。

  3. 認証プロファイル[追加] をクリックします。

    ローカライズされた画像

  4. 認証プロファイルの名前を入力し、クリックして選択と表示される場所をクリックします。

    ローカライズされた画像

  5. [認証仮想サーバー] で、ログインスキーマ、高度な認証ポリシー、および認証ポリシーラベルが構成されている既存のサーバーを選択します。認証仮想サーバーを作成することもできます。Citrix ADC AAA仮想サーバーには、IPアドレスは必要ありません。[Select]をクリックします。

    ローカライズされた画像

  6. [作成] をクリックします。

    ローカライズされた画像

  7. [OK] をクリックして[認証プロファイル]セクションを閉じます。

    ローカライズされた画像

注: いずれかの要因をクライアント証明書として設定した場合は、SSLパラメータとCA証明書を設定する必要があります。

認証プロファイルをAAA仮想サーバーにリンクした後、Citrix Gatewayを参照すると、nFactor認証画面が表示されます。

SSLパラメータとCA証明書の構成

認証要素の1つが証明書である場合は、Citrix Gateway仮想サーバーでSSL構成を実行する必要があります。

  1. [トラフィック管理]>[SSL]>[証明書]>[CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。認証局の証明書には、キーファイルは必要ありません。

    デフォルトのSSLプロファイルが有効になっている場合は、クライアント認証が有効になっているSSLプロファイルがすでに作成されている必要があります。

  2. [Citrix Gateway]>[仮想サーバー] に移動し、nFactorが有効になっている既存のCitrix Gateway仮想サーバーを編集します。

    • デフォルトのSSLプロファイルが有効になっている場合は、[編集]アイコンをクリックします。
    • [SSLプロファイル]リストで、[クライアント認証]が有効で[OPTIONAL]に設定されているSSLプロファイルを選択します。

    • デフォルトのSSLプロファイルが有効になっていない場合は、編集アイコンをクリックします。
    • [クライアント認証]チェックボックスをオンにします。
    • [クライアント証明書]が[Optional]に設定されていることを確認します
  3. [OK] をクリックします。

  4. [証明書]セクションで、[CA証明書なし] をクリックします。

  5. [CA証明書の選択]で、クライアント証明書の発行者のルート証明書をクリックして選択します。

  6. [バインド] をクリックします。

注:クライアント証明書を発行した中間CA証明書もバインドする必要がある場合があります。

StoreFrontへのnFactorシングルサインオンのためのCitrix Gatewayトラフィックポリシーを構成する

StoreFrontへのシングルサインオンの場合、nFactorはデフォルトで最後に入力したパスワードを使用します。LDAPが最後に入力したパスワードでない場合は、デフォルトのnFactor動作を上書きするトラフィックポリシー/プロファイルを作成する必要があります。

  1. Citrix Gateway >[ポリシー]>[トラフィック] に移動します。

    ローカライズされた画像

  2. [トラフィックプロファイル] タブで、[追加] をクリックします。

    ローカライズされた画像

  3. トラフィックプロファイルの名前を入力します。HTTPプロトコルを選択します。 [シングルサインオン] で、[ON] を選択します。

    ローカライズされた画像

  4. [SSO式] に、ログインスキーマで指定されたインデックスと一致する HTTP.REQ.USER.Attribute (#) 式を入力し、[作成] をクリックします。

    ローカライズされた画像

  5. [トラフィックポリシー] タブをクリックし、[追加] をクリックします。

    ポリシーの名前を入力します。 前の手順で作成したトラフィックプロファイルを選択します。 [式] に、高度な式 (たとえば、true) を入力します。 [作成] をクリックします。

    ローカライズされた画像

  6. [Citrix Gateway]>[Citrix Gateway仮想サーバー] に移動します。

    • 既存の仮想サーバを選択し、[編集] をクリックします。
    • [ポリシー] セクションで、[+] 記号をクリックします。
    • [ポリシーの選択] で、[トラフィック] を選択します。
    • [タイプの選択] で、[要求] を選択します。
    • 作成したトラフィックポリシーを選択し、[Bind] をクリックします。

    ローカライズされた画像

Citrix ADC CLIを使用したnFactor構成のサンプルスニペット

nFactor認証の段階的な構成を理解するために、第1の要素がLDAP認証で、第2の要素がRADIUS認証である2要素認証の展開を考えてみましょう。

このサンプル展開では、ユーザーは単一のログインフォームを使用して両方の要素にログインする必要があります。したがって、2つのパスワードを受け入れる単一のログインフォームを定義します。最初のパスワードは LDAP 認証に使用され、もう 1 つは RADIUS 認証に使用されます。 実行される構成は次のとおりです。

  1. 認証用の負荷分散仮想サーバーの構成

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON`

  2. 認証仮想サーバを設定します。

    add authentication vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. ログインフォームのログインスキーマを設定し、ログインスキーマポリシーにバインドします。

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. パススルーのログインスキーマを構成し、ポリシーラベルにバインドする

    add authentication loginSchema login2 -authenticationSchema noschema

    add authentication policylabel label1 -loginSchema login2

  5. LDAP ポリシーと RADIUS ポリシーを設定します。

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    認証の追加ポリシー ldap-rule true-アクション ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Policy radius -rule true -action radius

  6. ログインスキーマポリシーを認証仮想サーバーにバインドする

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. LDAP ポリシー(第 1 要素)を認証仮想サーバにバインドします。

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. RADIUS ポリシー(第 2 要素)を認証ポリシーラベルにバインドします。

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end