In アプリケーショントラフィックの認証、承認、監査
In Citrix ADC 13.0
In Citrix ADC
In All products
製品ドキュメント
In アプリケーショントラフィックの認証、承認、監査
In Citrix ADC 13.0
In Citrix ADC
In All products
アプリケーショントラフィックの認証、承認、監査
Current Release 12.1 12.0 11.1 10.5
PDFを表示

Citrix ADCアプライアンスでのKerberos認証の構成

September 11, 2020
寄稿者: 
C

このトピックでは、CLIとGUIを使用してCitrix ADCアプライアンスでKerberos認証を構成するための詳細な手順について説明します。

CLI での Kerberos 認証の設定

  1. 認証、承認、および監査機能を有効にして、アプライアンスでトラフィックの認証を確実にします。

    ns-cli-prompt> enable ns feature AAA

  2. キータブファイルをCitrix ADCアプライアンスに追加します。Kerberos 認証中にクライアントから受信したシークレットを復号化するには、キータブファイルが必要です。単一のキータブファイルには、Citrix ADCアプライアンス上のトラフィック管理仮想サーバーにバインドされているすべてのサービスの認証の詳細が含まれています。

    まず、Active Directory サーバーでキータブファイルを生成してから、Citrix ADCアプライアンスに転送します。

    • Active Directory サーバーにログオンし、Kerberos 認証用のユーザーを追加します。たとえば、「Kerb-SVC-Account」という名前のユーザーを追加するには、次のようにします。

      ネットユーザーKerb-SVCアカウント無料です! @ #456 /追加

      [ユーザーのプロパティ] セクションで、[次のログオン時にパスワードを変更する] オプションが選択されておらず、[パスワードの有効期限] オプションが選択されていることを確認します。

    • 上記のユーザーにHTTPサービスをマッピングし、キータブファイルをエクスポートします。たとえば、Active Directory サーバーで次のコマンドを実行します。

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      複数のサービスに認証が必要な場合は、複数のサービスをマッピングできます。さらに多くのサービスをマッピングする場合は、すべてのサービスに対して上記のコマンドを繰り返します。出力ファイルには同じ名前を指定することも、別の名前を指定することもできます。

    • unix ftp コマンドまたは任意のファイル転送ユーティリティを使用して、キータブファイルをCitrix ADCアプライアンスに転送します。

  3. Citrix ADCアプライアンスは、完全修飾ドメイン名(FQDN)からドメインController IPアドレスを取得する必要があります。したがって、Citrix ADCにDNSサーバーを構成することをお勧めします。

    ns-cli-prompt> add dns nameserver <ip-address>

    または、静的なホストエントリを追加するか、その他の方法を使用して、Citrix ADCアプライアンスがドメインController FQDN名をIPアドレスに解決できるようにします。

  4. 認証アクションを設定し、認証ポリシーに関連付けます。

    • ネゴシエートアクションを設定します。

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>

    • ネゴシエートポリシーを設定し、ネゴシエートアクションをこのポリシーに関連付けます。

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. 認証仮想サーバを作成し、ネゴシエートポリシーをそのサーバに関連付けます。

    • 認証仮想サーバーを作成します。

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • ネゴシエートポリシーを認証仮想サーバにバインドします。

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. 認証仮想サーバをトラフィック管理(負荷分散またはコンテンツスイッチング)仮想サーバに関連付けます。

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    コンテンツスイッチング仮想サーバーでも同様の設定を行うことができます。

  7. 次の手順を実行して、設定を確認します。

    • FQDN を使用して、トラフィック管理仮想サーバにアクセスします。例: サンプル

    • CLI でセッションの詳細を表示します。

      ns-cli-prompt> show aaa session

GUI での Kerberos 認証の設定

  1. 認証、認可、および監査機能を有効にします。

    [システム] > [設定] に移動し、[基本機能の構成] をクリックして、認証、承認、監査機能を有効にします。

  2. 上記の CLI 手順のステップ 2 の説明に従って、キータブファイルを追加します。

  3. DNS サーバーを追加します。

    [トラフィック管理] > [DNS] > [ネームサーバー] に移動し、DNS サーバーの IP アドレスを指定します。

  4. [ネゴシエート] アクションとポリシーを設定します。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー]に移動し、アクションタイプとして [ネゴシエート] を使用してポリシーを作成します。[ADD] をクリックして新しい認証ネゴシエートサーバを作成するか、[Edit] をクリックして既存の詳細を設定します。

  5. ネゴシエートポリシーを認証仮想サーバにバインドします。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、 ネゴシエートポリシーを認証仮想サーバに関連付けます。

  6. 認証仮想サーバをトラフィック管理(負荷分散またはコンテンツスイッチング)仮想サーバに関連付けます。

    [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、関連する認証設定を指定します。

    コンテンツスイッチング仮想サーバーでも同様の設定を行うことができます。

  7. 上記の CLI 手順のステップ 7 で詳述した設定を確認します。

Citrix ADCアプライアンスでのKerberos認証の構成
September 11, 2020
寄稿者: 
C
September 11, 2020
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.