Citrix ADC

基本認証、ダイジェスト認証、NTLM 認証用の SSO

Citrix ADCおよびCitrix Gateway のシングルサインオン(SSO)構成は、グローバルレベルでもトラフィックレベルでも有効にできます。デフォルトでは SSO 設定は OFF で、管理者はトラフィックごとに SSO を有効にすることも、グローバルに有効にすることもできます。セキュリティの観点から、 Citrix では管理者にSSOをグローバルにオフにし 、トラフィックごとに有効にすることを推奨しています。この機能強化は、特定の種類の SSO メソッドをグローバルに適用しないことで、SSO 構成をより安全にするためです。

注:

Citrix ADC機能リリース13.0ビルド64.35以降では、以下のSSOタイプはグローバルに無視されています。

  • ベーシック認証
  • ダイジェストアクセス認証
  • ネゴシエート NTLM2 キーまたはネゴシエートサインなしの NTLM

影響を受けない SSO タイプ

次の SSO タイプは、この機能強化の影響を受けません。

  • Kerberos 認証
  • SAML認証
  • フォームベース認証
  • OAuth ベアラ認証
  • ネゴシエート NTLM2 キーまたはネゴシエートサイン付き NTLM

影響を受けるSSO構成

影響を受ける(不適切な)SSO構成は次のとおりです。

グローバル構成

set tmsessionparam -SSO ON
set vpnparameter -SSO ON
add tmsessionaction tm_act -SSO ON
add vpn sessionaction tm_act -SSO ON
<!--NeedCopy-->

トラフィックごとの設定

add vpn trafficaction tf_act http -SSO ON
add tm trafficaction tf_act -SSO ON
<!--NeedCopy-->

あなたはできる enable/disable SSO全体であり、個々のSSOタイプを変更することはできません。

適用すべきセキュリティ対策

セキュリティ対策の一環として、セキュリティに敏感な SSO タイプはグローバル設定では無視されますが、トラフィックアクション設定でのみ許可されます。 そのため、バックエンドサーバーがネゴシエートNTLM2キーやネゴシエートサインなしでベーシック、ダイジェスト、またはNTLMを想定している場合、管理者は次の構成でのみSSOを許可できます。

トラフィックアクション

add vpn trafficaction tf_act  http -SSO ON
add tm trafficaction tf_act -SSO ON
<!--NeedCopy-->

交通政策

add tm trafficpolicy <name> <rule> tf_act
add vpn trafficpolicy <name> <rule> tf-act
<!--NeedCopy-->

信頼できるバックエンドサーバーでのみSSOが有効になるように、管理者はトラフィックポリシーに適切なルールを設定する必要があります。

AAA-TM

グローバル構成に基づくシナリオ:

set tmsessionparam -SSO ON
<!--NeedCopy-->

回避策:

add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol true tf_act
<!--NeedCopy-->

SSO が必要なすべての LB 仮想サーバーに次のトラフィックポリシーをバインドします。

bind lb vserver <LB VS Name> -policy tf_pol -priority 65345
<!--NeedCopy-->

セッションポリシー構成に基づくシナリオ:

add tmsessionaction tm_act -SSO ON
add tmsession policy <name> <rule> tm_act
add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol <same rule as session Policy> tf_act
<!--NeedCopy-->

注意点:

  • 前のセッションポリシーのCitrix ADC AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。

  • 次のポリシーを、前のセッションポリシーの負荷分散仮想サーバーにバインドします。

bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
<!--NeedCopy-->
  • 他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。

次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

特定の TM トラフィックには、1 つの TM トラフィックポリシーだけが適用されます。SSO 機能変更のグローバル設定のため、優先度が高い(SSO 設定が必要ない)TM トラフィックポリシーがすでに適用されている場合は、優先度の低い TM トラフィックポリシーを追加で適用できない場合があります。次のセクションでは、このようなケースを確実に処理する方法について説明します。

負荷分散(LB)仮想サーバーには、優先順位の高い次の 3 つのトラフィックポリシーが適用されているとします。

add tm trafficaction tf_act1 <Addition config>
add tm trafficaction tf_act2 <Addition config>
add tm trafficaction tf_act3 <Addition config>

add tm trafficpolicy tf_pol1 <rule1> tf_act1
add tm trafficpolicy tf_pol2 <rule2> tf_act2
add tm trafficpolicy tf_pol3 <rule3> tf_act3

bind lb vserver <LB VS Name> -policy tf_pol1 -priority 100
bind lb vserver <LB VS Name> -policy tf_pol2 -priority 200
bind lb vserver <LB VS Name> -policy tf_pol3 -priority 300
<!--NeedCopy-->

エラーが発生しやすい方法-グローバルSSO構成を解決するには、次の構成を追加します。

add tm trafficaction tf_act_default -SSO ON
add tm trafficpolicy tf_pol_default true tf_act_default

bind lb vserver <LB VS Name> -policy tf_pol_default -priority 65345
<!--NeedCopy-->

注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。

正しい方法-これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.

add tm trafficaction tf_act1 <Addition config> -SSO ON
add tm trafficaction tf_act3 <Addition config> -SSO ON
<!--NeedCopy-->

Citrix Gatewayのケース

グローバル構成に基づくシナリオ:

set vpnparameter -SSO ON
<!--NeedCopy-->

回避策:

add vpn trafficaction vpn_tf_act http  -SSO ON
add vpn trafficpolicy vpn_tf_pol  true vpn_tf_act
bind the following traffic policy to all VPN virtual server where SSO is expected:
bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345
<!--NeedCopy-->

セッションポリシー構成に基づくシナリオ:

add vpn sessionaction vpn_sess_act -SSO ON
add vpnsession policy <name> <rule> vpn_sess_act
<!--NeedCopy-->

注意事項:

  • 前のセッションポリシーのCitrix ADC AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。

  • 次のポリシーを、前のセッションポリシーbind lb virtual server [LB VS Name] -policy tf_pol -priority 65345の LB 仮想サーバーにバインドします。

  • 他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

トラフィックに関連する複数のトラフィックポリシーとの競合に基づく機能シナリオ:

特定のCitrix Gateway トラフィックには、1つのVPNトラフィックポリシーのみが適用されます。SSO 機能変更のグローバル設定のため、必要な SSO 設定がない優先度の高い VPN トラフィックポリシーが他にある場合は、優先度の低い VPN トラフィックポリシーを追加して適用できない場合があります。

次のセクションでは、このようなケースを確実に処理する方法について説明します。

VPN 仮想サーバには、優先順位の高いトラフィックポリシーが 3 つ適用されているとします。

add vpn trafficaction tf_act1 <Addition config>
add vpn trafficaction tf_act2 <Addition config>
add vpn trafficaction tf_act3 <Addition config>

add vpn trafficpolicy tf_pol1 <rule1> tf_act1
add vpn trafficpolicy tf_pol2 <rule2> tf_act2
add vpn trafficpolicy tf_pol3 <rule3> tf_act3

bind vpn vserver <VPN VS Name> -policy tf_pol1 -priority 100
bind vpn vserver <VPN VS Name> -policy tf_pol2 -priority 200
bind vpn vserver <VPN VS Name> -policy tf_pol3 -priority 300
<!--NeedCopy-->

エラーが発生しやすい方法: グローバルSSO構成を解決するには、次の構成を追加します。

add vpn trafficaction tf_act_default -SSO ON
add vpn trafficpolicy tf_pol_default true tf_act_default

bind vpn vserver <VPN VS Name> -policy tf_pol_default -priority 65345
<!--NeedCopy-->

注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。

正しい方法: これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.

add vpn trafficaction tf_act1 [Additional config] -SSO ON

add vpn trafficaction tf_act3 [Additional config] -SSO ON
<!--NeedCopy-->
基本認証、ダイジェスト認証、NTLM 認証用の SSO