ADC

ユーザー ID 管理

セキュリティ違反の増加とモバイルデバイスの人気の高まりにより、外部インターネットの使用が企業ポリシーに準拠していることを確認する必要性が強調されています。許可されたユーザーのみが、企業の担当者によってプロビジョニングされた外部リソースへのアクセスを許可される必要があります。ID管理は、個人またはデバイスのIDを確認することで可能になります。これは、個人が取ることができるタスクや個人が参照できるファイルを決定するものではありません。

SSL 転送プロキシ展開では、インターネットへのアクセスを許可する前にユーザーを識別します。ユーザーからのすべての要求と応答が検査されます。ユーザーアクティビティがログに記録され、レポート用にCitrix Application Delivery Management(ADM)にレコードがエクスポートされます。Citrix ADMでは、ユーザーのアクティビティ、トランザクション、帯域幅消費に関する統計を表示できます。

デフォルトでは、ユーザーのIPアドレスのみが保存されますが、ユーザーに関する詳細を記録するように機能を構成できます。このID情報を使用して、特定のユーザー向けのより豊富なインターネット使用ポリシーを作成できます。

Citrix ADCアプライアンスは、明示的なプロキシ構成に対して次の認証モードをサポートしています。

  • ライトウェイトディレクトリアクセスプロトコル (LDAP)。外部 LDAP 認証サーバーを介してユーザーを認証します。詳細については、「 LDAP 認証ポリシー」を参照してください。
  • RADIUS。外部 RADIUS サーバーを介してユーザを認証します。詳細については、「 RADIUS 認証ポリシー」を参照してください。
  • TACACS+. 外部ターミナルアクセスコントローラアクセスコントロールシステム (TACACS) 認証サーバを介してユーザを認証します。詳細については、「 認証ポリシー」を参照してください。
  • Negotiate. Kerberos 認証サーバを使用してユーザを認証します。Kerberos認証でエラーが発生した場合、アプライアンスはNTLM認証を使用します。詳細については、「 認証ポリシーのネゴシエート」を参照してください。

透過プロキシの場合、IPベースのLDAP認証のみがサポートされます。クライアント要求を受信すると、プロキシはActiveDirectory内のクライアントIPアドレスのエントリをチェックすることによってユーザーを認証します。次に、ユーザーのIPアドレスに基づいてセッションを作成します。ただし、LDAPアクションでssoNameAttributeを構成すると、IPアドレスの代わりにユーザー名を使用してセッションが作成されます。トランスペアレントプロキシ設定では、従来のポリシーは認証ではサポートされません。

明示的なプロキシの場合は、LDAP ログイン名を sAMAccountNameに設定する必要があります。透過プロキシの場合、LDAP ログイン名を ネットワークアドレス 、属性 1 を sAMAccountName に設定する必要があります。

明示的なプロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

透過プロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

CLI を使用したユーザー認証の設定

コマンドプロンプトで次のように入力します。

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

引数:

仮想サーバ名:

ポリシーをバインドする認証仮想サーバの名前。

最大長:127

serviceType:

認証仮想サーバのプロトコルタイプ。Always SSL.

指定可能な値:SSL

デフォルト値:SSL

アクション名:

新しい LDAP アクションの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。LDAP アクションが追加された後は変更できません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証アクション」や「認証アクション」など)。

最大長:127

serverIP:

LDAP サーバに割り当てられた IP アドレス。

ldapBase:

LDAP 検索を開始するベース(ノード)。LDAPサーバーがローカルで実行されている場合、baseのデフォルト値はdc =netscaler、 dc=com. 最大長:127

ldapBindDn:

LDAP サーバーへのバインドに使用される完全識別名 (DN)。

デフォルト: cn=Manager,dc=netscaler,dc=com

最大長:127

ldapBindDnPassword:

LDAP サーバへのバインドに使用するパスワード。

最大長:127

ldapLoginName:

LDAP ログイン名属性。Citrix ADCアプライアンスは、LDAPログイン名を使用して、外部LDAPサーバーまたはActive Directoryのクエリを実行します。最大長:127

ポリシー名:

事前認証ポリシーの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。AUTHENTICATIONポリシーの作成後に変更することはできません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証ポリシー」や「認証ポリシー」など)。

最大長:127

ruleを次のように設定します。

AUTHENTICATION サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用する規則の名前、またはデフォルトの構文式。

最大長:1499

action

ポリシーが一致した場合に実行される認証アクションの名前。

最大長:127

priority:

ポリシーのプライオリティを指定する正の整数。数値が小さいほど、プライオリティが高くなります。ポリシーは優先度の順に評価され、要求に一致する最初のポリシーが適用されます。認証仮想サーバにバインドされたポリシーのリスト内で一意である必要があります。

最小値:0

最大値:4294967295

:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

CLI を使用したユーザー名のロギングの有効化

コマンドプロンプトで入力します。

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

引数:

AAAUserName

AppFlowの認証、承認、およびユーザー名のログ記録の監査を有効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値: 無効

:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
ユーザー ID 管理