Citrix ADC

ユーザー ID 管理

セキュリティ侵害が増え、モバイルデバイスの人気が高まるにつれて、外部インターネットの使用が企業ポリシーに準拠し、許可されたユーザーのみが企業の従業員によってプロビジョニングされた外部リソースにアクセスできるようにする必要性が強調されています。ID 管理では、個人またはデバイスの ID を検証することによって、これを実現できます。これは、個人が取ることができるタスクや個人が参照できるファイルを決定するものではありません。

SSL 転送プロキシ展開では、インターネットへのアクセスを許可する前にユーザーを識別します。ユーザーからのすべての要求と応答が検査されます。ユーザーアクティビティがログに記録され、レポート用にCitrix Application Delivery Management(ADM)にレコードがエクスポートされます。Citrix ADMでは、ユーザーのアクティビティ、トランザクション、帯域幅消費に関する統計を表示できます。

デフォルトでは、ユーザーの IP アドレスのみが保存されますが、ユーザーに関する詳細を記録するように機能を構成し、この ID 情報を使用して、特定のユーザーに対してより豊富なインターネット使用ポリシーを作成できます。

Citrix ADCアプライアンスは、明示的なプロキシ構成に対して次の認証モードをサポートしています。

  • ライトウェイトディレクトリアクセスプロトコル (LDAP)。外部 LDAP 認証サーバーを介してユーザーを認証します。詳しくは、「LDAP 認証ポリシー」を参照してください。
  • [** RADIUS**]。外部 RADIUS サーバーを介してユーザを認証します。詳しくは、「RADIUS 認証ポリシー」を参照してください。
  • TACACS+. 外部ターミナルアクセスコントローラアクセスコントロールシステム (TACACS) 認証サーバを介してユーザを認証します。詳しくは、「認証ポリシー」を参照してください。
  • Negotiate. Kerberos 認証サーバを使用してユーザを認証します。Kerberos認証にエラーがある場合、アプライアンスはNTLM認証を使用します。詳しくは、「認証ポリシーのネゴシエート」を参照してください。

透過プロキシの場合、現在 IP ベースの LDAP 認証だけがサポートされています。クライアント要求を受信すると、プロキシはアクティブディレクトリ内のクライアント IP アドレスのエントリをチェックすることによってユーザを認証し、ユーザ IP アドレスに基づいてセッションを作成します。ただし、LDAP アクションで ssoNameAttribute を構成すると、IP アドレスの代わりにユーザー名を使用してセッションが作成されます。トランスペアレントプロキシ設定では、従来のポリシーは認証ではサポートされません。

明示的なプロキシの場合は、LDAP ログイン名を sAMAccountNameに設定する必要があります。透過プロキシの場合、LDAP ログイン名を ネットワークアドレス 、属性 1 を sAMAccountName に設定する必要があります。

明示的なプロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName

透過プロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

CLI を使用したユーザー認証の設定

コマンドプロンプトで次のように入力します。

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>

引数:

仮想サーバ名:

ポリシーをバインドする認証仮想サーバの名前。

最大長さ:127

serviceType:

認証仮想サーバのプロトコルタイプ。Always SSL.

指定可能な値:SSL

デフォルト値:SSL

アクション名:

新しい LDAP アクションの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。LDAP アクションが追加された後は変更できません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証アクション」や「認証アクション」など)。

最大長さ:127

serverIP:

LDAP サーバに割り当てられた IP アドレス。

ldapBase:

LDAP 検索を開始するベース(ノード)。LDAP サーバがローカルで実行されている場合、base のデフォルト値は dc=netscaler、dc=com です。最大長さ:127

ldapBindDn:

LDAP サーバーへのバインドに使用される完全識別名 (DN)。

デフォルト: cn=Manager,dc=netscaler,dc=com

最大長さ:127

ldapBindDnPassword:

LDAP サーバへのバインドに使用するパスワード。

最大長さ:127

ldapLoginName:

LDAP ログイン名属性。Citrix ADCアプライアンスは、LDAPログイン名を使用して、外部LDAPサーバーまたはActive Directoryのクエリを実行します。最大長さ:127

ポリシー名:

事前認証ポリシーの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証ポリシー」や「認証ポリシー」など)。

最大長さ:127

ruleを次のように設定します。

AUTHENTICATION サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用する規則の名前、またはデフォルトの構文式。

最大長さ:1499

action

ポリシーが一致した場合に実行される認証アクションの名前。

最大長さ:127

priority:

ポリシーのプライオリティを指定する正の整数。数値が小さいほど、プライオリティが高くなります。ポリシーは優先度の順に評価され、要求に一致する最初のポリシーが適用されます。認証仮想サーバにバインドされたポリシーのリスト内で一意である必要があります。

最小値:0

最大値:4294967295

:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done

CLI を使用したユーザー名のロギングの有効化

コマンドプロンプトで、次のように入力します。

set appflow param -AAAUserName ENABLED

引数:

AAAUserName

AppFlow AAA ユーザー名のロギングを有効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値: DISABLED

:

set appflow param -AAAUserName ENABLED

ユーザー ID 管理