Citrix ADC

永続性を使用した RADIUS ロードバランシングの設定

今日の複雑なネットワーク環境では、大容量の負荷分散構成と堅牢な認証と承認の調整が必要になることがよくあります。アプリケーションユーザーは、コンシューマーグレードのDSLまたはケーブル接続、WiFi、またはダイヤルアップノードなどのモバイルアクセスポイントを介してVPNに接続できます。これらの接続は、通常、接続中に変更される可能性がある動的 IP を使用します。

Citrix ADCアプライアンスでRADIUS負荷分散を構成して、RADIUS認証サーバーへの永続的なクライアント接続をサポートする場合、アプライアンスはセッションIDとしてクライアントIPの代わりにユーザーのログオンまたは指定されたRADIUS属性を使用し、ユーザーセッションを同じ RADIUS サーバに送信します。したがって、ユーザーは、クライアント IP または WiFi アクセスポイントが変更されたときに切断されることなく、モバイルアクセスロケーションから VPN にログオンできます。

永続性を持つ RADIUS ロードバランシングを設定するには、まず VPN の RADIUS 認証を設定する必要があります。詳細と手順については、『AAA アプリケーショントラフィック』の「認証、認可、監査(AAA)」の章を参照してください。また、構成の基礎として、負荷分散機能またはコンテンツスイッチング機能を選択し、選択した機能が有効になっていることを確認する必要があります。どちらの機能でも設定プロセスはほぼ同じです。

次に、2 つのロードバランシングまたは 2 つのコンテンツスイッチ仮想サーバを設定します。1 つは RADIUS 認証トラフィックを処理し、もう 1 つは RADIUS アカウンティングトラフィックを処理します。次に、負荷分散仮想サーバーごとに 1 つずつ、2 つのサービスを構成し、各負荷分散仮想サーバーをそのサービスにバインドします。最後に、負荷分散永続性グループを作成し、永続性タイプを RULE に設定します。

ロードバランシングまたはコンテンツスイッチング機能の有効化

負荷分散機能またはコンテンツスイッチング機能を使用するには、まずその機能が有効になっていることを確認する必要があります。以前に構成されていない新しいCitrix ADCアプライアンスを構成する場合は、これらの機能の両方がすでに有効になっているため、次のセクションに進んでください。以前の構成でCitrix ADCアプライアンスを構成していて、使用する機能が有効になっているかどうかが不確かな場合は、ここで行う必要があります。

仮想サーバの構成

ロードバランシングまたはコンテンツスイッチング機能を有効にした後、RADIUS 認証をサポートするように 2 つの仮想サーバを設定する必要があります。

  • RADIUS 認証仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへの認証トラフィックを処理します。認証トラフィックは、保護されたアプリケーションまたは仮想プライベートネットワーク(VPN)にログオンするユーザーに関連付けられた接続で構成されます。
  • RADIUS アカウンティング仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへのアカウンティング接続を処理します。アカウンティングトラフィックは、保護されたアプリケーションまたは VPN での認証済みユーザーのアクティビティを追跡する接続で構成されます。

重要:RADIUSパーシステンス構成で使用するには、負荷分散仮想サーバーのペアまたはコンテンツスイッチング仮想サーバーのペアを作成する必要があります。仮想サーバタイプを混在させることはできません。

コマンドラインインターフェイスを使用して負荷分散仮想サーバーを構成するには

コマンドプロンプトで次のコマンドを入力して、新しい負荷分散仮想サーバーを作成し、構成を確認します。

add lb vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>

show lb vserver <name>

既存のロードバランシング仮想サーバを設定するには、上記の add lb virtual server コマンドを set lb vserver コマンドに置き換えます。このコマンドは同じ引数を取ります。

コマンドラインインターフェイスを使用してコンテンツスイッチ仮想サーバーを構成するには

コマンドプロンプトで次のコマンドを入力して、新しいコンテンツスイッチ仮想サーバーを作成し、構成を確認します。

add cs vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>

show cs vserver <name>

既存のコンテンツスイッチング仮想サーバを設定するには、上記の add cs vserver コマンドを set cs vserver コマンドに置き換えます。このコマンドは同じ引数を取ります。

例:

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

set lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

set lb vserver radius_auth_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

構成ユーティリティを使用して負荷分散またはコンテンツスイッチング仮想サーバーを構成するには

[トラフィック管理] > [負荷分散] > [仮想サーバー] に移動するか、[トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] > [仮想サーバー] に移動して、仮想サーバーを設定します。

サービスを構成しています

仮想サーバを設定したら、作成した仮想サーバごとに 1 つずつ、2 つのサービスを構成する必要があります。

注:これらのサービスは、いったん構成されると、Citrix ADCアプライアンスがRADIUSサーバーの認証およびアカウンティングIPに接続してステータスを監視できるまで、DISABLED状態になります。手順については、「サービスを構成しています」を参照してください。

サービスへの仮想サーバーのバインド

サービスを設定したら、次に作成した各仮想サーバを適切なサービスにバインドする必要があります。手順については、仮想サーバーへのサービスのバインドを参照してください。

Radius の持続性グループの設定

ロードバランシング仮想サーバを対応するサービスにバインドしたら、永続性をサポートするように RADIUS ロードバランシング構成を設定する必要があります。これを行うには、RADIUS ロードバランシング仮想サーバおよびサービスを含むロードバランシング永続性グループを設定し、ルールベースの永続性を使用するようにロードバランシング永続性グループを構成します。認証とアカウンティングの仮想サーバが異なるため、永続性グループが必要です。また、1 人のユーザの認証とアカウンティングメッセージの両方が同じ RADIUS サーバに到達する必要があるためです。永続性グループを構成すると、両方の仮想サーバーに同じセッションが使用されます。手順については、「持続性グループの設定」を参照してください。

RADIUS 共有シークレットの設定

リリース12.0以降、Citrix ADCアプライアンスはRADIUS共有シークレットをサポートしています。RADIUS クライアントとサーバは、クライアントとサーバ上で構成された共有シークレットを使用して相互に通信します。RADIUS クライアントとサーバ間のトランザクションは、共有シークレットを使用して認証されます。このシークレットは、RADIUS パケット内の情報の一部を暗号化するためにも使用されます。

RADIUS 共有秘密キー検証シナリオ

RADIUS 共有秘密キーの検証は、次のシナリオで行われます。

  • RADIUS共有秘密鍵は、RADIUSクライアントとRADIUSサーバーの両方に対して構成されます 。Citrix ADCアプライアンスは、クライアント側とサーバー側の両方でRADIUS秘密鍵を使用します。検証が成功すると、アプライアンスは RADIUS メッセージの通過を許可します。それ以外の場合は、RADIUS メッセージがドロップされます。
  • RADIUS共有秘密鍵がRADIUSクライアントまたはRADIUSサーバーに対して構成されていない: Citrix ADCアプライアンスは、RADIUSメッセージをドロップします。これは、radkeyが構成されていないノードでは共有秘密鍵の検証を実行できないためです。
  • RADIUS共有秘密キーが、RADIUSクライアントとRADIUSサーバーの両方に対して構成されていません。 Citrix ADCアプライアンスは、RADIUSシークレットキーの検証をバイパスし、RADIUSメッセージの通過を許可します。

デフォルトの RADIUS 共有秘密を設定することも、クライアント単位またはサブネット単位で設定することもできます。RADIUS ポリシーが設定されているすべての配置に、RADIUS 共有秘密キーを追加することを推奨します。アプライアンスは、RADIUS パケットの送信元 IP アドレスを使用して、使用する共有シークレットを決定します。RADIUS クライアントとサーバ、および対応する共有秘密は、次のように構成できます。

CLI プロンプトで、次のように入力します。

add radiusNode <clientPrefix/Subnet> -radKey <Shared_secret_key>

引数

IPaddress

RADIUS クライアントの IP アドレスまたはサブネット(CIDR 形式)。アプライアンスは、着信要求パケットの送信元 IP アドレスを使用して、クライアントの IP アドレスを照合します。クライアント IP アドレスを構成する代わりに、クライアントネットワークアドレスを構成できます。最長のプレフィクスが照合され、着信クライアント要求の共有秘密が識別されます。

Radkey

クライアント、Citrix ADCアプライアンス、およびサーバー間の共有シークレット。最大長:31.

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add service radius_auth_service1 192.168.41.68 RADIUS 1812

add service radius_acct_service1 192.168.41.70 RADIUS 1813

bind lb vserver radius_auth_vs1 radius_auth_service1

bind lb vserver radius_acct_vs1 radius_acct_service[1-3]

add radiusNode 192.168.41.0/24 -radKey  serverkey123

add radiusNode 203.0.113.0/24 -radkey clientkey123

共有シークレットは、RADIUS クライアントとサーバの両方に設定する必要があります。コマンドは同じです。サブネットは、共有シークレットがクライアント用かサーバー用かを決定します。

たとえば、指定したサブネットがクライアントサブネットの場合、共有シークレットはクライアント用です。指定されたサブネットがサーバーサブネット(上記の例では192.168.41.0/24)である場合、共有シークレットはサーバー用です。

0.0.0.0/0 のサブネットは、すべてのクライアントとサーバーのデフォルトの共有シークレットであることを意味します。

注:

RADIUS 共有シークレットでは、PAP および CHAP 認証方式だけがサポートされています。

永続性を使用した RADIUS ロードバランシングの設定