Citrix ADC

ユーザ、ユーザグループ、およびコマンドポリシー

最初にアカウントを持つユーザーを定義してから、すべてのユーザーをグループに編成する必要があります。コマンドポリシーを作成することも、組み込みのコマンドポリシーを使用してコマンドへのユーザアクセスを規制することもできます。

注:

トラフィック管理のためのCitrix ADC認証と承認の設定の一部としてユーザーグループとユーザーグループを構成する方法の詳細については、ユーザーとグループの構成 トピックを参照してください。

また、ユーザーのコマンドラインプロンプトをカスタマイズすることもできます。プロンプトは、ユーザーの構成、ユーザーグループ構成、およびグローバルシステム構成設定で定義できます。ユーザに対して表示されるプロンプトは、次の優先順位で表示されます。

  1. ユーザーの構成で定義されているプロンプトを表示します。
  2. ユーザーのグループのグループ構成で定義されているプロンプトを表示します。
  3. システムグローバル設定に定義されているプロンプトを表示します。

システムユーザの非アクティブ CLI セッションのタイムアウト値を指定できるようになりました。ユーザーのCLIセッションがタイムアウト値を超えた時間アイドル状態である場合、Citrix ADCアプライアンスは接続を終了します。タイムアウトは、ユーザ設定、ユーザグループ設定、またはグローバルシステム設定で定義できます。ユーザの非アクティブな CLI セッションのタイムアウトは、次の優先順位で決定されます。

  1. [ユーザー設定]:
  2. ユーザーのグループのグループ構成。
  3. グローバルシステム設定です。

Citrix ADC ルート管理者は、システムユーザーの最大同時セッション制限を設定できます。制限を制限することで、開いている接続の数を減らし、サーバーのパフォーマンスを向上させることができます。CLI カウントが設定された制限内であれば、同時ユーザは GUI に何回でもログインできます。ただし、CLI セッションの数が設定された制限に達すると、ユーザは GUI にログオンできなくなります。たとえば、同時セッション数が 20 に設定されている場合、同時ユーザーは 19 の CLI セッションにログオンできます。ただし、ユーザーが20<sup>th</sup> CLI セッションにログオンしている場合、GUI、CLI、または NITRO にログオンしようとすると、エラーメッセージが表示されます (エラー:CFE への接続制限を超えました)。

注:

デフォルトでは、同時セッション数は 20 に設定され、同時セッションの最大数は 40 に設定されています。

ユーザーアカウントの構成

ユーザアカウントを設定するには、ユーザ名とパスワードを指定するだけです。パスワードの変更やユーザーアカウントの削除はいつでも行えます。

注:

パスワード内のすべての文字は受け付けられません。ただし、引用符で囲んで文字を入力すると機能します。

また、文字列の最大長は 127 文字を超えることはできません。

コマンドラインインターフェイスを使用してユーザーアカウントを作成するには

コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントを作成し、構成を確認します。

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

外部ユーザは、Web ロギングまたは監査ロギングメカニズムを使用して外部ログを収集するように「logging」パラメータを設定できます。このパラメーターが有効な場合、監査クライアントはCitrix ADCアプライアンスで自身を認証してログを収集します。

例:

> add system user johnd -promptString user-%u-at-%T

Enter password:
Confirm password:
> show system user johnd
user name: john
     Timeout:900 Timeout Inherited From: Global
     External Authentication: ENABLED
     Logging: DISABLED
     Maximum Client Sessions: 20

パラメータの説明については、認証および認可ユーザコマンドリファレンス トピックを参照してください。

Citrix ADC GUIを使用してユーザーアカウントを構成する

  1. [** システム] > [ユーザ管理] > [ユーザ] に移動し、ユーザを作成します。**
  2. 詳細ウィンドウで、[追加] をクリックしてシステムユーザーを作成します。
  3. [** システムグループの作成**] ページで、次のパラメータを設定します。

    1. ユーザー名:ユーザー・グループの名前。
    2. CLI プロンプト。CLI インターフェイスアクセスに設定するプロンプト。
    3. アイドルセッションタイムアウト (秒) セッションがタイムアウトして終了するまでの間、ユーザーが非アクティブになる時間を設定します。
    4. 最大セッション数ユーザーが試行できるセッションの最大数を設定します。
    5. ロギング権限を有効にします。ユーザのロギング権限を有効にします。
    6. 外部認証を有効にします。ユーザを認証するために外部認証サーバをユーザにする場合は、このオプションを選択します。
    7. 許可された管理インターフェイス。ユーザーグループへのアクセス許可が付与されているCitrix ADCインターフェイスを選択します。
    8. コマンドポリシーコマンドポリシーをユーザーグループにバインドします。
    9. パーティションパーティションをユーザー・グループにバインドします。
  4. [作成 して 閉じる] をクリックします。

システムユーザー認証用のユーザーアカウントを作成する

ユーザー・グループの構成

ユーザーグループを構成したら、グループ内のすべてのユーザーに同じアクセス権を簡単に付与できます。グループを構成するには、グループを作成し、ユーザーをグループにバインドします。各ユーザーアカウントを複数のグループにバインドできます。ユーザーアカウントを複数のグループにバインドすると、コマンドポリシーをより柔軟に適用できます。

コマンドラインインターフェイスを使用してユーザーグループを作成するには

コマンド・プロンプトで次のコマンドを入力して、ユーザー・グループを作成し、構成を確認します。

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

例:

> add system group Managers -promptString Group-Managers-at-%h

CLI を使用してユーザーアカウントをグループにバインドする

コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントをグループにバインドし、構成を確認します。

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

例:

> bind system group Managers -userName user1

Citrix ADC GUIを使用してユーザーグループを構成する

  1. [システム] > [ユーザ管理] > [グループ] に移動し、ユーザグループを作成します。
  2. 詳細ウィンドウで、[追加] をクリックしてシステムユーザーグループを作成します。
  3. [** システムグループの作成**] ページで、次のパラメータを設定します。

    1. [グループ名]。ユーザー・グループの名前。
    2. CLI プロンプト。CLI インターフェイスアクセスに設定するプロンプト。
    3. アイドルセッションタイムアウト (秒) セッションがタイムアウトして終了するまでの間、ユーザーが非アクティブになる時間を設定します。
    4. 許可された管理インターフェイス。ユーザーグループへのアクセス許可が付与されているCitrix ADCインターフェイスを選択します。
    5. メンバー。グループにユーザーアカウントを追加します。
    6. コマンドポリシーコマンドポリシーをユーザーグループにバインドします。
    7. パーティションパーティションをユーザー・グループにバインドします。
  4. [作成 して 閉じる] をクリックします。

ユーザー認証用のCitrix ADC GUIでシステムユーザーグループを作成する

注:

グループにメンバーを追加するには、[メンバー] セクションで [追加] をクリックします。[使用可能] リストからユーザーを選択し、[構成済み] リストに追加します。

コマンドポリシーの設定

コマンドポリシーは、ユーザーおよびユーザーグループの使用を許可するコマンド、コマンドグループ、仮想サーバー、およびその他のエンティティを規制します。

アプライアンスには一連の組み込みコマンドポリシーが用意されており、カスタムポリシーを設定できます。ポリシーを適用するには、ポリシーをユーザーまたはグループにバインドします。

ここでは、コマンドポリシーを定義および適用する際に留意すべき重要なポイントを示します。

  • グローバルコマンドポリシーは作成できません。コマンドポリシーは、アプライアンス上のユーザーとグループに直接バインドする必要があります。
  • コマンドポリシーが関連付けられていないユーザまたはグループは、デフォルト(DENY-ALL)コマンドポリシーに従うため、適切なコマンドポリシーがアカウントにバインドされるまで、構成コマンドを実行できません。
  • すべてのユーザーは、自分が属するグループのポリシーを継承します。
  • コマンドポリシーをユーザアカウントまたはグループアカウントにバインドするときは、コマンドポリシーに優先順位を割り当てる必要があります。これにより、複数の競合するポリシーが同じユーザーまたはグループに適用される場合に、アプライアンスが優先度を持つポリシーを判断できるようになります。
  • 次のコマンドは、デフォルトですべてのユーザが使用でき、指定したコマンドの影響を受けません。
  • ヘルプ、CLI 属性の表示、CLI プロンプトの設定、CLI プロンプトのクリア、CLI プロンプトの表示、エイリアス、エイリアスの解除、履歴、終了、whoami、設定、CLI モードの設定、CLI モードの設定解除、CLI モードの表示

次の表は、組み込みポリシーの説明です。

ポリシー名 許可内容
read-only Citrix ADCコマンドグループの show ns RunningConfig、show ns ns.conf、および show コマンドを除くすべての show コマンドへの読み取り専用アクセス。
operator 読み取り専用のアクセスと、サービスおよびサーバーを有効または無効にするコマンドへのアクセス。
network set および unset の SSL コマンドを除くフルアクセスは、ns ns.conf、ns RunningConfig、gslb RunningConfig コマンドを表示します。
sysadmin [Citrix ADC 12.0以降に同梱されています。]sysadmin は、スーパーユーザーよりも低く、アプライアンスで許可されているアクセス条件です。sysadminユーザーは、Citrix ADCシェルにアクセスできない、ユーザー構成を実行できない、パーティション構成を実行できない、sysadminコマンドポリシーに記載されているその他の構成を除いて、すべてのCitrix ADC操作を実行できます。
superuser フルアクセス。nsrootユーザーと同じ権限。

カスタムコマンドポリシーの作成

よりカスタマイズされた式を維持するためのリソースを持つユーザーや、正規表現が提供する柔軟性を必要とするデプロイメントには、正規表現のサポートが提供されます。ほとんどのユーザーにとって、組み込みのコマンドポリシーで十分です。より多くの制御レベルを必要とするが、正規表現に慣れていないユーザーは、ポリシーの可読性を維持するために、このセクションで説明する例のような単純な式のみを使用したい場合があります。

正規表現を使用してコマンドポリシーを作成する場合は、次の点に注意してください。

  • 正規表現を使用してコマンドポリシーの影響を受けるコマンドを定義する場合は、コマンドを二重引用符で囲む必要があります。たとえば、show で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
  • “^show .*$”
  • rm で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
  • “^rm .*$”
  • コマンドポリシーで使用される正規表現では、大文字と小文字が区別されません。

次の表に、コマンドポリシーの正規表現の例を示します。

コマンド仕様 これらのコマンドに一致します。
“^rm\s+.*$” すべての削除アクションは、rm 文字列で始まり、その後にスペースとコマンドグループ、コマンドオブジェクトタイプ、引数などのパラメータが続くため、すべての削除アクションです。
“^show\s+.*$” すべての show コマンド。すべての show アクションは show 文字列で始まり、その後にスペースが続き、コマンドグループ、コマンドオブジェクトタイプ、引数などのパラメータが続きます。
“^shell$” シェルコマンドだけですが、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータと組み合わせることはできません。
“^add\s+vserver\s+.*$” すべて仮想サーバーアクションを作成します。このアクションは、add virtual server コマンドに続いてスペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などのパラメータで構成されます。
“^add\s+(lb\s+vserver)\s+.*” すべての create lb 仮想サーバアクション。このアクションは、add lb virtual server コマンドの後に、スペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などのその他のパラメータで構成されます。

組み込みのコマンドポリシーの詳細については、組み込みコマンドポリシー表を参照してください。

コマンドラインインターフェイスを使用してコマンドポリシーを作成するには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーを作成し、構成を確認します。

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

例:

add system cmdPolicy USER-POLICY ALLOW (\ server\ )|(\ service(Group)*\ )|(\ vserver\ )|(\ policy\ )|(\ policylabel\ )|(\ limitIdentifier\ )|(^show\ (?!(system|ns\ (ns.conf|runningConfig))))|(save)|(stat\ .*serv)

Citrix ADC GUIを使用してコマンドポリシーを構成する

  1. [システム] > [ユーザー管理] > [コマンドポリシー] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックして新しいコマンドポリシーを作成します。
  3. [** コマンドポリシーの設定**] ページで、次のパラメータを設定します。

    1. ポリシー名
    2. 操作(アクション)
    3. [コマンドスペック]
  4. [OK] をクリックします。

システムユーザ認証のコマンドポリシーの設定

コマンドポリシーをユーザーアカウントとユーザーグループにバインドする

コマンドポリシーを定義したら、それらを適切なユーザアカウントおよびグループにバインドする必要があります。ポリシーをバインドする場合は、2 つ以上の適用可能なコマンドポリシーが競合している場合に、アプライアンスが従うコマンドポリシーを決定できるように、ポリシーに優先順位を割り当てる必要があります。

コマンドポリシーは、次の順序で評価されます。

  • ユーザおよび対応するグループに直接バインドされたコマンドポリシーは、プライオリティ番号に従って評価されます。プライオリティ番号が小さいコマンドポリシーは、プライオリティ番号が高いポリシーポリシーよりも先に評価されます。したがって、小さい番号のコマンドポリシーが明示的に許可または拒否する特権は、大きい番号のコマンドポリシーによって上書きされません。
  • 2 つのコマンドポリシー(1 つはユーザアカウントにバインドされ、もう 1 つはグループにバインドされたコマンドポリシー)が同じプライオリティ番号を持つ場合、ユーザアカウントに直接バインドされたコマンドポリシーが最初に評価されます。

コマンドラインインターフェイスを使用してコマンドポリシーをユーザーにバインドするには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーにバインドし、構成を確認します。

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

例:

> bind system user user1 -policyName read_all 1

Citrix ADC GUIを使用してコマンドポリシーをユーザーアカウントにバインドする

[システム] > [ユーザー管理] > [ユーザー] に移動し、ユーザーを選択してコマンドポリシーをバインドします。

コマンドポリシーをシステムユーザーアカウントにバインドする

オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。

コマンドラインインターフェイスを使用してコマンドポリシーをグループにバインドするには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーグループにバインドし、構成を確認します。

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

例:

> bind system group Managers -policyName read_all 1

Citrix ADC GUIを使用してコマンドポリシーをユーザーグループにバインドする

[システム] > [ユーザー管理] > [グループ] に移動し、グループを選択してコマンドポリシーをバインドします。

Citrix ADC GUIでコマンドポリシーをシステムユーザーグループアカウントにバインドする

オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。

ユースケース例:製造組織のユーザーアカウント、ユーザーグループ、およびコマンドポリシーを管理する

次に、ユーザアカウント、グループ、およびコマンドポリシーの完全なセットを作成し、各ポリシーを適切なグループおよびユーザにバインドする例を示します。サンプルマニュファクチャリング社には、Citrix ADCアプライアンスにアクセスできる3人のユーザーがいます。

  • ジョン・ドーITマネージャ。JohnはCitrix ADC構成のすべての部分を表示できる必要がありますが、何も変更する必要はありません。

  • マリア・ラミエス主任の IT 管理者。Mariaは、Citrix ADCコマンドを除くCitrix ADC構成のすべての部分を表示および変更できる必要があります(ローカルポリシーでは、nsrootとしてログオンしているときに実行する必要があります)。

  • マイケル・バルドロック負荷分散を担当する IT 管理者。MichaelはCitrix ADC構成のすべての部分を表示できる必要がありますが、負荷分散機能のみを変更する必要があります。

次の表に、サンプル会社のネットワーク情報、ユーザーアカウント名、グループ名、およびコマンドポリシーの内訳を示します。

フィールド
Citrix ADC のホスト名 ns01.example.net -
ユーザーアカウント ジョーンズ、マリアー、マイケルブ ジョン・ドゥー、ITマネージャー、マリア・ラミレス、IT管理者、マイケル・バルドロック、IT管理者。
グループ マネージャとシステムオペレーション すべてのマネージャとすべてのIT管理者。
コマンドポリシー すべて読み取り、変更lb、およびすべて変更 [完全な読み取り専用アクセスを許可する]、[ロードバランシングへの変更アクセスを許可する]、および [完全な変更アクセスを許可する]。

以下の説明では、ns01.example.netという名前のCitrix ADCアプライアンスにユーザーアカウント、グループ、コマンドポリシーの完全なセットを作成する手順について説明します。

この説明には、適切なユーザアカウントとグループを相互にバインドする手順、および適切なコマンドポリシーをユーザアカウントとグループにバインドする手順が含まれています。

この例では、優先順位付けを使用して、IT 部門の各ユーザーに正確なアクセスと権限を付与する方法を示します。

この例では、Citrix ADCで初期インストールと構成がすでに実行されていることを前提としています。

サンプル組織のユーザーアカウント、グループ、およびコマンドポリシーを構成する

  1. ユーザーアカウント johndmariar、および michaelbを作成するには、「ユーザーアカウントの構成」セクションで説明されている手順を使用します。
  2. 「ユーザグループの設定」で説明されている手順を使用して、ユーザグループ マネージャSysOpsを作成し、ユーザ mariarmichaelbSysOps グループにバインドし、ユーザ johndマネージャ・ グループ。
  3. 「カスタムコマンドポリシーの作成」で説明されている手順を使用して、次のコマンドポリシーを作成します。

    • read_all with action Allow and command spec "(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)"
    • modify_lb with action as Allow and the command spec "^set\s+lb\s+.*$"
    • modify_all with action as Allow and the command spec "^\S+\s+(?!system).*"
  4. read_allコマンドポリシーを優先度値 1SysOpsグループにバインドするには、「コマンドポリシーのユーザーとグループへのバインド」で説明されている手順を使用します。
  5. modify_lb コマンドポリシーを、優先度値 5のユーザ michaelbにバインドするには、「コマンドポリシーのユーザーとグループへのバインド」で説明されている手順を使用します。

作成した構成は、次のようになります。

  • IT マネージャである John Doe は、Citrix ADC 構成全体に対して読み取り専用でアクセスできますが、変更を加えることはできません。
  • IT責任者であるマリア・ラミレスは、Citrix ADC構成のすべての領域にほぼ完全にアクセスでき、Citrix ADCレベルのコマンドを実行するためだけにログオンする必要があります。
  • 負荷分散を担当するIT管理者Michael Baldrockは、Citrix ADC構成に読み取り専用でアクセスでき、負荷分散の構成オプションを変更できます。

特定のユーザーに適用されるコマンドポリシーのセットは、ユーザーのアカウントに直接適用されるコマンドポリシーと、ユーザーがメンバーである 1 つ以上のグループに適用されるコマンドポリシーの組み合わせです。

ユーザーがコマンドを入力するたびに、オペレーティングシステムは、コマンドに一致する許可または拒否アクションを持つポリシーが見つかるまで、そのユーザーのコマンドポリシーを検索します。一致するものが見つかると、オペレーティングシステムはコマンドポリシーの検索を停止し、コマンドへのアクセスを許可または拒否します。

オペレーティングシステムが一致するコマンドポリシーが見つからない場合、Citrix ADCアプライアンスのデフォルトの拒否ポリシーに従って、コマンドへのユーザーアクセスを拒否します。

注:

ユーザを複数のグループに配置する場合は、意図しないユーザコマンドの制限や権限が発生しないように注意してください。これらの競合を回避するには、ユーザーをグループに編成する場合は、Citrix ADCコマンドのポリシー検索手順とポリシーの順序付け規則に注意してください。

ユーザ、ユーザグループ、およびコマンドポリシー