Citrix ADC

認証のネゴシエーション

他の種類の認証ポリシーと同様に、Negotiate 認証ポリシーは式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。

標準の認証機能に加えて、Negotiate Action コマンドでは、手動で情報を入力する代わりに、キータブファイルからユーザー情報を抽出できるようになりました。キータブに複数の SPN がある場合、認証、承認、および監査によって正しい SPN が選択されます。この機能は、コマンドラインまたは構成ユーティリティを使用して構成できます。

これらの手順は、すでに LDAP プロトコルに精通しており、選択した LDAP 認証サーバをすでに設定していることを前提としています。

コマンドラインインターフェイスを使用して keytab ファイルからユーザー情報を抽出するように認証、承認、および監査を構成するには

コマンドプロンプトで、適切なコマンドを入力します。

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • 名前 -交渉アクションの名前を使用します。
  • ドメイン -サービスプリンシパルのドメイン名があること 、 CitrixのADCをrepresnts。
  • domainUser - Citrix ADCプリンシパルにマップされているアカウントのユーザー名。これは、keytabファイルが利用できない場合にドメインとパスワードとともに指定できます。ユーザー名がkeytabファイルと一緒に指定されている場合、そのkeytabファイルでこのユーザーの資格情報が検索されます。最大長:127
  • domainUserPasswd - Citrix ADCプリンシパルにマップされているアカウントのパスワード。
  • defaultAuthenticationGroup- これは、抽出されたグループに加えて、認証が成功したときに選択されるデフォルトのグループです。最大長:63
  • keytab -Citrix ADCに提示されたKerberosチケットを復号化するために使用されるkeytabファイルへのパス。キータブが利用できない場合は、 domain/username/password ネゴシエーションアクション設定で指定できます。最大長:127
  • NTLMPath- サーバーのFQDNを含む、NTLM認証が有効になっているサイトへのパス。これは、クライアントがNTLMにフォールバックするときに使用されます。 最大長:127

設定ユーティリティを使用して keytab ファイルからユーザー情報を抽出するための認証、承認、および監査を構成するには

構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使 用されますが、同じタスクを指します。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [認証] > [高度なポリシー] > [アクション] > [SAML] に移動します。
  2. 詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。

    • 新しい [ネゴシエート] アクションを作成する場合は、[追加] をクリックします。
    • 既存の [ネゴシエート] アクションを変更する場合は、データウィンドウでアクションを選択し、[編集] をクリックします。
  3. 新しい [ネゴシエート] アクションを作成する場合は、[名前] テキストボックスに新しいアクションの名前を入力します。名前の長さは 1 ~ 127 文字で、大文字、小文字、数字、ハイフン (-) およびアンダースコア (_) を使用できます。既存の「ネゴシエート」アクションを変更する場合は、この手順をスキップします。名前は読み取り専用です。変更できません。
  4. [ネゴシエート] で、[キータブファイルを使用] チェックボックスがオンになっていない場合は、オンにします。
  5. 「キータブファイルのパス」テキストボックスに、使用するキータブファイルのフルパスとファイル名を入力します。
  6. [既定の認証グループ] テキストボックスに、このユーザーの既定として設定する認証グループを入力します。
  7. [作成] または [OK] をクリックして 変更を保存します。

Kerberos認証に高度な暗号化を使用する場合の注意点

  • キータブを使用する場合の設定例: 認証negotiateActionを追加 neg_act_aes256 -キータブ “/nsconfig/krb/lbvs_aes256.keytab”
  • keytabに複数の暗号化タイプがある場合は、次のコマンドを使用します。このコマンドは、ドメインユーザーパラメータを追加でキャプチャします。addauthenticationnegotiateAction neg_act_keytab_all -キータブ “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
  • ユーザー資格情報を使用する場合は、次のコマンドを使用します。addauthentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “HTTP/lbvs.aaa.local” -domainUserPasswd <password>
  • 正しい domainUser 情報が提供されていることを確認してください。ADでユーザーログオン名を探すことができます。