ADC

認証のネゴシエート

他の種類の認証ポリシーと同様に、ネゴシエート認証ポリシーも表現とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバーにバインドし、プライオリティを割り当てます。バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。

標準の認証機能に加えて、Negotiate Actionコマンドでは、情報を手動で入力する代わりに、キータブ・ファイルからユーザー情報を抽出できるようになりました。キータブに複数の SPN がある場合、認証、承認、および監査によって正しい SPN が選択されます。この機能は、コマンドラインまたは構成ユーティリティを使用して構成できます。

以下の手順は、LDAP プロトコルに精通していて、選択した LDAP 認証サーバーをすでに設定していることを前提としています。

コマンドラインインターフェイスを使用してキータブファイルからユーザー情報を抽出するように認証、承認、および監査を設定するには

コマンドプロンプトで、適切なコマンドを入力します。

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • 名前 -使用するネゴシエートアクションの名前。
  • ドメイン -NetScalerを表すサービスプリンシパルのドメイン名。

  • DomainUser -NetScalerプリンシパルにマップされているアカウントのユーザー名。キータブファイルが利用できない場合は、ドメインとパスワードと一緒に指定できます。キータブファイルと一緒にユーザー名を指定すると、そのキータブファイルでこのユーザーの認証情報が検索されます。最大長:127
  • DomainUserPasswd -NetScalerプリンシパルにマップされているアカウントのパスワード。
  • DefaultAuthenticationGroup -抽出されたグループに加えて認証が成功したときに選択されるデフォルトグループです。最大文字数:63。
  • キータブ -NetScalerに送信されたケルベロスチケットの復号化に使用されるキータブファイルへのパス。キータブが使用できない場合は、ネゴシエートアクション設定でドメイン/ユーザー名/パスワードを指定できます。最大長:127
  • NTLMPath -サーバーのFQDNを含む、NTLM認証が有効になっているサイトへのパス。これは、クライアントがNTLMにフォールバックするときに使用されます。 最大長:127

構成ユーティリティを使用してキータブファイルからユーザー情報を抽出するための認証、承認、および監査を設定するには

構成ユーティリティでは、アクションの代わりにサーバーという用語が使用されますが、同じタスクを指します。

  1. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [認証] > [詳細ポリシー] > [アクション] > [ネゴシエートアクション]に移動します。
  2. 詳細ウィンドウの [ サーバー ] タブで、次のいずれかの操作を行います。

    • 新しいネゴシエートアクションを作成する場合は 、「 追加」をクリックします。
    • 既存のネゴシエートアクションを変更する場合は 、データペインでアクションを選択し、[ 編集] をクリックします。
  3. 新しいネゴシエートアクションを作成する場合は 、「 名前 」テキストボックスに新しいアクションの名前を入力します。名前の長さは 1 ~ 127 文字で、大文字と小文字、数字、ハイフン (-) と下線 (_) で構成できます。既存のネゴシエートアクションを変更する場合は、このステップをスキップしてください。名前は読み取り専用で、変更できません。
  4. ネゴシエート」の「キータブ・ファイルを使用」チェック・ボックスがまだオンになっていない場合は、チェックを入れてください。
  5. キータブファイルパステキストボックスに、使用するキータブファイルのフルパスとファイル名を入力します。
  6. 「デフォルト認証グループ」テキストボックスに、このユーザーのデフォルトとして設定する認証グループを入力します。
  7. 作成」または「OK」 をクリックして変更を保存します。

Kerberos 認証に高度な暗号化を使用する場合の注意点

  • キータブを使用する場合の設定例: add authentication negotiateAction neg_act_aes256 -keytab “/nsconfig/krb/lbvs_aes256.keytab”
  • keytab に複数の暗号化タイプがある場合は、次のコマンドを使用します。このコマンドは、ドメインユーザーパラメータを追加でキャプチャします:add authentication negotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
  • ユーザー認証情報を使用する場合は、次のコマンドを使用してください。認証を追加 NegotiateAction neg_act_user-domain AAA.LOCAL -DomainUser「http/lbvs.AAA.local」-DomainUserPasswd <password>
  • 正しい domainUser 情報が提供されていることを確認します。AD でユーザーログオン名を検索できます。