Citrix ADC

RADIUS認証

他の種類の認証ポリシーと同様に、リモート認証ダイヤルインユーザーサービス (RADIUS) 認証ポリシーは、式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。ただし、RADIUS 認証ポリシーを設定するには、次に説明する特定の特別な要件があります。

通常、認証時に認証サーバーのIPアドレスを使用するようにCitrix ADCを構成します。RADIUS 認証サーバを使用すると、IP アドレスではなく RADIUS サーバの FQDN を使用してユーザを認証するように ADC を設定できるようになりました。FQDN を使用すると、認証サーバが複数の IP アドレスのいずれかに存在し、常に 1 つの FQDN を使用する環境において、より複雑な認証、承認、および監査の構成を簡素化できます。IP アドレスの代わりにサーバーの FQDN を使用して認証を構成するには、認証アクションを作成する場合を除き、通常の構成プロセスに従います。アクションを作成するときは、serverIP パラメータを serverName パラメータに置き換えます。

ユーザーの認証にRADIUSサーバーのIPまたはFQDNを使用するようCitrix ADCを構成するかを決定する前に、IPアドレスの代わりにFQDNに対して認証を行うように認証、承認、および監査を構成すると、認証プロセスに余分な手順が追加されることを検討してください。ADC は、ユーザを認証するたびに、FQDN を解決する必要があります。多数のユーザーが同時に認証を試みると、結果として生じる DNS ルックアップによって認証プロセスが遅くなる可能性があります。

これらの手順は、すでに RADIUS プロトコルに精通しており、選択した RADIUS 認証サーバをすでに設定していることを前提としています。

コマンドラインインターフェイスを使用して RADIUS サーバーの認証アクションを追加するには

RADIUS サーバに対して認証を行う場合は、明示的な認証アクションを追加する必要があります。これを行うには、コマンドプロンプトで次のコマンドを入力します。


add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

次の例では、 Authn-Act-1という名前の RADIUS 認証アクションを追加します。このアクションには、サーバ IP 10.218.24.65、サーバポート 1812、認証タイムアウト 15分、RADIUSキー WareTheLorax、NAS IP が無効、NAS ID が含まれます。NAS1.


add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

次の例では、同じ RADIUS 認証アクションを追加しますが、IP の代わりにサーバ FQDN rad01.example.com を使用します。


add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

コマンドラインを使用して外部 RADIUS サーバーの認証アクションを構成するには

既存の RADIUS アクションを構成するには、コマンドプロンプトで次のコマンドを入力します。


set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

コマンドラインインターフェイスを使用して外部 RADIUS サーバーの認証アクションを削除するには

既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。


rm authentication radiusAction <name>


rm authentication radiusaction Authn-Act-1
Done

構成ユーティリティを使用して RADIUS サーバを構成するには

構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使用されますが、同じタスクを指します。

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [Radius]に移動します。
  2. 詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。

    • 新しい RADIUS サーバを作成するには、[Add] をクリックします。
    • 既存の RADIUS サーバを変更するには、サーバを選択し、[Edit] をクリックします。
  3. [認証RADIUSサーバーの作成] または [認証RADIUSサーバーの構成] ダイアログで、パラメータの値を入力または選択します。[発信側の ID の送信] の下に表示されるパラメータを入力するには、[詳細] を展開します。

    • 名前*—radiusActionName (以前に設定されたアクションでは変更できません)
    • 認証タイプ*:authtype(RADIUSに設定され、変更不可)
    • サーバ名/ IP アドレス*:サーバ名またはサーバ IP のいずれかを選択します。

      • サーバー名*—serverName <FQDN>
      • IP アドレス*:serverIp <IP> サーバに IPv6 IP アドレスが割り当てられている場合は、[IPv6] チェックボックスをオンにします。
    • ポート*:serverPort
    • タイムアウト (秒) *—authTimeout
    • シークレットキー*:radKey(RADIUS 共有シークレット)
    • 確認シークレットキー*:RADIUS 共有シークレットをもう一度入力します。(コマンドラインに相当するものはありません)。
    • 発信側ステーション ID の送信:callingstationid
    • グループベンダー識別子:radVendorID
    • グループ属性タイプ-radAttributeType
    • IP アドレスベンダー識別子:ipVendorID
    • pwdベンダーID—pwdVendorID
    • パスワードエンコーディング:passEncoding
    • デフォルト認証グループ:defaultAuthenticationGroup
    • NAS ID—radNASid
    • NAS の IP アドレス抽出を有効にする:radNASip
    • グループプレフィクス-radGroupsPrefix
    • グループ・セパレータ—radGroupSeparator
    • IP アドレス属性タイプ:ipAttributeType
    • パスワード属性タイプ:pwdAttributeType
    • アカウンティング:accounting
  4. [作成] または[OK]をリックします。作成したポリシーが [Servers] ページに表示されます。

RADIUS 属性 66 を通過するサポート(トンネル-クライアントエンドポイント)

Citrix ADCアプライアンスは、RADIUS認証中にRADIUS属性66(トンネル-クライアントエンドポイント)のパススルーを許可するようになりました。この機能を適用することで、クライアントの IP アドレスが第 2 要素認証によって受信され、リスクベースの認証の決定が委託されます。

「add authentication radiusAction」コマンドと「set radiusParams」コマンドの両方に、新しい属性「tunnelEndpointClientIP」が導入されました。

この機能を使用するには、Citrix ADCアプライアンスのコマンドプロンプトで次のように入力します。


add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]

set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]


add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED

set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

エンドツーエンドの RADIUS 認証の検証のサポート

Citrix ADCアプライアンスは、GUIを介してエンドツーエンドのRADIUS認証を検証できるようになりました。この機能を検証するために、GUIに新しい「テスト」ボタンが導入されました。Citrix ADCアプライアンス管理者は、この機能を利用して、次のメリットを得ることができます。

  • 完全なフロー(パケットエンジン — AAAデーモン — 外部サーバ)を統合して、より優れた分析を提供
  • 個々のシナリオに関連する問題の検証とトラブルシューティングにかかる時間を短縮

GUI を使用して RADIUS エンドツーエンド認証のテスト結果を設定および表示するには、2 つのオプションがあります。

システム・オプションから

  1. [システム] > [認証] > [基本ポリシー] > [RADIUS] に移動し、[サーバー] タブをクリックします。
  2. リストから使用可能な RADIUS アクション を選択します。
  3. [認証 RADIUS サーバーの構成] ページで、[接続の設定] セクション に 2 つのオプションがあります。
  4. RADIUS サーバの接続を確認するには、[RADIUS 到達可能性のテスト] タブをクリックします。
  5. エンドツーエンド RADIUS 認証を表示するには、[エンドユーザ接続のテスト] リンクをクリックします。

「認証から」オプション

  1. [認証] > [ダッシュボード] に移動し、リストから使用可能な RADIUS アクションを選択します。
  2. [認証 RADIUS サーバーの構成] ページで、[接続の設定] セクション に 2 つのオプションがあります。
  3. RADIUS サーバの接続を確認するには、[RADIUS 到達可能性のテスト] タブをクリックします。
  4. エンドツーエンド RADIUS 認証ステータスを表示するには、[エンドユーザ接続のテスト] リンクをクリックします。