Citrix ADC

管理目的でCitrix ADCアプライアンスにLDAP認証を構成する

管理目的(スーパーユーザー、読み取り専用、ネットワーク特権など)でActive Directory資格情報(ユーザー名とパスワード)を使用して、Citrix ADCアプライアンスへのユーザーログオンを構成できます。

前提条件

  • Windows Active Directoryドメインコントローラーサーバー
  • NetScaler管理者専用のドメイングループ
  • Citrix Gateway10.1以降のバージョン

次の図は、Citrix ADCアプライアンスでのLDAP認証を示しています。

管理目的のワークフローのためのLDAP認証

高レベルの構成手順

  1. LDAPサーバーを作成する
  2. LDAPポリシーを作成する
  3. LDAPポリシーをバインドする
  4. 次のいずれかの方法で管理者に特権を割り当てます
    • グループに特権を適用する
    • ユーザーごとに個別に権限を適用する

認証LDAPサーバーを作成します

  1. [System]>[Authentication]>[LDAP]の順に選択します。
  2. [ サーバー ]タブをクリックし、[ 追加]をクリックします。
  3. 構成を完了し、[ 作成]をクリックします。

LDAP認証サーバー

注:

この例では、検索フィルターを設定してユーザーグループメンバーシップの認証をフィルタリングすることにより、アクセスがCitrix ADCアプライアンスに制限されています。この例で使用される値は-です。 & (memberof=CN=NSG_Admin,OU=AdminGroups,DC=Citrix,DC=lab)

LDAPポリシーを作成する

  1. [ システム] > [認証] > [詳細ポリシー] > [ポリシー] に移動します。
  2. [追加] をクリックします。
  3. ポリシーの名前を入力し、前の手順で作成したサーバーを選択します。
  4. [式]テキストフィールドに適切な式を入力し、[ 作成]をクリックします。

LDAP認証ポリシー

LDAPポリシーをグローバルにバインドする

  1. [ システム] > [認証] > [詳細ポリシー] > [ポリシー] に移動します。
  2. [認証ポリシー]ページで、[ グローバルバインディング]をクリックします。
  3. 作成したポリシーを選択します(この例では、 pol_LDAPmgmt).
  4. それに応じて優先度を選択します(数値が小さいほど、優先度が高くなります)
  5. [ バインド]、[ 完了]の順にクリックします。[ グローバルバウンド ]列に緑色のチェックマークが表示されます。

LDAP認証ポリシーをグローバルにバインドする

管理者に権限を割り当てる

次の2つのオプションのいずれかを選択できます。

  • グループに特権を適用する: Citrix ADCアプライアンスにグループを追加し、このグループのメンバーである各ユーザーに同じアクセス権を割り当てます。
  • ユーザーごとに個別に権限を適用する: 各ユーザー管理者アカウントを作成し、各ユーザーに権限を割り当てます。

グループに特権を適用する

グループに特権を適用すると、検索フィルターで構成されたActive Directoryグループのメンバーであるユーザー(この例では、 NSG_Admin) Citrix ADC Managementインターフェイスに接続し、スーパーユーザーコマンドポリシーを設定できます。

  1. [System]>[User Administration]>[Groups]の順に選択します。
  2. 要件に従って詳細を入力し、[ 作成]をクリックします。

ユーザーグループを作成し、特権を割り当てます

ユーザーが属するActiveDirectoryグループと、ログイン時にアカウントに関連付ける必要のあるコマンドポリシーレベルを定義しました。検索フィルターで構成したLDAPグループに新しい管理者ユーザーを追加できます。

注:

グループ名は、ActiveDirectoryレコードと一致する必要があります。

ユーザーごとに個別に権限を適用する

このシナリオでは、検索フィルターで構成されたActive Directoryグループのメンバーであるユーザー(この例では、 NSG_Admin) Citrix ADC管理インターフェイスに接続できますが、Citrix ADCアプライアンスで特定のユーザーを作成し、それにコマンドポリシーをバインドするまで、特権はありません。

  1. [System]>[User Administration]>[Users]の順に選択します。
  2. [追加] をクリックします。
  3. 要件に従って詳細を入力します。

    注: 必ず[ 外部認証を有効にする]を選択してください。

ユーザーを作成して特権を割り当てる

  1. [続行] をクリックします。

ログイン時にアカウントに関連付ける必要があるActiveDirectoryユーザーとコマンドポリシーレベルを定義しました。

注:

  • ユーザー名は、既存のユーザーのActiveDirectoryレコードと一致する必要があります。
  • 外部認証のためにユーザーをCitrix ADCに追加する場合、外部認証が利用できない場合は、パスワードを入力する必要があります。外部認証が正しく機能するためには、内部パスワードがユーザーアカウントのLDAPパスワードと同じであってはなりません。

ユーザーにコマンドポリシーを追加する

  1. [System]>[User Administration]>[Users]の順に選択します。
  2. 作成したユーザーを選択し、[ 編集]をクリックします。
  3. [バインディング]で、[ システムコマンドポリシー]をクリックします。
  4. ユーザーに適用する正しいコマンドポリシーを選択します。
  5. [ バインド ]をクリックし、[ 閉じる]をクリックします。

コマンドポリシーをユーザーにバインドする

管理者を追加するには;

  • 管理者ユーザーを、検索フィルターで構成したLDAPグループに追加します。
  • Citrix ADCでシステムユーザーを作成し、正しいコマンドポリシーを割り当てます。

CLIを使用して、管理目的でCitrix ADCアプライアンスでLDAP認証を構成するには

次のコマンドを参照として使用して、Citrix ADCアプライアンスCLIでスーパーユーザー特権を持つグループのログオンを構成します。

  1. LDAPサーバーを作成する

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    <!--NeedCopy-->
    
  2. LDAPポリシーの作成と

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    <!--NeedCopy-->
    
  3. LDAPポリシーのバインド

    bind system global pol_LDAPmgmt -priority 110
    <!--NeedCopy-->
    
  4. 管理者に権限を割り当てる

    • グループに特権を適用するには
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    <!--NeedCopy-->
    
    • ユーザーごとに個別に特権を適用するには
    add system user admyoa
    bind system user admyoa superuser 100
    <!--NeedCopy-->