製品ドキュメント
Citrix ADC
Current Release 13.0 12.1
PDFを表示

SSL を負荷分散仮想サーバーにオフロードした後の LDAP の設定

November 7, 2022
寄稿者: 
C

Citrix ADCアプライアンスでは、管理アクセスまたは認証認証とゲートウェイアクセスのためのLDAP、RADIUS、TACACSなどの基本認証を実行するためにAAADプロセスが使用されます。AAAD は管理 CPU で実行されるため、認証が断続的に失敗するという問題が発生する可能性があります。これらの障害を回避するには、負荷分散仮想サーバーを使用して SSL 機能を AAAD からオフロードできます。

SSL を負荷分散仮想サーバーにオフロードすることの利点

  • AAAD のパフォーマンスが強化されました。AAAD では、SSL タイプの LDAP サーバへの認証要求ごとに、新しい SSL セッションが確立されます。AAAD プロセスは管理 CPU で実行されるため、SSL セッションを確立すると、AAAD への要求が多いときのパフォーマンスに影響します。SSL 機能を負荷分散仮想サーバーにオフロードすると、AAAD プロセスのパフォーマンスが向上します。
  • クライアント証明書をサーバにレンダリングします。AAAD のクライアント LDAP ライブラリはサーバー証明書の検証のみを行い、クライアント証明書のサーバーへのレンダリングはサポートされていません。SSL相互認証では、SSL接続を確立するためにクライアント証明書をレンダリングする必要があるため、SSL機能を負荷分散仮想サーバーにオフロードすることで、クライアント証明書をサーバーにレンダリングできます。

SSL を負荷分散仮想サーバーにオフロードした後に LDAP を設定します

注: LDAP の負荷分散仮想サーバー IP アドレスを作成し、LDAP リクエストサーバーがその仮想サーバー IP アドレスを指定すると、トラフィックは SNIP から送信されます。

前提条件

  • Citrix ADCアプライアンスが認証に使用するドメインコントローラーで安全なLDAPが有効になっていることを確認します。デフォルトでは、エンタープライズ CA では、すべてのドメインコントローラーがドメインコントローラー証明書テンプレートを使用して証明書を登録します。
  • ldp.exe を使用し、ポート 636 と SSL を介してドメインコントローラに接続して、安全な LDAP が機能していることを確認します。

SSL を負荷分散仮想サーバーにオフロードした後に LDAP を設定する手順

  1. プロトコルを TCP に設定して負荷分散サービスグループを作成します。 [ トラフィック管理] > [負荷分散] > [サービスグループ ] に移動し、[ 追加] をクリックします。

    サービスグループの作成

  2. ドメインコントローラーをサービスグループメンバーとして追加します。 ドメインコントローラーのIPアドレスを入力し、ポートを636に設定して、[ 作成] をクリックします。

    ドメインコントローラーの追加

  3. LDAPS 用の負荷分散仮想サーバーを作成します。

    1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
    2. プロトコルを TCP に設定し、IP アドレスを入力し、ポートを 636 に設定して、 OKをクリックします。

    負荷分散仮想サーバーを作成する

  4. LDAPS サービスグループを仮想サーバーにバインドします。

    1. [ 負荷分散仮想サーバーサービスグループバインドなし] をクリックします。
    2. サービスグループを選択し、[ バインド] をクリックします。仮想サーバーが UPと表示されていることを確認します。

    バインドサービス group1

    バインドサービス group2

  5. 次に、LDAP認証ポリシーサーバーを、セキュアLDAPの負荷分散仮想サーバーを指すように変更します。セキュリティタイプは PLAINTEXT でなければなりません。

    1. Citrix Gateway > ポリシー > 認証 > LDAPに移動します
    2. LDAP サーバーを選択し、[ 編集] をクリックします。
    3. IPアドレスを、以前に作成したCitrix ADCアプライアンスでホストされているLDAPS VIPに変更します。
    4. セキュリティタイプを PLAINTEXTに変更し、ポートを 636 に変更し、必要に応じて [ パスワードの変更を許可する ] チェックボックスを選択します (SLDAP ではパスワードを変更できます)。
    5. [ ネットワーク接続のテスト ] をクリックして接続を確認します。
    6. [OK] をクリックします。

    プレーンテキストを SSL に変更認証ダッシュボードで LDAP サーバーのステータスが UP になっていることを確認できます。また、認証ログをチェックして、認証が意図したとおりに機能していることを確認します。

CLI 設定の例

  1. AAAD プロセス用の LDAP サーバを設定します。次の構成例では、SSL相互認証なしで負荷分散仮想サーバーとSSL接続を確立します。

    add authentication ldapAction ldap_act -serverIP <LB-VIP> -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
<!--NeedCopy-->

  2. LDAP仮想サーバーの負荷分散仮想サーバーを構成します。負荷分散仮想サーバーのタイプはTCPです。

    add lb vserver ldaps TCP <LB-VIP> 636 -persistenceType NONE -cltTimeout 9000
<!--NeedCopy-->

  3. 負荷分散仮想サーバーのサービスを構成します。サービスタイプは SSL-TCP です。

    add service ldaps <LDAP-IP> SSL_TCP 636
<!--NeedCopy-->

  4. サービスの CA 証明書を設定し、サーバー証明書の検証用に「ServerAuth」パラメーターを設定します。

    bind ssl service ldaps -certkeyName ca-cert -CA
set ssl service ldaps -serverAuth enabled
<!--NeedCopy-->

  5. LDAP サーバにレンダリングされるサービスに証明書を添付します。

    bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication]
<!--NeedCopy-->

  6. サービスを負荷分散仮想サーバーにバインドします。

    bind lb vserver ldaps ldaps
<!--NeedCopy-->
SSL を負荷分散仮想サーバーにオフロードした後の LDAP の設定
November 7, 2022
寄稿者: 
C
November 7, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Cloud Software Group, Inc. All rights reserved.