Citrix ADC

nFactor 認証の設定

2つの要素ではなくnFactor構成を使用して、複数の認証要素を構成できます。nFactor構成は、Citrix ADC AdvancedエディションおよびPremiumエディションでのみサポートされています。

nFactor を設定するメソッド

nFactor 認証は、次のいずれかの方法で設定できます。

重要: このトピックでは、Citrix ADC GUIを使用してnFactorを構成する方法の詳細について説明します。

nFactor の設定に関係する設定要素

nFactor の設定には、次の要素が含まれます。詳細な手順については、このトピックの該当するセクションを参照してください。

構成要素 実行するタスク
AAA 仮想サーバ AAA 仮想サーバを作成する
  ポータルテーマを AAA 仮想サーバにバインドする
  クライアント証明書認証を有効にする
ログインスキーマ ログインスキーマプロファイルの設定
  ログインスキーマポリシーの作成とバインド
高度な認証ポリシー 高度な認証ポリシーの作成
  第1要素の詳細認証ポリシーをCitrix ADC AAA仮想サーバーにバインドする
  抽出された LDAP グループを使用して、次の認証要素を選択する
認証ポリシーラベル 認証ポリシーラベルの作成
  認証ポリシーラベルのバインド
Citrix Gateway の nFactor Citrix ADC AAA仮想サーバーとCitrix Gateway 仮想サーバーをリンクするための認証プロファイルを作成する
  Citrix Gateway のSSLパラメーターとCA証明書を構成する
  StoreFront へのnFactorシングルサインオン用のCitrix Gateway トラフィックポリシーを構成する

nFactorのしくみ

ユーザーがCitrix ADC AAAまたはCitrix Gateway 仮想サーバーに接続すると、発生するイベントの順序は次のとおりです。

  1. フォームベース認証を使用する場合、Citrix ADC AAA仮想サーバーにバインドされたログインスキーマが表示されます。

  2. Citrix ADC AAA仮想サーバーにバインドされた高度な認証ポリシーが評価されます。
    • 高度な認証ポリシーが成功し、次の要素(認証ポリシーラベル)が設定されている場合は、次の要素が評価されます。Next Factor が設定されていない場合、認証は完了し、成功します。
    • 詳細認証ポリシーが失敗し、[Goto Expression] が [Next] に設定されている場合は、次にバインドされた高度な認証ポリシーが評価されます。いずれの高度な認証ポリシーも成功しない場合、認証は失敗します。
  3. ネクストファクタ認証ポリシーラベルにログインスキーマがバインドされている場合は、ユーザーに表示されます。
  4. 次の要素認証ポリシーラベルにバインドされた高度な認証ポリシーが評価されます。
    • 高度な認証ポリシーが成功し、次の要素(認証ポリシーラベル)が設定されている場合は、次の要素が評価されます。
    • Next Factor が設定されていない場合、認証は完了し、成功します。
  5. 詳細認証ポリシーが失敗し、[式に移行] が [次へ] の場合、次にバインドされた高度な認証ポリシーが評価されます。

  6. いずれの高度な認証ポリシーも成功しない場合、認証は失敗します。

AAA 仮想サーバ

Citrix Gateway で nFactor を使用するには、まず AAA 仮想サーバーで nFactor を構成します。その後、AAA仮想サーバーをCitrix Gateway 仮想サーバーにリンクします。

AAA 仮想サーバの作成

  1. AAA 機能がまだ有効になっていない場合は、[ セキュリティ] > [AAA — アプリケーショントラフィック] に移動し、右クリックして機能を有効にします。

    ローカライズされた画像

  2. 設定 > セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバにナビゲートして下さい

    ローカライズされた画像

  3. [ 追加 ] をクリックして、認証仮想サーバーを作成します。

    ローカライズされた画像

  4. 次の情報を入力し、 「OK」をクリックします。

    パラメーター名 パラメータの説明
    名前 AAA 仮想サーバの名前。
    IP アドレスタイプ この仮想サーバーをCitrix Gateway でのみ使用する場合は、[IPアドレスの種類]を[ アドレス指定不可 ]に変更します。

    ローカライズされた画像

  5. [証明書] で、[ サーバー証明書なし] を選択します。

    ローカライズされた画像

  6. [ クリックして選択] というテキストをクリックし 、サーバー証明書を選択します。

    ローカライズされた画像

  7. AAA Virtual Server の証明書の隣にあるオプションボタンをクリックし、[ Select] をクリックします。このサーバには直接アクセスできないため、選択した証明書は関係ありません。

    ローカライズされた画像

  8. [バインド] をクリックします。

    ローカライズされた画像

  9. [ 続行 ] をクリックして、[ 証明書 ] セクションを閉じます。

    ローカライズされた画像

  10. [続行] をクリックします。

    ローカライズされた画像

ポータルテーマを AAA 仮想サーバにバインドする

  1. Citrix Gateway]>[ポータルのテーマ]に移動し、テーマを追加します。Citrix Gateway でテーマを作成し、後でそれをAAA仮想サーバーにバインドします。

    ローカライズされた画像

  2. rfWebUI テンプレートテーマに基づいてテーマを作成します。

    ローカライズされた画像

  3. 必要に応じてテーマを調整した後、ポータル・テーマ編集ページの上部で、[ クリックしてバインドして構成済みテーマを表示] をクリックします。

    ローカライズされた画像

  4. 選択を [認証] に変更します。[ 認証仮想サーバ名(Authentication Virtual Server Name )] ドロップダウンメニューから、AAA 仮想サーバを選択し、[ バインドしてプレビュー (Bind and Preview)] をクリックし、プレビュー

    ローカライズされた画像

クライアント証明書認証を有効にする

認証要素の 1 つがクライアント証明書である場合は、AAA 仮想サーバでいくつかの SSL 設定を実行する必要があります。

  1. [ トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。ルート証明書にはキーファイルがありません。

    ローカライズされた画像

    ローカライズされた画像

  2. [ トラフィック管理] > [SSL] > [SSL の詳細設定の変更] に移動します。

    ローカライズされた画像

    a. 下にスクロールして、 デフォルトプロファイルがENABLED になっているかどうかを確認します。「はい」の場合は、SSL プロファイルを使用してクライアント証明書認証を有効にする必要があります。それ以外の場合は、[SSL Parameters] セクションの AAA 仮想サーバで直接クライアント証明書認証を有効にできます。

  3. デフォルトの SSL プロファイルが有効になっていない場合は、次の手順を実行します。

    a. [ セキュリティ] > [AAA-アプリケーション] > [仮想サーバ] に移動し、既存の AAA 仮想サーバを編集します。

    ローカライズされた画像

    b. 左側の [ SSL パラメータ ] セクションで、鉛筆アイコンをクリックします。

    ローカライズされた画像

    c. [ クライアント認証] の横にあるチェックボックスをオンにします。

    d.「 クライアント証明書 」ドロップダウンメニューで「 オプション 」 が選択されていることを確認し、 「OK」をクリックします。

    ローカライズされた画像

  4. デフォルトの SSL プロファイルが有効になっている場合は、クライアント認証を有効にして新しい SSL プロファイルを作成します。

    a. 左側のメニューで、[システム] を展開し、[プロファイル] をクリックします。

    b. 右上の [SSL プロファイル] タブに切り替えます。

    c. ns_default_ssl_profile_frontend プロファイルを右クリックし、[追加] をクリックします。これにより、デフォルトプロファイルから設定がコピーされます。

    d. プロフィールに名前を付けます。このプロファイルの目的は、クライアント証明書を有効にすることです。

    e. 下にスクロールして、[クライアント認証] チェックボックスを見つけます。ボックスにチェックを入れます。

    f. [クライアント証明書] ドロップダウンを [オプション] に変更します。

    g. デフォルトの SSL プロファイルをコピーしても SSL 暗号はコピーされないため、再実行する必要があります。

    h. SSL プロファイルの作成が完了したら、[完了] をクリックします。

    i. [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、AAA vServer を編集します。

    j. [SSL プロファイル] セクションまでスクロールし、鉛筆をクリックします。

    k。 [SSL プロファイル] ドロップダウンを、クライアント証明書が有効になっているプロファイルに変更します。「 OK」をクリックします。

    l. CA 証明書をバインドする手順が表示されるまで、 この記事を下にスクロールします。

  5. 左側の [ 証明書 ] セクションで、[ CA 証明書なし] と表示されている場所をクリックします。

    ローカライズされた画像

  6. テキストをクリックし、 クリックして選択します

    ローカライズされた画像

  7. クライアント証明書の発行者のルート証明書の隣にあるオプションボタンをクリックし、[選択( Select)] をクリックします。

    ローカライズされた画像

  8. [バインド] をクリックします。

    ローカライズされた画像

ログインスキーマ XML ファイル

ログインスキーマは、フォームベース認証ログオンページの構造を提供する XML ファイルです。

nFactor は、連結された複数の認証ファクタを意味します。各ファクタは、異なるログインスキーマページ/ファイルを持つことができます。一部の認証シナリオでは、ユーザーに複数のログオン画面が表示されることもあります。

ログインスキーマプロファイルの設定

ログインスキーマプロファイルを設定するには、次の手順を実行します。

  1. nFactor の設計に基づいて、ログインスキーマの.XML ファイルを作成または編集します。
  2. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

    ローカライズされた画像

  3. 右側の [ プロファイル ] タブに切り替えて、[ 追加] をクリックします。

    ローカライズされた画像

  4. [ 認証スキーマ ] フィールドで、鉛筆アイコンをクリックします。

    ローカライズされた画像

  5. LoginSchema フォルダをクリックして、フォルダ内のファイルを表示します。

    ローカライズされた画像

  6. ファイルの 1 つを選択します。右側にプレビューが表示されます。ラベルは、右上の [ 編集 ] ボタンをクリックして変更できます。

    ローカライズされた画像

  7. 変更を保存すると、/nsConfig/loginSchema の下に新しいファイルが作成されます。

    ローカライズされた画像

  8. 右上の [ 選択] をクリックします。

    ローカライズされた画像

  9. ログインスキーマに名前を付けて、[ More] をクリックします。

    ローカライズされた画像

  10. バックエンドサービス(StoreFront など)へのシングルサインオン(SSO)のログインスキーマに入力したユーザー名とパスワードを使用する必要がある場合があります。

    ログインスキーマに入力された資格情報をシングルサインオンの認証情報として使用するには、次のいずれかの方法を使用します。

    • [ 認証ログインスキーマの作成 ] ページの下部にある [ 詳細 ] をクリックし、[ シングルサインオン資格情報の有効化] を選択します。

    • [ 認証ログインスキーマの作成 ] ページの下部にある [ 詳細 ] をクリックし、ユーザクレデンシャルインデックスとパスワードクレデンシャルインデックスに一意の値を入力します。これらの値は1 ~ 16の範囲です。後で AAA.USER.ATTRIBUTE (#) 式を使用して、トラフィックポリシー/プロファイルでこれらのインデックス値を参照します。

    ローカライズされた画像

  11. OK をクリックして、ログインスキーマプロファイルを作成します。

    注: 後でログインスキーマファイル(.xml)を編集する場合、変更を反映するには、ログインスキーマプロファイルを編集し、ログインスキーマ(.xml)ファイルを再度選択する必要があります。

ログインスキーマポリシーの作成とバインド

ログインスキーマプロファイルを AAA vServer にバインドするには、まずログインスキーマポリシーを作成する必要があります。後で詳述するように、ログインスキーマプロファイルを認証ポリシーラベルにバインドする場合は、ログインスキーマポリシーは必要ありません。

ログインスキーマポリシーを作成してバインドするには、次の手順を実行します。

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

    ローカライズされた画像

  2. [Policies] タブで [Add] をクリックします。

    ローカライズされた画像

  3. [ Profile ] ドロップダウンメニューを使用して、すでに作成したログインスキーマプロファイルを選択します。

  4. [ ルール ] ボックスに高度なポリシー式 (例:true) を入力し、[ 作成] をクリックします。

    ローカライズされた画像

  5. 左側で、[ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、既存の AAA 仮想サーバを編集します。

    ローカライズされた画像

  6. [詳細設定] 列で、[ ログインスキーマ] をクリックします。

    ローカライズされた画像

  7. [ログインスキーマ] セクションで、[ ログインスキーマなし] というテキストをクリックします。

    ローカライズされた画像

  8. テキストをクリックし、 クリックして選択します

    ローカライズされた画像

  9. ログインスキーマポリシーの横にあるオプションボタンをクリックし、[ Select] をクリックします。このリストには、ログインスキーマポリシーのみが表示されます。ログインスキーマプロファイル (ポリシーなし) は表示されません。

    ローカライズされた画像

  10. [バインド] をクリックします。

高度な認証ポリシー

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

高度な認証ポリシーの作成

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

認証アクション/サーバ(LDAP、RADIUS、CERT、SAML など)が必要です。 高度な認証ポリシーを作成する場合、認証アクション/サーバーを作成できるプラス(追加)アイコンが表示されます。

または、高度な認証ポリシーを作成する前に認証アクション (サーバー) を作成することもできます。認証サーバーは、[ 認証] > [ダッシュボード] の下にあります。右側の [追加] をクリックし、[サーバーの種類] を選択します。これらの認証サーバーの作成手順については、ここでは詳しく説明しません。認証 — NetScaler 12/Citrix ADC 12.1の手順を参照してください。

高度な認証ポリシーを作成するには、次の手順を実行します。

  1. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > 認証 > 高度なポリシー > ポリシーへのナビゲート

    ローカライズされた画像

  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • ポリシーを作成するには、[ Add] をクリックします。
    • 既存のポリシーを変更するには、ポリシーを選択し、[ 編集] をクリックします。
  3. [ 認証ポリシーの作成 ] または [ 認証ポリシーの構成 ] ダイアログボックスで、パラメータの値を入力または選択します。

    ローカライズされた画像

    • Name -ポリシー名。以前に設定したポリシーでは変更できません。
    • アクションタイプ -ポリシータイプ:証明書、ネゴシエート、LDAP、RADIUS、SAML、SAMLIDP、TACACS、または WEBAUTH。
    • Action :ポリシーに関連付ける認証アクション(プロファイル)。既存の認証アクションを選択するか、プラス記号をクリックして適切なタイプのアクションを作成できます。
    • Log Action -ポリシーに関連付ける監査アクション。既存の監査アクションを選択するか、プラス記号をクリックしてアクションを作成できます。 アクションが設定されていないか、アクションを作成するには、[ 追加 ] をクリックして手順を完了します。
    • -指定したアクションを適用する接続を選択するルール。ルールは、シンプル (「true」はすべてのトラフィックを選択) または複雑にすることができます。式を入力するには、まず [式] ウィンドウの下にある左端のドロップダウンリストで式の種類を選択し、次に式テキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式。)
    • [Comment ]:この認証ポリシーが適用されるトラフィックのタイプを説明するコメントを入力できます。オプションです。
  4. [Create] をクリックしてから、[Close] をクリックします。ポリシーを作成した場合、そのポリシーは [認証ポリシーおよびサーバ] ページに表示されます。

nFactor の設計に基づいて、必要に応じて追加の高度な認証ポリシーを作成する必要があります。

第1要素の詳細認証ポリシーをCitrix ADC AAAにバインドする

最初の要素であるCitrix ADC AAA仮想サーバーの高度な認証ポリシーを直接バインドできます。次の要素については、高度な認証ポリシーを認証ポリシーラベルにバインドする必要があります。

  1. セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します。既存の仮想サーバーを編集します。

ローカライズされた画像

  1. 左側の [高度な認証ポリシー] セクションで、[ 認証ポリシーなし] をクリックします。

    ローカライズされた画像

  2. [ポリシーの選択] で、[ クリックして選択] というテキストをクリックします

    ローカライズされた画像

  3. [ 高度な認証ポリシー] の横にあるオプションボタンをクリックし、[ 選択] をクリックします。

    ローカライズされた画像

  4. [バインドの詳細] セクションの [ Goto 式 ] は、この高度な認証ポリシーが失敗した場合に次に何が起こるかを決定します。
    • Goto ExpressionNEXTに設定されている場合、このCitrix ADC AAA仮想サーバーにバインドされた次の高度な認証ポリシーが評価されます。
    • Goto ExpressionENDに設定されている場合、またはこのCitrix ADC AAA仮想サーバーにバインドされた高度な認証ポリシーがない場合、認証は完了し、失敗としてマークされます。

    ローカライズされた画像

  5. [次の要素を選択]で、認証ポリシーラベルをポイントできるかを選択できます。次の要素は、高度な認証ポリシーが成功した場合にのみ評価されます。最後に、[ バインド] をクリックします。

    ローカライズされた画像

抽出された LDAP グループを使用して、次の認証要素を選択する

抽出された LDAP グループを使用して、実際に LDAP による認証を行わずに、次の認証要素を選択できます。

  1. LDAP サーバーまたは LDAP アクションを作成または編集するときは、[ 認証 ] チェックボックスをオフにします。
  2. [ その他の設定] で、[ グループ属性] と [ **サブ属性名**] で適切な値を選択します。

ポリシーラベルを認証する

高度な認証ポリシーをCitrix ADC AAA仮想サーバーにバインドし、次の要素を選択した場合、次の要素は高度な認証ポリシーの場合にのみ評価されます。次に評価される要素は、認証ポリシーラベルです。

認証ポリシーラベルは、特定の要素に対する認証ポリシーのコレクションを指定します。各ポリシーラベルは 1 つの要素に対応します。また、ユーザーに提示する必要があるログインフォームも指定します。認証ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。

:すべての要素にログインスキーマは必要ありません。ログインスキーマプロファイルは、ログインスキーマを認証ポリシーラベルにバインドする場合にのみ必要です。

認証ポリシーラベルの作成

ポリシーラベルは、特定のファクタの認証ポリシーを指定します。各ポリシーラベルは 1 つの要素に対応します。ポリシーラベルは、ユーザーに提示する必要があるログインフォームを指定します。ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。通常、ポリシーラベルには、特定の認証メカニズムの認証ポリシーが含まれます。ただし、異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使用することもできます。

  1. セキュリティ > AAA —アプリケーショントラフィック > ポリシー > 認証 > 高度ポリシー > ポリシーラベルにナビゲートして下さい

    ローカライズされた画像

  2. [追加] をクリックします。

    ローカライズされた画像

  3. 次のフィールドに入力して、認証ポリシーラベルを作成します。

    a) 新しい認証ポリシーラベルの名前を入力します

    b) 認証ポリシーラベルに関連付けられたログインスキーマを選択します 。ユーザーに何も表示しない場合は、noschema (LSCHEMA_INT) に設定されているログインスキーマプロファイルを選択できます。

    c) [ 続行] をクリックします。

    ローカライズされた画像

  4. [ ポリシーのバインド ] セクションで、[ クリックして選択] と表示されている場所をクリックします

  5. この要素を評価する認証ポリシーを選択します。

    ローカライズされた画像

  6. 次のフィールドに入力します。

    a) ポリシーバインディングの優先度を入力します

    b) [ 式に移行 ] で、より高度な認証ポリシーをこの要素にバインドする場合は [ 次へ ] を選択するか、[ 終了] を選択します。

    ローカライズされた画像

  7. 別の要素を追加する場合は、[次の要素の選択] で、次の認証ポリシーラベル (次の要素) をクリックして選択し、バインドします。 次の要素を選択せず、この高度な認証ポリシーが成功すると、認証は成功し、完了します。
  8. [バインド] をクリックします。

  9. [ Add Binding ] をクリックすると、このポリシーラベル (ファクタ) に高度な認証ポリシーを追加できます。 完了したら [完了 ] をクリックします。

    ローカライズされた画像

認証ポリシーラベルのバインド

ポリシーラベルを作成したら、それを既存の高度な認証ポリシーバインドにバインドして、ファクタをチェーンします。

高度な認証ポリシーがバインドされている既存のCitrix ADC AAA仮想サーバーを編集する場合、または別のポリシーラベルを編集して次の要素を含める場合は、次の要素を選択できます。

高度な認証ポリシーがすでにバインドされている既存のCitrix ADC AAA仮想サーバーを編集するには

  1. セキュリティ > AAA — アプリケーショントラフィック > 仮想サーバに移動します。仮想サーバを選択し、[ 編集(Edit)] をクリックします。

    ローカライズされた画像

  2. 左側の [ 高度な認証ポリシー ] セクションで、既存の認証ポリシーバインドをクリックします。

    ローカライズされた画像

  3. 「アクションを選択」で、「 バインドの編集」をクリックします。

    ローカライズされた画像

  4. [次の要素の選択] で既存の認証ポリシーラベル (次の要素) をクリックし、選択します。

    ローカライズされた画像

  5. [バインド] をクリックします。 右端で次の要因を表示できる

    ローカライズされた画像

ポリシーラベルネクストファクタを別のポリシーラベルに追加するには

  1. セキュリティ > AAA —アプリケーショントラフィック > ポリシー > 認証 > 高度ポリシー > ポリシーラベルにナビゲートして下さい。別のポリシーラベルを選択し、[ Edit] をクリックします。

    ローカライズされた画像

  2. 「アクションを選択」で、「 バインドの編集」をクリックします。

    ローカライズされた画像

  3. バインドの詳細」>「次のファクタを選択」で、次のファクタをクリックして選択します。
  4. 次のファクタのポリシーラベルを選択し、[ Select ] ボタンをクリックします。

    ローカライズされた画像

  5. [ バインド] をクリックします。次の要因が右側に表示されます。

    ローカライズされた画像

Citrix Gateway の nFactor

Citrix Gateway でnFactorを有効にするには、認証プロファイルをCitrix ADC AAA仮想サーバーにリンクする必要があります。

Citrix ADC AAA仮想サーバーとCitrix Gateway 仮想サーバーをリンクするための認証プロファイルを作成する

  1. [ Citrix Gateway] > [仮想サーバー ] に移動し、編集する既存のゲートウェイ仮想サーバーを選択します。

    ローカライズされた画像

  2. [ 詳細設定] で、[ 認証プロファイル] をクリックします。

  3. [ 認証プロファイル ] の [ 追加] をクリックします

    ローカライズされた画像

  4. 認証プロファイルの名前を入力し、[ クリックして選択] と表示されている場所をクリックします

    ローカライズされた画像

  5. [ 認証仮想サーバー] で、ログインスキーマ、高度な認証ポリシー、および認証ポリシーのラベルが構成されている既存のサーバーを選択します。認証仮想サーバーを作成することもできます。Citrix ADC AAA仮想サーバーには、IPアドレスは必要ありません。[Select]をクリックします。

    ローカライズされた画像

  6. [作成] をクリックします。

    ローカライズされた画像

  7. OK]をクリックして、[ 認証プロファイル]セクションを閉じます。

    ローカライズされた画像

注: ファクタの 1 つをクライアント証明書として設定した場合は、SSL パラメータと CA 証明書を設定する必要があります。

認証プロファイルをAAA仮想サーバーにリンクした後、Citrix Gateway を参照すると、nFactor認証画面を表示できます。

SSL パラメータと CA 証明書の設定

認証要素の1つが証明書の場合は、Citrix Gateway 仮想サーバーでSSL構成を実行する必要があります。

  1. [ トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。認証局の証明書にはキーファイルは必要ありません。

    デフォルトの SSL プロファイルが有効になっている場合は、クライアント認証が有効になっている SSL プロファイルがすでに作成されているはずです。

  2. Citrix Gateway]>[仮想サーバー]に移動し、nFactorが有効になっている既存のCitrix Gateway 仮想サーバーを編集します。

    • デフォルトの SSL プロファイルが有効になっている場合は、[編集(Edit)] アイコンをクリックします。
    • [SSL プロファイル] リストで、[クライアント認証] が有効で [オプション] に設定されている SSL プロファイルを選択します。

    • デフォルトの SSL プロファイルが有効でない場合は、[編集(Edit)] アイコンをクリックします。
    • [クライアント認証] チェックボックスをオンにします。
    • [クライアント証明書] が [オプション] に設定されていることを確認する
  3. 「 OK」をクリックします。

  4. [証明書] セクションで、[ CA 証明書なし] をクリックします。

  5. [CA 証明書の選択] で、クライアント証明書の発行元のルート証明書をクリックして選択します。

  6. [バインド] をクリックします。

注:クライアント証明書を発行した中間 CA 証明書もバインドする必要がある場合があります。

StoreFront へのnFactorシングルサインオン用のCitrix Gateway トラフィックポリシーを構成する

StoreFront へのシングルサインオンでは、nFactorはデフォルトで最後に入力したパスワードを使用します。LDAP が最後に入力されたパスワードでない場合は、トラフィックポリシー/プロファイルを作成して、デフォルトの nFactor 動作を上書きする必要があります。

  1. Citrix Gateway > ポリシー > トラフィックに移動します

    ローカライズされた画像

  2. [ トラフィックプロファイル ] タブで、[ 追加] をクリックします。

    ローカライズされた画像

  3. トラフィックプロファイルの名前を入力します。 HTTP プロトコルを選択します。 [ シングルサインオン] で、[ オン] を選択します。

    ローカライズされた画像

  4. [ SSO 式] で、ログインスキーマで指定されたインデックスと一致する AAA.USER.ATTRIBUTE (#) 式を入力し、[ 作成] をクリックします。

    AAA.USER 式は、非推奨の HTTP.REQ.USER 式を置き換えるように実装されるようになりました。

    ローカライズされた画像

  5. [ トラフィックポリシー ] タブをクリックし、[ 追加] をクリックします。

    ポリシーの名前を入力します。 前の手順で作成したトラフィックプロファイルを選択します。 [ ] に、高度な式 (true など) を入力します。 [ 作成] をクリックします。

    ローカライズされた画像

  6. Citrix ゲートウェイ]>[Citrix Gateway 仮想サーバー]に移動します。

    • 既存の仮想サーバを選択し、[ 編集] をクリックします。
    • [ ポリシー ] セクションで、[ + ] 記号をクリックします。
    • [ポリシーの選択] で [ トラフィック] を選択します
    • 「タイプの選択」で、「 要求」を選択します。
    • 作成したトラフィックポリシーを選択し、[ Bind] をクリックします。

    ローカライズされた画像

Citrix ADC CLI を使用した nFactor 構成のサンプルスニペット

nFactor 認証の段階的な設定を理解するために、最初の要素が LDAP 認証で、2 番目の要素が RADIUS 認証である 2 要素認証の展開について考えてみましょう。

このサンプル展開では、ユーザーは単一のログインフォームを使用して両方の要素にログインする必要があります。したがって、2 つのパスワードを受け入れる単一のログインフォームを定義します。最初のパスワードは LDAP 認証に使用され、もう 1 つは RADIUS 認証に使用されます。 実行される設定は次のとおりです。

  1. 認証用の負荷分散仮想サーバーの構成

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON

  2. 認証仮想サーバを設定します。

    add authentication vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. ログインフォームのログインスキーマを設定し、ログインスキーマポリシーにバインドします。

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    注:

    StoreFront など、バックエンドサービスへのシングルサインオン(SSO)のログインスキーマに入力されたユーザー名とパスワードのいずれかを使用する必要がある場合があります。AAA.USER.ATTRIBUTE (#) 式を使用して、トラフィックアクションでこれらのインデックス値を参照できます。値は 1 から 16 の範囲で指定できます。

    または、次のコマンドを使用して、ログインスキーマに入力された資格情報をシングルサインオンの認証情報として使用できます。

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. パススルーのログインスキーマを構成し、ポリシーラベルにバインドします。

    add authentication loginSchema login2 -authenticationSchema noschema

    add authentication policylabel label1 -loginSchema login2

  5. LDAP ポリシーと RADIUS ポリシーを設定します。

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    add authentication Policy ldap -rule true -action ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Policy radius -rule true -action radius

  6. ログインスキーマポリシーを認証仮想サーバーにバインドします。

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. LDAP ポリシー (第 1 要素) を認証仮想サーバーにバインドします。

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. RADIUS ポリシー(第 2 要素)を認証ポリシーラベルにバインドします。

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end