Citrix ADC

認証に対するネイティブ OTP サポート

Citrix ADCは、サードパーティのサーバーを使用せずにワンタイムパスワード(OTP)をサポートします。ワンタイムパスワードは、生成される番号またはパスコードがランダムであるため、セキュリティで保護されたサーバーを認証するための非常に安全なオプションです。以前は、乱数を生成する特定のデバイスを持つRSAなどの専門企業が、OTPを提供していました。このシステムは、サーバーが期待する数値を生成するために、クライアントと常に通信している必要があります。

この機能は、設備コストと運用コストの削減に加えて、Citrix ADCアプライアンスの構成全体を維持することで、管理者の管理を強化します。

注:

サードパーティサーバーが不要になったため、Citrix ADC管理者はユーザーデバイスを管理および検証するためのインターフェイスを構成する必要があります。

OTPソリューションを使用するには、ユーザーをCitrix ADC仮想サーバーに登録する必要があります。登録は一意のデバイスごとに一度だけ必要で、特定の環境に制限することができます。登録ユーザーの設定と検証は、追加の認証ポリシーの設定と似ています。

ネイティブOTPサポートの利点

  • Active Directory に加えて、認証サーバー上に追加のインフラストラクチャを用意する必要がなくなるため、運用コストが削減されます。
  • 構成をCitrix ADCアプライアンスにのみ統合し、管理者に優れた制御を提供します。
  • クライアントが期待する数値を生成するために、クライアントが追加の認証サーバーに依存する必要がなくなります。

ネイティブ OTP ワークフロー

ネイティブ OTP ソリューションは 2 つのプロセスであり、ワークフローは次のように分類されます。

  • デバイス登録
  • エンドユーザログイン

重要:

サードパーティのソリューションを使用している場合、またはCitrix ADCアプライアンス以外の他のデバイスを管理している場合は、登録プロセスをスキップできます。追加する最後の文字列は、Citrix ADCで指定された形式である必要があります。

次の図は、OTP を受信する新しいデバイスを登録するためのデバイス登録フローを示しています。

OTP ワークフロー

注:

デバイスの登録は、さまざまな要素を使用して行うことができます。デバイス登録プロセスを説明するために、1 つの要素(前の図で指定)を例として使用します。

次の図は、登録済みデバイスを介した OTP の検証を示しています。

OTP検証ワークフロー

次の図は、デバイスの登録と管理フローを示しています。

デバイスの登録と管理

次の図は、ネイティブ OTP 機能のエンドユーザフローを示しています。

エンドユーザーのワークフロー

前提条件

ネイティブ OTP 機能を使用するには、次の前提条件が満たされていることを確認してください。

  • Citrix ADC機能のリリースバージョンは12.0ビルド51.24以降です。
  • アドバンスドエディションまたはプレミアムエディションのライセンスがCitrix Gateway にインストールされている。
  • Citrix ADCは管理IPで構成されており、管理コンソールにはブラウザとコマンドラインの両方を使用してアクセスできます。
  • Citrix ADCは、ユーザーを認証するための認証、承認、監査仮想サーバーで構成されています。詳細については、 AAAを参照してください。
  • Citrix ADCアプライアンスはUnified Gateway で構成され、認証、承認、監査プロファイルがGateway仮想サーバーに割り当てられます。
  • ネイティブ OTP ソリューションは、nFactor 認証フローに制限されています。ソリューションを構成するには、高度なポリシーが必要です。詳細については、 ネイティブ OTPを参照してください。

また、Active Directory については、次の点を確認してください。

  • 属性の最小長は 256 文字です。
  • 属性タイプは、ユーザパラメータなどの ‘DirectoryString’ である必要があります。これらの属性は文字列値を保持できます。
  • デバイス名が英語以外の文字である場合、属性文字列タイプは Unicode である必要があります。
  • Citrix ADC LDAP管理者は、選択したAD属性への書き込みアクセス権を持っている必要があります。
  • Citrix ADCアプライアンスとクライアントマシンは、共通のネットワークタイムサーバーと同期する必要があります。

GUI を使用したネイティブ OTP の設定

ネイティブ OTP 登録は、単要素認証だけではありません。次のセクションでは、シングルファクタ認証とセカンドファクタ認証の設定について説明します。

第 1 ファクタのログインスキーマの作成

  1. セキュリティ AAA > アプリケーショントラフィック > ログインスキーマに移動します
  2. [ プロファイル ] に移動し、[ 追加] をクリックします。
  3. [ 認証ログインスキーマの作成 ] ページで、[ 名前 ] フィールドに lschema_single_auth_manage_otp と入力し、 noschema の横にある [ 編集] をクリックします。
  4. [ ログインスキーマ ] フォルダをクリックします。
  5. 下にスクロールして SingleAuth.xml を選択し、[ 選択] をクリックします。
  6. [Create] をクリックします。
  7. [ ポリシー ] をクリックし、[ 追加] をクリックします。
  8. [認証ログインスキーマポリシーの作成] 画面で、次の値を入力します。

    名前: lpol_single_auth_manage_otp_by_url

    プロファイル: リストから lschema_single_auth_manage_otp を選択します。

    ルール: HTTP.REQ.COOKIE.VALUE (「NSC_TASS」) .EQ (「manageotp」)

認証、承認、および監査仮想サーバーの構成

  1. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [認証仮想サーバ] に移動します。既存の仮想サーバーを編集する場合にクリックします。詳細については、 AAAを参照してください。

  2. 右側のペインの [詳細設定] の [ログインスキーマ] の横にある [+] アイコンをクリックします。
  3. ログインスキーマなし」を選択します。
  4. 矢印をクリックし、 lpol_single_auth_manage_otp_by_urlポリシーを選択し、[選択] をクリックして、[ バインド] をクリックします。
  5. 上にスクロールし、[高度な認証ポリシー] の下の [認証ポリシー] を 1 つ選択します。
  6. nFactor ポリシーを 右クリックし、[バインディングの編集] を選択します。すでに設定されている nFactor ポリシーを右クリックするか、 nFactor を参照して作成して [バインドの編集] を選択します。
  7. [ 次の因子を選択] の下の矢印をクリックして既存の構成を選択するか、[ 追加 ] をクリックして因子を作成します。
  8. [認証PolicyLabelの作成] 画面で次のように入力し、[続行] をクリックします。

    名前: manage_otp_flow_label

    ログインスキーマ: Lschema_Int

  9. [ 認証 PolicyLabel ] 画面で、[ 追加 ] をクリックしてポリシーを作成します。

    Create a policy for a normal LDAP server.

  10. [認証ポリシーの作成] 画面で、次のように入力します。

    名前:auth_pol_ldap_native_otp

  11. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  12. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the first LDAP action with authentication enabled to be used for single factor.

  13. [ 認証 LDAP サーバーの作成 ] ページで、[ サーバー IP ] ラジオボタンを選択し、[ 認証] の横にあるチェックボックスをオフにし、次の値を入力して [ 接続のテスト] を選択します。次に、設定例を示します。

    名前:ldap_native_otp

    IPアドレス:192.8.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者:Administrator@training.lab

    パスワード: xxxxx

    Create a policy for OTP .

  14. [認証ポリシーの作成] 画面で、次のように入力します。

    名前: auth_pol_ldap_otp_action

  15. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  16. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the second LDAP action to set OTP authenticator with OTP secret configuration and authentication unchecked.

  17. [ 認証 LDAP サーバーの作成 ] ページで、[ サーバー IP ] ラジオボタンを選択し、[ 認証] の横にあるチェックボックスをオフにし、次の値を入力して [ 接続のテスト] を選択します。次に、設定例を示します。

    名前: ldap_otp_action

    IPアドレス:192.8.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者:Administrator@training.lab

    パスワード: xxxxx

  18. [ その他の設定]セクションまでスクロールします。ドロップダウンメニューを使用して、次のオプションを選択します。 サーバーログオン名属性として新規」と入力し、userprincipalnameと入力します。
  19. ドロップダウンメニューを使用して [ SSO 名属性 ] を [ 新規 ] として選択し、 userprincipalnameと入力します。
  20. [ OTP シークレット ] フィールドに「UserParameters」と入力し、[ 詳細] をクリックします。
  21. 次の属性を入力します。

    属性 1 = メール属性 2 = objectGUID 属性 3 = immutableID

  22. [OK] をクリックします。
  23. [ 認証ポリシーの作成 ] ページで、[式] を true に設定し、[ 作成] をクリックします。
  24. [ 認証ポリシーラベルの作成 ] ページで、[ バインド] をクリックし、[ 完了] をクリックします。
  25. [ ポリシーのバインド ] ページで、[ バインド] をクリックします。
  26. [認証ポリシー] ページで、[閉じる] をクリックし、[完了] をクリックします。

    Create OTP for OTP verification.

  27. [認証ポリシーの作成] 画面で、次のように入力します。

    名前:auth_pol_ldap_otp_verify

  28. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  29. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the third LDAP action to verify OTP.

  30. [ 認証 LDAP サーバーの作成 ] ページで、[ サーバー IP ] ラジオボタンを選択し、[ 認証] の横にあるチェックボックスをオフにし、次の値を入力して [ 接続のテスト] を選択します。次に、設定例を示します。

    名前:ldap_verify_otp

    IPアドレス:192.168.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者:Administrator@training.lab

    パスワード: xxxxx

  31. [ その他の設定]セクションまでスクロールします。ドロップダウンメニューを使用して、次のオプションを選択します。 サーバーログオン名属性として新規」と入力し、userprincipalnameと入力します。
  32. ドロップダウンメニューを使用して [ SSO 名属性 ] を [ 新規 ] として選択し、 userprincipalnameと入力します。
  33. [ OTP シークレット ] フィールドに「UserParameters」と入力し、[ 詳細] をクリックします。
  34. 次の属性を入力します。

    属性 1 = メール属性 2 = objectGUID 属性 3 = immutableID

  35. [OK] をクリックします。
  36. [ 認証ポリシーの作成 ] ページで、[式] を true に設定し、[ 作成] をクリックします。
  37. [ 認証ポリシーラベルの作成 ] ページで、[ バインド] をクリックし、[ 完了] をクリックします。
  38. [ ポリシーのバインド ] ページで、[ バインド] をクリックします。
  39. [認証ポリシー] ページで、[閉じる] をクリックし、[完了] をクリックします。

通常の LDAP サーバー用の高度な認証ポリシーがまだ設定されていない可能性があります。 [アクションタイプ] を LDAP に変更します。 通常の LDAP サーバーを選択します。これは、認証が有効になっているサーバーです。 式に true を入力します。これは、クラシック構文の代わりに高度なポリシーを使用します。 「 作成」をクリックします。

注:

認証仮想サーバーは、rfWebUI ポータルテーマにバインドする必要があります。サーバー証明書をサーバーにバインドします。サーバー IP ‘1.2.3.5’ には、後で使用できるように otpauth.server.com という対応する FQDN が必要です。

第 2 要素 OTP のログインスキーマの作成

  1. [ セキュリティ] > [AAA アプリケーショントラフィック] > [仮想サーバ] に移動します。編集する仮想サーバーを選択します。
  2. 下にスクロールして、[ 1 つのログインスキーマ] を選択します。
  3. [バインドを追加]をクリックします。
  4. [ ポリシーバインド ] セクションで、[ 追加 ] をクリックしてポリシーを追加します。
  5. [ 認証ログインスキーマポリシーの作成 ] ページで、[名前] を OTP と入力し、[ 追加 ] をクリックしてプロファイルを作成します。
  6. [ 認証ログインスキーマの作成 ] ページで、[名前] を OTP と入力し、 noschemaの横にある鉛筆アイコンをクリックします。
  7. LoginSchemaフォルダ をクリックし 、DualAuthManageOTP.xmlを選択し 、[選択]をクリックします。
  8. [ 詳細 ] をクリックし、下にスクロールします。
  9. [ パスワードクレデンシャルインデックス ] フィールドに、1 と入力します。これにより、nFactor はユーザーのパスワードを AAA Attribute #1 に保存します。AAA Attribute は、後でトラフィックポリシーでStoreFrontにシングルサインオンするために使用できます。これを行わないと、Citrix Gateway はパスコードを使用してStoreFrontへの認証を試行しますが、これは機能しません。
  10. [Create] をクリックします。
  11. [ ルール ] セクションで、 Trueと入力します。[Create] をクリックします。
  12. [バインド] をクリックします。
  13. 認証の 2 つの要素に注目してください。[閉じる] をクリックし、[完了] をクリックします。

シングルサインオンのトラフィックポリシー

  1. Citrix Gateway > ポリシー > トラフィックに移動します。
  2. [ トラフィックプロファイル ] タブで、[ 追加] をクリックします。
  3. OTP のトラフィックプロファイルの名前を入力します。
  4. 下にスクロールして、[SSO パスワード式] ボックスに次のように入力し、[ 作成] をクリックします。ここでは、第 2 要素 OTP に指定されたログインスキーマのパスワード属性を使用します。

    http.REQ.USER.ATTRIBUTE(1)

  5. [ トラフィックポリシー ] タブで、[ 追加] をクリックします。

  6. [ Name ] フィールドに、トラフィックポリシーの名前を入力します。

  7. [ リクエストプロファイル (Request Profile)] フィールドで、作成したトラフィックプロファイルを選択します。

  8. [式] ボックスに Trueと入力します。Citrix Gateway 仮想サーバーでフルVPNが許可されている場合は、式を次のように変更します。

    http.req.method.eq(post)||http.req.method.eq(get) && false

  9. [Create] をクリックします。

OTP を管理するためのコンテンツスイッチングポリシーを構成する

Unified Gateway を使用している場合は、次の構成が必要です。

  1. Traffic Management > Content Switching > Policiesに移動します。コンテンツスイッチングポリシーを選択し、右クリックして [ 編集] を選択します。

  2. 式を編集して次の OR ステートメントを評価し、 「OK」をクリックします。

    is_vpn_url\|\|HTTP.REQ.URL.CONTAINS("manageotp")

CLI を使用したネイティブ OTP の設定

OTP デバイス管理ページを設定するには、次の情報が必要です。

  • 認証仮想サーバーに割り当てられた IP
  • 割り当てられた IP に対応する FQDN
  • 認証仮想サーバーのサーバー証明書

注:

ネイティブ OTP は Web ベースのソリューションのみです。

OTP デバイスの登録および管理ページを設定するには

認証仮想サーバーを作成する

```
add authentication vserver authvs SSL 1.2.3.5 443
bind authentication vserver authvs -portaltheme RFWebUI
bind ssl vserver authvs -certkeyname otpauthcert
<!--NeedCopy--> ```

注:

認証仮想サーバーは rfWebUI ポータルテーマにバインドする必要があります。サーバー証明書をサーバーにバインドします。サーバー IP ‘1.2.3.5’ には、後で使用できるように otpauth.server.com という対応する FQDN が必要です。

LDAP ログオンアクションを作成するには

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

:

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

LDAP ログオンの認証ポリシーを追加するには

add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action

Loginschemaを使用して UI を表示するには

ログオン時にユーザー名フィールドとパスワードフィールドをユーザーに表示する

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

デバイスの登録と管理ページを表示する

デバイスの登録画面と管理画面を表示するには、URLまたはホスト名の2つの方法をお勧めします。

  • URL を使う

    URL に ‘/manageotp’ が含まれている場合

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • ホスト名を使う

    ホスト名が「alt.server.com」の場合

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

CLI を使用してユーザログインページを設定するには

[ユーザーログオン(User Logon)] ページを設定するには、次の情報が必要です。

  • 負荷分散仮想サーバーの IP
  • 負荷分散仮想サーバーの対応する FQDN
  • 負荷分散仮想サーバーのサーバー証明書

     bind ssl virtual server lbvs_https -certkeyname lbvs_server_cert
     <!--NeedCopy-->
    

負荷分散におけるバックエンドサービスは、次のように表されます。

```
add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com
<!--NeedCopy--> ```

OTP パスコード検証アクションを作成するには

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`

例:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecret userParameters

重要:

LDAPログオンとOTPアクションの違いは、認証を無効にして新しいパラメータOTPSecretを導入する必要があることです。AD 属性値は使用しないでください。

OTP パスコード検証の認証ポリシーを追加するには

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action

LoginSchema を介して 2 要素認証を提示するには

2 要素認証用の UI を追加します。

add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor

ポリシーラベルを介してパスコード検証係数を作成するには

次の要素の管理OTPフローポリシーラベルを作成します(最初の要素はLDAPログオンです)

add authentication loginSchema lschema_noschema -authenticationSchema noschema
add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

OTPポリシーをポリシー・ラベルにバインドするには

bind authentication policylabel manage_otp_flow_label -policyName  auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

UI フローをバインドするには

LDAPログオンに続いて、認証仮想サーバーを使用したOTP検証をバインドします。

bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor  manage_otp_flow_label -gotoPriorityExpression NEXT
bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Citrix ADCでデバイスを登録する

  1. /manageotp サフィックスを付けて、Citrix ADC FQDN(最初のパブリック向きのIP)に移動します。たとえば、 https://otpauth.server.com/manageotp。ユーザーの資格情報を使用してログインします。
  2. [ + ] アイコンをクリックしてデバイスを追加します。

    ゲートウェイログオンページ

  3. デバイス名を入力して Goを押します。画面にバーコードが表示されます。
  4. [ セットアップの開始 ] をクリックし、[ バーコードのスキャン] をクリックします。
  5. デバイスのカメラを QR コードの上に置きます。オプションでコードを入力できます。

    QRコード

    表示されているQRコードは3分間有効です。

  6. スキャンが成功すると、ログインに使用できる 6 桁の時刻依存コードが表示されます。

    ログオン成功メッセージ

  7. テストするには、QR 画面で [ 完了 ] をクリックし、右側の緑色のチェックマークをクリックします。
  8. ドロップダウンメニューからデバイスを選択し、Google Authenticator のコード(赤ではなく青である必要があります)を入力し、[ Go] をクリックします。
  9. ページの右上隅にあるドロップダウンメニューを使用して、必ずログアウトしてください。

OTPを使用してCitrix ADCにログインします

  1. 最初に公開されている URL に移動し、Google Authenticator から OTP を入力してログオンします。
  2. Citrix ADCスプラッシュページに認証します。

    ADC 認証ページ