Citrix ADC

認証のネイティブ OTP サポート

Citrix ADCは、サードパーティのサーバーを使用せずにワンタイムパスワード(OTP)をサポートします。ワンタイムパスワードは、生成される番号またはパスコードがランダムであるため、セキュリティで保護されたサーバに対して認証を行うための非常に安全なオプションです。以前は、乱数を生成する特定のデバイスを備えたRSAなどの専門企業がOTPを提供していました。このシステムは、サーバーが期待する数を生成するために、クライアントと常に通信している必要があります。

この機能は、設備コストと運用コストの削減に加えて、Citrix ADCアプライアンスの構成全体を維持することで、管理者の管理を強化します。

サードパーティサーバーが不要になったため、Citrix ADC管理者はユーザーデバイスを管理および検証するためのインターフェイスを構成する必要があります。

OTPソリューションを使用するには、ユーザーをCitrix ADC仮想サーバーに登録する必要があります。登録は、一意のデバイスごとに 1 回だけ必要で、特定の環境に制限できます。登録ユーザーの設定と検証は、追加の認証ポリシーの設定に似ています。

ネイティブOTPをサポートする利点

  • Active Directory に加えて認証サーバに追加のインフラストラクチャを使用する必要がなくなるため、運用コストが削減されます。
  • 構成をCitrix ADCアプライアンスにのみ統合し、管理者に優れた制御を提供します。
  • クライアントが期待する数を生成するための追加の認証サーバーへのクライアントの依存を排除します。

ネイティブ OTP ワークフロー

ネイティブOTPソリューションは2つのプロセスであり、ワークフローは次のように分類されます。

  • デバイス登録
  • エンドユーザーログイン

重要: サードパーティのソリューションを使用している場合、またはCitrix ADCアプライアンス以外の他のデバイスを管理している場合は、登録プロセスをスキップできます。追加する最後の文字列は、Citrix ADC で指定された形式である必要があります。

次の図は、OTP を受信する新しいデバイスを登録するためのデバイス登録フローを示しています。

OTPワークフロー

注: デバイスの登録は、さまざまな要素を使用して実行できます。デバイス登録プロセスを説明する例として、1 つのファクタ(前の図を参照)を使用します。

次の図は、登録されたデバイスを介した OTP の検証を示しています。

OTP検証ワークフロー

次の図は、デバイスの登録と管理フローを示しています。

デバイスの登録と管理

次の図は、ネイティブOTP機能のエンドユーザーフローを示しています。

エンドユーザーのワークフロー

前提条件

ネイティブ OTP 機能を使用するには、次の前提条件が満たされていることを確認します。

  • Citrix ADC機能のリリースバージョンは12.0ビルド51.24以降です。
  • 高度なエディションまたはプレミアムエディションのライセンスがCitrix Gateway にインストールされている。
  • Citrix ADCは管理IPで構成されており、管理コンソールにはブラウザーとコマンドラインの両方を使用してアクセスできます。
  • Citrix ADCは、ユーザーを認証するための認証、承認、監査仮想サーバーで構成されています。詳細については、 AAAを参照してください。
  • Citrix ADCアプライアンスはUnified Gateway で構成され、認証、承認、監査プロファイルがGateway仮想サーバーに割り当てられます。
  • ネイティブOTPソリューションは、nFactor認証フローに制限されています。ソリューションを構成するには、高度なポリシーが必要です。詳細については、 ネイティブ OTPを参照してください。

また、Active Directory については、次の点を確認してください。

  • 256文字の属性の最小長。
  • 属性タイプは、ユーザーパラメータなどの ‘ディレクトリ文字列’ である必要があります。これらの属性は文字列値を保持できます。
  • デバイス名が英語以外の文字である場合、属性文字列タイプは Unicode である必要があります。
  • Citrix ADC LDAP管理者は、選択したAD属性への書き込みアクセス権を持っている必要があります。
  • Citrix ADCアプライアンスとクライアントマシンは、共通のネットワークタイムサーバーに同期する必要があります。

GUI を使用したネイティブ OTP の設定

ネイティブ OTP 登録は、単要素認証ではありません。次のセクションでは、シングルファクタ認証と 2 番目のファクタ認証の設定について説明します。

最初の要素のログインスキーマの作成

  1. [セキュリティ AAA] > [アプリケーショントラフィック] > [ログインスキーマ] に移動します。
  2. [プロファイル] に移動し、[追加] をクリックします。
  3. 「 認証ログイン・スキーマの作成 」ページで、「 名前 」フィールドにlschema_first_factorと入力し、「 noschema 」の横にある「編集」をクリックします。
  4. [LoginSchema] フォルダをクリックします。
  5. 下にスクロールして SingleAuth.xml を選択し、[選択] をクリックします。
  6. [作成] をクリックします。
  7. [ポリシー] をクリックし、[追加] をクリックします。
  8. [認証ログインスキーマポリシーの作成] 画面で、次の値を入力します。

    名前: lpol_single_auth_manage_otp_by_url

    プロファイル: リストから lschema_single_auth_manage_otp を選択します。

    ルール: HTTP.REQ.COOKIE.VALUE(“NSC_TASS”).EQ(“manageotp“)

認証、承認、監査仮想サーバーの構成

  1. [セキュリティ] > [AAA] > [アプリケーショントラフィック] > [認証仮想サーバ] に移動します。 既存の仮想サーバーを編集する場合にクリックします。詳細については、 AAAを参照してください。

  2. 右側のペインの [詳細設定] の [ログインスキーマ] の横にある [+] アイコンをクリックします。
  3. ログインスキーマなし」を選択します。
  4. 矢印をクリックし、 lpol_single_auth_manage_otp_by_urlポリシーを選択し、[選択] をクリックして、[ バインド] をクリックします。
  5. 上にスクロールし、[高度な認証ポリシー] の下の [認証ポリシー] を 1 つ選択します。
  6. nFactor ポリシーを 右クリックし、[バインディングの編集] を選択します。すでに設定されている nFactor ポリシーを右クリックするか、 nFactor を参照して作成して [バインドの編集] を選択します。
  7. [ 次のファクタを選択] の下の矢印をクリックして既存の構成を選択するか、 [ 追加 ] をクリックして新しいファクタを作成します。
  8. [認証PolicyLabelの作成] 画面で次のように入力し、[続行] をクリックします。

    名前: manage_otp_flow_label

    ログインスキーマ: Lschema_Int

  9. [ 認証 PolicyLabel ] 画面で、[ 追加 ] をクリックしてポリシーを作成します。

    Create a policy for a normal LDAP server.

  10. [認証ポリシーの作成] 画面で、次のように入力します。

    名前:auth_pol_ldap_native_otp

  11. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  12. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the first LDAP action with authentication enabled to be used for single factor.

  13. 認証 LDAP サーバーの作成 」ページで、「 サーバー IP 」ラジオ・ボタンを選択し、「 認証 」の横にあるチェック・ボックスの選択を解除し、次の値を入力して「 接続のテスト 」を選択します。次に、設定例を示します。

    名前:ldap_native_otp

    IPアドレス:192.168.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者: Administrator@training.lab

    パスワード: xxxxx

    Create a policy for OTP .

  14. [認証ポリシーの作成] 画面で、次のように入力します。

    名前: auth_pol_ldap_otp_action

  15. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  16. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the second LDAP action to set OTP authenticator with OTP secret configuration and authentication unchecked.

  17. 認証 LDAP サーバーの作成 」ページで、「 サーバー IP 」ラジオ・ボタンを選択し、「 認証 」の横にあるチェック・ボックスの選択を解除し、次の値を入力して「 接続のテスト 」を選択します。次に、設定例を示します。

    名前: ldap_otp_action

    IPアドレス:192.168.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者: Administrator@training.lab

    パスワード: xxxxx

  18. [その他の設定] セクションまで下にスクロールします。ドロップダウンメニューを使用して、次のオプションを選択します。 サーバーログオン名属性新規 として入力し、 userprincipalnameと入力します。
  19. ドロップダウンメニューを使用して、[ SSO名属性 ]を[ 新規 ]として選択し、 userprincipalnameと入力します。
  20. OTP シークレット 」フィールドに「ユーザーパラメータ」と入力し、「 詳細 」をクリックします。
  21. 次の属性を入力します。

    Attribute 1 = mail Attribute 2 = objectGUID Attribute 3 = immutableID

  22. [OK] をクリックします。
  23. [認証ポリシーの作成] ページで、[式] を true に設定し、[作成] をクリックします。
  24. [認証PolicyLabelの作成] ページで、[バインド] をクリックし、[完了] をクリックします。
  25. [ポリシーのバインド] ページで、[バインド] をクリックします。
  26. [認証ポリシー] ページで、[閉じる] をクリックし、[完了] をクリックします。

    Create OTP for OTP verification.

  27. [認証ポリシーの作成] 画面で、次のように入力します。

    名前:auth_pol_ldap_otp_verify

  28. [アクションタイプ] リストを使用して、[ アクションタイプ ] を [ LDAP ] として選択します。
  29. [ アクション ] フィールドで、[ 追加 ] をクリックしてアクションを作成します。

    Create the third LDAP action to verify OTP.

  30. 認証 LDAP サーバーの作成 」ページで、「 サーバー IP 」ラジオ・ボタンを選択し、「 認証 」の横にあるチェック・ボックスの選択を解除し、次の値を入力して「 接続のテスト 」を選択します。次に、設定例を示します。

    名前:ldap_verify_otp

    IPアドレス:192.168.xx.xx

    ベース DN: DC = トレーニング、DC = ラボ

    管理者: Administrator@training.lab

    パスワード: xxxxx

  31. [その他の設定] セクションまで下にスクロールします。ドロップダウンメニューを使用して、次のオプションを選択します。 サーバーログオン名属性新規 として入力し、 userprincipalnameと入力します。
  32. ドロップダウンメニューを使用して、[ SSO名属性 ]を[ 新規 ]として選択し、 userprincipalnameと入力します。
  33. OTP シークレット 」フィールドに「ユーザーパラメータ」と入力し、「 詳細 」をクリックします。
  34. 次の属性を入力します。

    Attribute 1 = mail Attribute 2 = objectGUID Attribute 3 = immutableID

  35. [OK] をクリックします。
  36. [認証ポリシーの作成] ページで、[式] を true に設定し、[作成] をクリックします。
  37. [認証PolicyLabelの作成] ページで、[バインド] をクリックし、[完了] をクリックします。
  38. [ポリシーのバインド] ページで、[バインド] をクリックします。
  39. [認証ポリシー] ページで、[閉じる] をクリックし、[完了] をクリックします。

通常の LDAP サーバーの高度な認証ポリシーがまだ作成されていない可能性があります。 [アクションタイプ] を LDAP に変更します。 通常の LDAP サーバーを選択します。これは、認証が有効になっているサーバーです。 式に true を入力します。これは、クラシック構文の代わりにデフォルト構文を使用します。 [作成] をクリックします。

認証仮想サーバーは、RFWebUIポータルテーマにバインドする必要があります。サーバー証明書をサーバーにバインドします。サーバー IP ‘1.2.3.5’ には、後で使用するために otpauth.server.com という対応する FQDN が必要です。

第 2 要素 OTP のログインスキーマの作成

  1. Security > AAA-Application Traffic > Virtual Serversに移動します。編集する仮想サーバを選択します。
  2. 下にスクロールして、[ログインスキーマ] を 1つ選択します。
  3. [バインドを追加]をクリックします。
  4. [ ポリシーバインド ] セクションで、[ 追加 ] をクリックしてポリシーを追加します。
  5. [ 認証ログインスキーマポリシーの作成 ] ページで、[名前] を OTP と入力し、[ 追加 ] をクリックしてプロファイルを作成します。
  6. [ 認証ログインスキーマの作成 ] ページで、[名前] を OTP と入力し、 noschemaの横にある鉛筆アイコンをクリックします。
  7. LoginSchemaフォルダ をクリックし 、DualAuthManageOTP.xmlを選択し 、[選択]をクリックします。
  8. [ 詳細 ] をクリックし、下にスクロールします。
  9. [ パスワードクレデンシャルインデックス ] フィールドに、1 と入力します。これにより、nFactorはユーザーのパスワードをAAA属性 #1 に保存します。この属性は、後でStoreFront へのシングルサインオンへのトラフィックポリシーで使用できます。これを行わないと、Citrix Gateway はパスコードを使用してStoreFront への認証を試行しますが、これは機能しません。
  10. [作成] をクリックします。
  11. [ルール] セクションで、 True と入力します。[作成] をクリックします。
  12. [バインド] をクリックします。
  13. 認証の 2 つの要素に注目してください。[閉じる] をクリックし、[完了] をクリックします。

シングルサインオンのトラフィックポリシー

  1. Citrix Gateway > ポリシー > トラフィック
  2. [ トラフィックプロファイル ] タブで、[ 追加] をクリックします。
  3. OTP のトラフィックプロファイルの名前を入力します。
  4. 下にスクロールして、[SSO パスワード式] ボックスに次のように入力し、[ 作成] をクリックします。ここでは、第 2 要素 OTP に指定されたログインスキーマのパスワード属性を使用します。

    http.REQ.USER.ATTRIBUTE(1)

  5. [ トラフィックポリシー ] タブで、[ 追加] をクリックします。

  6. [ Name ] フィールドに、トラフィックポリシーの名前を入力します。

  7. [ リクエストプロファイル (Request Profile)] フィールドで、作成したトラフィックプロファイルを選択します。

  8. [式] ボックスに Trueと入力します。Citrix Gateway 仮想サーバーでフルVPNが許可されている場合は、式を次のように変更します。

    http.req.method.eq(post)||http.req.method.eq(get) && false

  9. [作成] をクリックします。

OTP を管理するためのコンテンツスイッチングポリシーを構成する

Unified Gateway を使用する場合は、次の設定が必要です。

  1. Traffic Management > Content Switching > Policiesに移動します。コンテンツスイッチングポリシーを選択し、右クリックして [編集] を選択します。

  2. 式を編集して次の OR ステートメントを評価し、[OK] をクリックします。

is_vpn_url||HTTP.REQ.URL.CONTAINS(“manageotp”)

CLI を使用したネイティブ OTP の設定

OTP デバイス管理ページを設定するには、次の情報が必要です。

  • 認証仮想サーバに割り当てられた IP
  • 割り当てられた IP に対応する FQDN
  • 認証用サーバー証明書仮想サーバー

注: ネイティブOTPはWebベースのソリューションのみです。

OTP デバイスの登録および管理ページを構成するには

認証仮想サーバーの作成

add authentication vserver authvs SSL 1.2.3.5 443
bind authentication vserver authvs -portaltheme RFWebUI
bind ssl vserver authvs -certkeyname otpauthcert

注: 認証仮想サーバーは、RFWebUIポータルテーマにバインドする必要があります。サーバー証明書をサーバーにバインドします。サーバー IP ‘1.2.3.5’ には、後で使用するために otpauth.server.com という対応する FQDN が必要です。

LDAP ログオンアクションを作成するには

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

:

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

LDAP ログオンの認証ポリシーを追加するには

add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action

Loginschemaを使用して UI を表示するには

ログオン時にユーザー名フィールドとパスワードフィールドをユーザーに表示する

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

デバイスの登録と管理ページを表示する

デバイスの登録と管理画面を表示するには、URLまたはホスト名の2つの方法があります。

  • URL を使用する

    URLに’/manageotp’が含まれている場合

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • ホスト名の使用

    ホスト名が「alt.server.com」の場合

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

CLI を使用してユーザログインページを設定するには

[ユーザーログオン] ページを構成するには、次の情報が必要です。

  • 負荷分散仮想サーバのIP
  • 負荷分散仮想サーバーの対応する FQDN
  • 負荷分散仮想サーバーのサーバー証明書

    bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

負荷分散におけるバックエンドサービスは、次のように表されます。

add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com

OTP パスコード検証アクションを作成するには

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`

例:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecret userParameters

重要: LDAPログオンとOTPアクションの違いは、認証を無効にし、新しいパラメーター OTPSecretを導入する必要があることです。AD属性値は使用しないでください。

OTP パスコード検証の認証ポリシーを追加するには

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action

LoginSchema を使用して 2 要素認証を表示するには

2 要素認証用の UI を追加します。

add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor

ポリシーラベルを介してパスコード検証係数を作成するには

次の要素の管理OTPフローポリシーラベルを作成します(最初の要素はLDAPログオンです)

add authentication loginSchema lschema_noschema -authenticationSchema noschema
add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

OTPポリシーをポリシー・ラベルにバインドするには

bind authentication policylabel manage_otp_flow_label -policyName  auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

UI フローをバインドするには

LDAPログオンに続いて、認証仮想サーバーを使用したOTP検証をバインドします。

bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor  manage_otp_flow_label -gotoPriorityExpression NEXT
bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Citrix ADCでデバイスを登録する

  1. /manageotpというサフィックスが付いた、Citrix ADC FQDN(最初のパブリックIPアドレス)に移動します。たとえば、ユーザーの資格情報でhttps://otpauth.server.com/manageotp にログインします。
  2. [+] アイコンをクリックして、デバイスを追加します。

    ゲートウェイログオンページ

  3. デバイス名を入力し、 Goキーを押します。画面にバーコードが表示されます。
  4. [セットアップの開始] をクリックし、[バーコードのスキャン] をクリックします。
  5. デバイスのカメラを QR コードの上に置きます。必要に応じて、16 桁のコードを入力できます。

    QRコード

    注意: 表示されたQRコードは3分間有効です。

  6. スキャンに成功すると、ログインに使用できる6桁の時間依存コードが表示されます。

    ログオン成功メッセージ

  7. テストするには、QR画面で [完了] をクリックし、右側の緑色のチェックマークをクリックします。
  8. ドロップダウンメニューからデバイスを選択し、Google Authenticatorからコードを入力して(赤ではなく青である必要があります)、[ Go]をクリックします。
  9. ページの右上隅にあるドロップダウンメニューを使用して、必ずログアウトしてください。

OTPを使用してCitrix ADCにログインします

  1. 最初の公開URLに移動し、Google Authenticator からOTPを入力してログオンします。
  2. Citrix ADCスプラッシュページへの認証を行います。

    ADC認証ページ