Citrix ADC

Citrix ADCアプライアンスでのKerberos認証の構成

このトピックでは、CLIとGUIを使用してCitrix ADCアプライアンスでKerberos認証を構成するための詳細な手順について説明します。

CLI での Kerberos 認証の設定

  1. 認証、承認、および監査機能を有効にして、アプライアンスでトラフィックの認証を確実にします。

    ns-cli-prompt> enable ns feature AAA

  2. キータブファイルをCitrix ADCアプライアンスに追加します。Kerberos 認証中にクライアントから受信したシークレットを復号化するには、キータブファイルが必要です。単一のキータブファイルには、Citrix ADCアプライアンス上のトラフィック管理仮想サーバーにバインドされているすべてのサービスの認証の詳細が含まれています。

    まず、Active Directory サーバーでキータブファイルを生成してから、Citrix ADCアプライアンスに転送します。

    • Active Directory サーバーにログオンし、Kerberos 認証用のユーザーを追加します。たとえば、「Kerb-SVC-Account」という名前のユーザーを追加するには、次のようにします。

      ネットユーザーKerb-SVCアカウント無料です! @ #456 /追加

      [ユーザーのプロパティ] セクションで、[次のログオン時にパスワードを変更する] オプションが選択されておらず、[パスワードの有効期限] オプションが選択されていることを確認します。

    • 上記のユーザーにHTTPサービスをマッピングし、キータブファイルをエクスポートします。たとえば、Active Directory サーバーで次のコマンドを実行します。

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      複数のサービスに認証が必要な場合は、複数のサービスをマッピングできます。さらに多くのサービスをマッピングする場合は、すべてのサービスに対して上記のコマンドを繰り返します。出力ファイルには同じ名前を指定することも、別の名前を指定することもできます。

    • unix ftp コマンドまたは任意のファイル転送ユーティリティを使用して、キータブファイルをCitrix ADCアプライアンスに転送します。

  3. Citrix ADCアプライアンスは、完全修飾ドメイン名(FQDN)からドメインController IPアドレスを取得する必要があります。したがって、Citrix ADCにDNSサーバーを構成することをお勧めします。

    ns-cli-prompt> add dns nameserver <ip-address>

    または、静的なホストエントリを追加するか、その他の方法を使用して、Citrix ADCアプライアンスがドメインController FQDN名をIPアドレスに解決できるようにします。

  4. 認証アクションを設定し、認証ポリシーに関連付けます。

    • ネゴシエートアクションを設定します。

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domain name> -domainUser <domain user name> -domainUserPasswd <domain user password> -defaultAuthenticationGroup <default authentication group> -keytab <string> -NTLMPath <string>

      :ドメインユーザおよびドメイン名の設定については、クライアントに移動し、次の例に示すように klist コマンドを使用します。

      クライアント:ユーザー名 @ AAA.LOCAL

      サーバー:http/onprem_idp.AAA.local @ AAA.LOCAL

      add authentication negotiateAction <name> -domain <AAA.LOCAL> -domainUser <HTTP/onprem_idp.aaa.local>

    • ネゴシエートポリシーを設定し、ネゴシエートアクションをこのポリシーに関連付けます。

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. 認証仮想サーバを作成し、ネゴシエートポリシーをそのサーバに関連付けます。

    • 認証仮想サーバーを作成します。

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • ネゴシエートポリシーを認証仮想サーバにバインドします。

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. 認証仮想サーバをトラフィック管理(ロードバランシングまたはコンテンツスイッチング)仮想サーバに関連付けます。

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    コンテンツスイッチング仮想サーバーでも同様の設定を行うことができます。

  7. 次の手順を実行して、設定を確認します。

    • FQDN を使用して、トラフィック管理仮想サーバにアクセスします。たとえば、 サンプル

    • CLI でセッションの詳細を表示します。

      ns-cli-prompt> show aaa session

GUI での Kerberos 認証の設定

  1. 認証、認可、および監査機能を有効にします。

    [システム] > [設定] に移動し、[基本機能の構成] をクリックして、認証、承認、監査機能を有効にします。

  2. 上記の CLI 手順のステップ 2 の説明に従って、キータブファイルを追加します。

  3. DNS サーバーを追加します。

    [トラフィック管理] > [DNS] > [ネームサーバー] に移動し、DNS サーバーの IP アドレスを指定します。

  4. [ネゴシエート] アクションとポリシーを設定します。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー]に移動し、アクションタイプとして [ネゴシエート] を使用してポリシーを作成します。[ADD] をクリックして新しい認証ネゴシエートサーバを作成するか、[Edit] をクリックして既存の詳細を設定します。

  5. ネゴシエートポリシーを認証仮想サーバにバインドします。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、 ネゴシエートポリシーを認証仮想サーバに関連付けます。

  6. 認証仮想サーバをトラフィック管理(ロードバランシングまたはコンテンツスイッチング)仮想サーバに関連付けます。

    [トラフィック管理] > [ロードバランシング] > [仮想サーバー] に移動し、関連する認証設定を指定します。

    コンテンツスイッチング仮想サーバーでも同様の設定を行うことができます。

  7. 上記の CLI 手順のステップ 7 で詳述した設定を確認します。

Citrix ADCアプライアンスでのKerberos認証の構成