Citrix ADC

物理サーバーからKerberos認証をオフロードします

Citrix ADCアプライアンスは、認証タスクをサーバーからオフロードできます。Citrix ADCは、クライアントからの要求を認証する物理サーバーではなく、すべてのクライアント要求を認証してから、バインドされた物理サーバーに転送します。ユーザー認証は、Active Directory トークンに基づいています。

Citrix ADCと物理サーバー間の認証は行われず、認証オフロードはエンドユーザーに対して透過的です。Windows コンピューターへの初回ログオン後、エンドユーザーは、ポップアップまたはログオンページに追加の認証情報を入力する必要はありません。

現在のCitrix ADCアプライアンスのリリースでは、Kerberos認証は、トラフィック管理仮想サーバーの認証、承認、監査にのみ使用できます。Kerberos認証は、Citrix Gateway アドバンスエディションアプライアンスでのSSL VPNまたはCitrix ADCアプライアンスの管理ではサポートされません。

Kerberos認証では、Citrix ADCアプライアンスおよびクライアントブラウザでの構成が必要です。

Citrix ADC アプライアンスで Kerberos 認証を構成するには

  1. Active Directory にユーザー・アカウントを作成します。ユーザー・アカウントを作成するときは、「ユーザー・プロパティ」セクションで次のオプションを確認します。

    • [次回ログオン時にパスワードを変更する] オプションを選択していないことを確認します。
    • [パスワードの有効期限切れ] オプションを必ず選択してください。
  2. AD サーバーで、CLI コマンドプロンプトで次のように入力します。

    • ktpass-princ HTTP/ kerberos.crete.lab.net@crete.lab.net-ptype KRB5_NT_PRINCIPAL-マップユーザー-マップポップセット-Citrix1アウトC: kerbtabfile.txt kerbuser@crete.lab.net

    上記のコマンドを 1 行で入力してください。kerbtabfile.txtファイル:上記のコマンドの出力は、Cに書き込まれます。

  3. セキュアコピー(SCP)クライアントを使用して、kerbtabfile.txtファイルをCitrix ADCアプライアンスの /etcディレクトリにアップロードします。

  4. 次のコマンドを実行して、Citrix ADCアプライアンスにDNSサーバーを追加します。

    • DNS ネームサーバーを追加する 1.2.3.4

    Citrix ADCアプライアンスは、DNSサーバーがないとKerberos要求を処理できません。Microsoft Windows ドメインで使用されているものと同じ DNS サーバーを使用してください。

  5. Citrix ADC コマンドラインインターフェイスに切り替えます。

  6. 次のコマンドを実行して、Kerberos 認証サーバーを作成します。

    • 認証の追加ネゴシエーションアクション Kerberos サーバードメイン「crete.lab.net」-ドメインユーザーユーザーユーザーユーザーパスワード Citrix1-keytab /var/mykcd.keytab

    キータブが使用できない場合は、ドメイン、ドメインユーザー、および-domainUserPasswd のパラメーターを指定できます。

  7. 次のコマンドを実行して、ネゴシエーション・ポリシーを作成します。

    • add authentication negotiatePolicy Kerberos-Policy "REQ.IP.DESTIP == 192.168.17.200" KerberosServer
  8. 次のコマンドを実行して、認証仮想サーバーを作成します。

    • add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net
  9. 次のコマンドを実行して、Kerberos ポリシーを認証仮想サーバーにバインドします。

    • bind authentication vserver Kerb-Auth -policy Kerberos-Policy -priority 100
  10. 次のコマンドを実行して、SSL 証明書を認証仮想サーバーにバインドします。GUIのCitrix ADCアプライアンスからインストールできるテスト証明書のいずれかを使用できます。次のコマンドを実行して、ServerTestCert サンプル証明書を使用します。

    • bind ssl vserver Kerb-Auth -certkeyName ServerTestCert
  11. IP アドレス 192.168.17.200 を使用して、HTTP ロードバランシング仮想サーバーを作成します。

    NetScaler 9.3リリースが9.3.47.8より古い場合は、コマンドラインインターフェイスから仮想サーバーを作成してください。

  12. 次のコマンドを実行して、認証仮想サーバーを構成します。

    • set lb vserver <name>-authn401 ON -authnVsName Kerb-Auth
  13. Web ブラウザのアドレスバーにホスト名を入力します。

    Kerberos 認証がブラウザで設定されていないため、Web ブラウザに認証ダイアログボックスが表示されます。

    Kerberos 認証には、クライアント上で特定の設定が必要です。クライアントがホスト名を解決できることを確認します。これにより、Web ブラウザが HTTP 仮想サーバに接続されます。

  14. クライアントコンピュータの Web ブラウザで Kerberos を構成します。

  15. 認証なしでバックエンド物理サーバにアクセスできるかどうかを確認します。

Kerberos 認証用にInternet Explorerを構成するには

  1. [ツール] メニューの [インターネットオプション]** を選択します。
  2. [セキュリティ] タブをアクティブにします。
  3. [セキュリティ設定の変更を表示するゾーンの選択] セクションで、[ローカルイントラネット] を選択します。
  4. [サイト] をクリックします。
  5. [詳細設定]をクリックします。
  6. URLを指定し、[追加] をクリックします。
  7. イInternet Explorerを再起動します。

Kerberos 認証用に Mozilla Firefox を設定するには

  1. ブラウザのアドレスバーに about: config と入力します。
  2. 警告免責事項をクリックします。
  3. [フィルタ] ボックスに「 ネットワーク 」と入力します。
  4. [ネットワーク] をダブルクリックします。[ネゴシエート認証.信頼されたuris] をクリックします。画面の例を以下に示します。

    ローカライズされた画像

  5. [文字列値の入力] ダイアログボックスで、www.crete.lab.net と指定します。
  6. Firefox を再起動します。
物理サーバーからKerberos認証をオフロードします