認証ポリシー
ユーザーがCitrix ADCまたはCitrix Gatewayアプライアンスにログオンすると、作成したポリシーに従ってユーザーが認証されます。認証ポリシーは、式とアクションで構成されます。認証ポリシーでは、Citrix ADC 式が使用されます。
認証アクションと認証ポリシーを作成したら、それを認証仮想サーバにバインドし、優先順位を割り当てます。バインドする場合は、プライマリポリシーまたはセカンダリポリシーとして指定します。プライマリポリシーは、セカンダリポリシーの前に評価されます。両方のタイプのポリシーを使用する構成では、通常、プライマリポリシーはより具体的なポリシーであり、セカンダリポリシーは通常、より一般的なポリシーです。これは、より具体的な基準を満たさないユーザーアカウントの認証を処理することを目的としています。ポリシーは認証タイプを定義します。単一の認証ポリシーは、単純な認証のニーズに使用でき、通常はグローバルレベルでバインドされます。デフォルトの認証タイプであるローカルを使用することもできます。ローカル認証を構成する場合は、アプライアンスでユーザーとグループも構成する必要があります。
複数の認証ポリシーを構成し、それらをバインドして、詳細な認証手順と仮想サーバーを作成できます。たとえば、複数のポリシーを構成することにより、カスケード認証と2要素認証を構成できます。認証ポリシーの優先度を設定して、アプライアンスがユーザー資格情報をチェックするサーバーと順序を決定することもできます。認証ポリシーには、式とアクションが含まれます。たとえば、式をTrue値に設定した場合、ユーザーがログオンすると、アクションはユーザーログオンをtrueと評価し、ユーザーはネットワークリソースにアクセスできるようになります。
認証ポリシーを作成した後、グローバルレベルまたは仮想サーバーのいずれかでポリシーをバインドします。少なくとも1つの認証ポリシーを仮想サーバーにバインドする場合、グローバル認証タイプがにバインドされたポリシーよりも優先度が高い場合を除き、ユーザーが仮想サーバーにログオンするときに、グローバルレベルにバインドした認証ポリシーは使用されません。仮想サーバー。
ユーザーがアプライアンスにログオンすると、認証は次の順序で評価されます。
- 仮想サーバーは、バインドされた認証ポリシーについてチェックされます。
- 認証ポリシーが仮想サーバーにバインドされていない場合、アプライアンスはグローバル認証ポリシーをチェックします。
- 認証ポリシーが仮想サーバーまたはグローバルにバインドされていない場合、ユーザーはデフォルトの認証タイプで認証されます。
LDAPおよびRADIUS認証ポリシーを構成し、2要素認証のためにポリシーをグローバルにバインドする場合は、構成ユーティリティでポリシーを選択してから、ポリシーがプライマリ認証タイプかセカンダリ認証タイプかを選択できます。グループ抽出ポリシーを構成することもできます。
注:
Citrix ADCまたはCitrix Gatewayアプライアンスは、認証用にUTF-8文字のみをエンコードし、ISO-8859-1文字を使用するサーバーとは互換性がありません。
認証ポリシーの作成
GUIを使用して認証ポリシーを作成します
- [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] に移動し、作成するポリシーのタイプを選択します。 Citrix Gatewayの場合は、Citrix Gateway > Policies > Authenticationに移動します。
-
詳細ウィンドウの [ポリシー] タブで、次のいずれかの操作を行います。
- 新しいポリシーを作成するには、[Add] をクリックします。
- 既存のポリシーを変更するには、アクションを選択し、[Edit] をクリックします。
-
[認証ポリシーの作成] または [認証ポリシーの構成] ダイアログで、パラメータの値を入力または選択します。
- 名前 :ポリシー名(以前に設定されたアクションでは変更できません)
-
認証タイプ —
authtype -
サーバー —
authVsName - 式 — 規則 (式を入力するには、まず [式] ウィンドウの下の左端のドロップダウンリストで式のタイプを選択し、式のテキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、ダウンリストを使用して式を作成します)。
- [作成] または[OK]をクリックします。作成したポリシーが [ポリシー] ページに表示されます。
-
[サーバー] タブをクリックし、詳細ペインで次のいずれかの操作を行います。
- 既存のサーバーを使用するには、そのサーバーを選択してをクリックします。
- サーバーを作成するには、[追加]をクリックして、指示に従います。
- このポリシーをセカンダリ認証ポリシーとして指定する場合は、[認証] タブの [セカンダリ] をクリックします。このポリシーをプライマリ認証ポリシーとして指定する場合は、この手順をスキップします。
- [ポリシーの挿入]をクリックします。
- ドロップダウンリストから、認証仮想サーバにバインドするポリシーを選択します。
- 左側の [Priority] 列で、デフォルトの優先度を変更し、ポリシーが適切な順序で評価されるようにします。
- [OK] をクリックします。ポリシーが正常に構成されたことを示すメッセージがステータスバーに表示されます。
GUIを使用して認証ポリシーを変更する
認証サーバーのIPアドレスや式など、構成済みの認証ポリシーとプロファイルを変更できます。
- 構成ユーティリティの[構成]タブで、Citrix Gateway > Policies > Authenticationを展開します。 注:Security > AAA - Application Traffic > Policies > Authenticationでポリシーを構成してから、変更するポリシーの種類を選択することもできます。
- ナビゲーションペインの[認証]で、認証タイプを選択します。
- 詳細ペインの[サーバー]タブで、サーバーを選択し、[開く]をクリックします。
GUIを使用して認証ポリシーを削除します
ネットワークから認証サーバーを変更または削除した場合は、対応する認証ポリシーをCitrix Gatewayから削除してください。
- 構成ユーティリティの[構成]タブで、Citrix Gateway > Policies \ > Authenticationを展開します。 注:ADCを構成するには、Security > AAA - Application Traffic > Policies > Authenticationに移動して削除するポリシーの種類を選択します。
- ナビゲーションペインの[認証]で、認証タイプを選択します。
- 詳細ペインの[ポリシー]タブで、ポリシーを選択し、[削除]をクリックします。
CLIを使用して認証ポリシーを作成します
コマンドプロンプトで、次のコマンドを入力します。
add authentication negotiatePolicy <name> <rule> <reqAction>
show authentication localPolicy <name>
bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
show authentication vserver <name>
例:
> add authentication localPolicy Authn-Pol-1 ns_true
Done
> show authentication localPolicy
1) Name: Authn-Pol-1 Rule: ns_true Request action: LOCAL Done
> bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Done
> show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
Timeout: 180 sec Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
1) Primary authentication policy name: Authn-Pol-1 Priority: 0
Done
CLIを使用して既存の認証ポリシーを変更する
コマンドプロンプトで、次のコマンドを入力して、既存の認証ポリシーを変更します。
set authentication localPolicy <name> <rule> [-reqaction <action>]```
例
set authentication localPolicy Authn-Pol-1 'ns_true'
CLIを使用して認証ポリシーを削除します
コマンドプロンプトで次のコマンドを入力して、認証ポリシーを削除します。
rm authentication localPolicy <name>
例
rm authentication localPolicy Authn-Pol-1
認証ポリシーをバインドする
認証ポリシーを構成した後、ポリシーをグローバルまたは仮想サーバーにバインドします。いずれかの構成ユーティリティを使用して、認証ポリシーをバインドできます。
構成ユーティリティを使用して認証ポリシーをグローバルにバインドするには、次のようにします。
- 構成ユーティリティの[構成]タブで、Citrix Gateway > Policies \ > Authenticationを展開します。 注:ADから構成するには[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証]に移動します。
- 認証タイプをクリックします。
- 詳細ペインの[ポリシー]タブで、サーバーをクリックし、[アクション]で[グローバルバインディング]をクリックします。
- [プライマリ]または[セカンダリ]タブの[詳細]で、[ポリシーの挿入]をクリックします。
-
[ポリシー名]でポリシーを選択し、[OK]をクリックします。
注: ポリシーを選択すると、Citrix Gatewayは式を自動的にTrue値に設定します。
構成ユーティリティを使用してグローバル認証ポリシーのバインドを解除するには、次のようにします。
- 構成ユーティリティの[構成]タブで、Citrix Gateway > Policies \ > Authenticationを展開します。 注:ADから構成するには[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証]に移動します。
- [ポリシー]タブの[アクション]で、[グローバルバインディング]をクリックします。
- の中に Bind/Unbind [グローバルへの認証ポリシー]ダイアログボックスの[プライマリ]または[セカンダリ]タブの[ポリシー名]で、ポリシーを選択し、[ポリシーのバインド解除]をクリックして、[OK]をクリックします。
認証アクションを追加する
コマンドラインインターフェイスを使用して認証アクションを追加します
LOCAL 認証を使用しない場合は、明示的な認証アクションを追加する必要があります。コマンドプロンプトで、次のコマンドを入力します。
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
例
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
コマンドラインインターフェイスを使用して認証アクションを構成します
既存の認証操作を構成するには、コマンドプロンプトで次のコマンドを入力します。
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
例
set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
コマンドラインインターフェイスを使用して認証アクションを削除します
既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。
rm authentication radiusAction <name>
例
rm authentication tacacsaction Authn-Act-1
noAuth認証
Citrix ADCアプライアンスは、ユーザーがこのポリシーを実行するときに、顧客が noAuthAction コマンドでdefaultAuthenticationGroupパラメーターを構成できるようにするnoAuth認証機能をサポートします。管理者は、ユーザーのグループにこのグループが存在するかどうかを確認して、noAuthポリシーを介したユーザーのナビゲーションを判別できます。
コマンドラインインターフェイスを使用して noAuth 認証を構成するには
コマンドプロンプトで、「;」と入力します。
add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]
例:
add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup
デフォルトのグローバル認証タイプ
Citrix Gateway をインストールしてCitrix Gatewayウィザードを実行すると、ウィザード内で認証を構成しました。この認証ポリシーは、Citrix Gatewayグローバルレベルに自動的にバインドされます。Citrix Gatewayウィザード内で構成する認証タイプがデフォルトの認証タイプです。Citrix Gateway Wizardを再度実行してデフォルトの認証タイプを変更するか、構成ユーティリティでグローバル認証設定を変更できます。
他の認証タイプを追加する必要がある場合は、Citrix Gatewayで認証ポリシーを構成し、構成ユーティリティを使用してポリシーをCitrix Gatewayにバインドできます。認証をグローバルに構成する場合は、認証の種類を定義し、設定を構成し、認証できるユーザーの最大数を設定します。
ポリシーを構成してバインドした後、優先順位を設定して、優先する認証タイプを定義できます。たとえば、LDAPおよびRADIUS認証ポリシーを構成します。LDAPポリシーの優先順位番号が10で、RADIUSポリシーの優先順位番号が15の場合、各ポリシーをバインドする場所に関係なく、LDAPポリシーが優先されます。これはカスケード認証と呼ばれます。
ログオンページをCitrix Gatewayのメモリ内キャッシュから配信するか、Citrix Gatewayで実行されているHTTPサーバーから配信するかを選択できます。インメモリキャッシュからログオンページを配信することを選択した場合、Citrix Gatewayからのログオンページの配信はHTTPサーバーからの配信よりも高速です。インメモリキャッシュからログオンページを配信することを選択すると、多くのユーザーが同時にログオンするときの待機時間が短縮されます。グローバル認証ポリシーの一部としてのみ、キャッシュからのログオンページの配信を構成できます。
認証用の特定のIPアドレスであるネットワークアドレス変換(NAT)IPアドレスを構成することもできます。このIPアドレスは認証に固有であり、Citrix Gatewayのサブネット、マップ、または仮想IPアドレスではありません。この設定はオプションです。
注:
Citrix Gatewayウィザードを使用してSAML認証を構成することはできません。
クイック構成ウィザードを使用して、LDAP、RADIUS、およびクライアント証明書の認証を構成できます。ウィザードを実行すると、Citrix Gatewayで構成されている既存のLDAPまたはRADIUSサーバーから選択できます。LDAPまたはRADIUSの設定を構成することもできます。2要素認証を使用する場合は、プライマリ認証タイプとしてLDAPを使用することをお勧めします。
デフォルトのグローバル認証タイプを構成する
- ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
- 詳細ペインの[設定]で、[認証設定の変更]をクリックします。
- [最大ユーザー数]に、この認証タイプを使用して認証できるユーザーの数を入力します。
- NAT IPアドレスに、認証用の一意のIPアドレスを入力します。
- [静的キャッシュを有効にする]を選択して、ログオンページをより速く配信します。
- 認証が失敗した場合にユーザーにメッセージを提供するには、[拡張認証フィードバックを有効にする]を選択します。ユーザーが受け取るメッセージには、パスワードエラー、アカウントの無効化またはロック、ユーザーが見つからないなどがあります。
- [デフォルトの認証タイプ]で、認証タイプを選択します。
- 認証タイプの設定を構成し、[OK]をクリックします。