認証仮想サーバー
トラフィック管理仮想サーバ(負荷分散またはコンテンツスイッチング)は、すべての認証要求を認証仮想サーバにリダイレクトします。この仮想サーバは、関連付けられた認証ポリシーを処理し、それに応じてアプリケーションへのアクセスを提供します。
注: トラフィック管理ポリシーは、認証、承認、および監査仮想サーバにバインドできません。
認証仮想サーバーをセットアップする
認証仮想サーバーの設定に関連する手順は次のとおりです。
-
認証、認可、および監査機能を有効にします。
enable ns feature AAA <!--NeedCopy--> -
認証仮想サーバを設定します。SSL タイプで、SSL 証明書とキーのペアを仮想サーバーにバインドする必要があります。
add authentication vserver <name> SSL <ipaddress> <port> bind ssl certkey <auth-vserver-name> <certkey> <!--NeedCopy--> -
認証仮想サーバーのドメインの FQDN を指定します。
set authentication vserver <name> -authenticationDomain <FQDN> <!--NeedCopy--> -
認証仮想サーバを関連するトラフィック管理仮想サーバに関連付けます。
注意事項:
- ドメインセッション Cookie が正しく機能するには、トラフィック管理仮想サーバの FQDN が認証仮想サーバの FQDN と同じドメインに存在する必要があります。トラフィック管理仮想サーバで、次の操作を行います。
- 認証を有効にします。
- トラフィック管理仮想サーバの認証ホストとして、認証仮想サーバの FQDN を指定します。
- [(オプション)] トラフィック管理仮想サーバーの認証ドメインを指定します。
- 認証ドメインを構成しない場合、アプライアンスは、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。たとえば、認証仮想サーバーのドメイン名が tm.xyz.bar.comの場合、アプライアンスは認証ドメインとして xyz.bar.com を割り当てます。
- 負荷分散の場合:
set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>] <!--NeedCopy-->- コンテンツスイッチングの場合:
set cs vserver <name> <protocol> <IPAddress> <port> <!--NeedCopy-->
- 認証ドメインにドメイン全体の Cookie を設定する必要がある場合は、負荷分散仮想サーバーで認証プロファイルを有効にする必要があります。
- ドメインセッション Cookie が正しく機能するには、トラフィック管理仮想サーバの FQDN が認証仮想サーバの FQDN と同じドメインに存在する必要があります。トラフィック管理仮想サーバで、次の操作を行います。
-
両方の仮想サーバが稼働しており、正しく設定されていることを確認します。
show authentication vserver <name> <!--NeedCopy-->
GUI を使用して認証仮想サーバーをセットアップするには
-
認証、認可、および監査機能を有効にします。
[ システム] > [設定] に移動し、[ 基本機能の構成] をクリックして、[ 認証、承認、監査] を有効にします。
-
認証仮想サーバを設定します。
[ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、必要に応じて設定します。
-
認証用にトラフィック管理仮想サーバを設定します。
-
負荷分散の場合:
[ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。
-
コンテンツスイッチングの場合:
[ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。
-
-
-
認証の設定を確認します。
[ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、関連する認証仮想サーバの詳細を確認します。
-
認証仮想サーバーを構成する
認証、承認、および監査を構成するには、まず認証トラフィックを処理するように認証仮想サーバーを構成します。次に、SSL 証明書とキーのペアを仮想サーバーにバインドして、SSL 接続を処理できるようにします。 SSL の構成および証明書とキーのペアの作成の詳細については、「 SSL 証明書」を参照してください。
CLIを使用して認証仮想サーバーを構成します
認証仮想サーバーを構成して構成を確認するには、コマンドプロンプトで次のコマンドを同じ順序で入力します。
add authentication vserver <name> ssl <ipaddress>
show authentication vserver <name>
bind ssl certkey <certkeyName>
show authentication vserver <name>
set authentication vserver <name>
show authentication vserver <name>
<!--NeedCopy-->
例:
add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
set authentication vserver Auth-Vserver-2
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->
注:
[認証ドメイン] パラメーターは廃止されました。認証プロファイルを使用して、ドメイン全体の Cookie を設定します。
GUI を使用して認証仮想サーバーを構成する
- セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します。
-
詳細ウィンドウで、次のいずれかの操作を行います。
- 新しい認証仮想サーバーを作成するには、[ 追加] をクリックします。
- 既存の認証仮想サーバーを変更するには、仮想サーバーを選択し、[ 編集] をクリックします。[設定] ダイアログが開き、[基本設定] 領域が展開されます。
-
パラメータの値を次のように指定します(アスタリスクは必須パラメータを示します)。
- name*—name(以前に作成した仮想サーバでは変更できません)
- IP アドレスタイプ*:認証仮想サーバの IP アドレスタイプ
- IP アドレス*:認証仮想サーバの IP アドレス
- port*:仮想サーバが接続を受け付ける TCP ポート。
- ログイン失敗タイムアウト:failedLoginTimeout(ログインが失敗するまでの秒数。ユーザはログインプロセスを再度開始する必要があります)。
- 最大ログイン試行回数-maxLoginAttempts(ユーザがロックアウトされる前に許可されるログイン試行回数)
注:
認証仮想サーバーは SSL プロトコルとポート 443 のみを使用するため、これらのオプションは灰色表示されます。言及されていないオプションは無視できます。
- [ 続行 ] をクリックして、[証明書] 領域を表示します。
-
[ 証明書] 領域で、この仮想サーバーで使用するすべての SSL 証明書を構成します。
- CA 証明書を構成するには、[CA 証明書] の右側にある矢印をクリックして [CA Cert Key] ダイアログボックスを表示し、この仮想サーバーにバインドする証明書を選択して、[ 保存] をクリックします。
- サーバ証明書を設定するには、[サーバ証明書(Server Certificate)] の右側にある矢印をクリックし、CA 証明書の場合と同じプロセスに従います。
- [ 続行 ] をクリックして、[ 高度な認証ポリシー ] 領域を表示します。
- 高度な認証ポリシーを仮想サーバーにバインドする場合は、行の右側にある矢印をクリックして[ 認証ポリシー ]ダイアログボックスを表示します。サーバーにバインドするポリシーを選択し、優先順位を設定して、[ OK]をクリックします。
- [ 続行 ] をクリックして、[ 基本認証ポリシー ] 領域を表示します。
- 基本認証ポリシーを作成して仮想サーバにバインドする場合は、プラス記号をクリックして [ ポリシー ] ダイアログボックスを表示し、プロンプトに従ってポリシーを構成し、この仮想サーバにバインドします。
- [ 続行 ] をクリックして、[401 ベースの仮想サーバー] 領域を表示します。
-
[401 ベースの仮想サーバー] 領域で、この仮想サーバーにバインドする負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを構成します。
- 負荷分散仮想サーバーをバインドするには、負荷分散仮想サーバーの右側にある矢印をクリックして [負荷分散仮想サーバー] ダイアログボックスを表示し、プロンプトに従います。
- コンテンツスイッチ仮想サーバーをバインドするには、コンテンツスイッチ仮想サーバーの右側にある矢印をクリックして [コンテンツスイッチ仮想サーバー] ダイアログボックスを表示し、LB 仮想サーバーをバインドする場合と同じ手順に従います。
- グループを作成または構成する場合は、[グループ] 領域で矢印をクリックして [グループ] ダイアログボックスを表示し、プロンプトに従います。
- 設定を確認し、完了したら [ 完了] をクリックします。ダイアログボックスが閉じます。新しい認証仮想サーバを作成した場合は、[ Configuration ] ウィンドウのリストに表示されます。
トラフィック管理仮想サーバー
認証仮想サーバを作成して設定したら、次にトラフィック管理仮想サーバを作成または設定し、認証仮想サーバをそれに関連付けます。トラフィック管理仮想サーバーには、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。 いずれかのタイプの仮想サーバーの作成と構成の詳細については、「 Citrix トラフィック管理ガイド」の「 トラフィック管理」を参照してください。
注:
ドメインセッションCookieが正しく機能するには、トラフィック管理仮想サーバーのFQDNが認証仮想サーバーのFQDNと同じドメインにある必要があります。
認証を有効にし、認証サーバの FQDN をトラフィック管理仮想サーバに割り当てることで、認証、認可、および監査用のトラフィック管理仮想サーバを設定します。現在、トラフィック管理仮想サーバで認証ドメインを設定することもできます。このオプションを構成しない場合、Citrix ADCアプライアンスは、ホスト名の部分を含まない認証仮想サーバーのFQDNで構成されるFQDNをトラフィック管理仮想サーバーに割り当てます。たとえば、認証仮想サーバーのドメイン名が tm.xyz.bar.com の場合、アプライアンスは認証ドメインとして xyz.bar.com. を割り当てます。
CLI を使用してトラフィック管理仮想サーバを設定するには
コマンドプロンプトで、次のいずれかのコマンドセットを入力します。
set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->
例:
set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done
show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->
GUI を使用してトラフィック管理仮想サーバを設定するには
-
ナビゲーションペインで、次のいずれかの操作を行います。
- Traffic Management > Load Balancing > Virtual Serversに移動します。
- [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
- 詳細ウィンドウで、認証を有効にする仮想サーバーを選択し、[ 編集] をクリックします。
- [ドメイン] テキストボックスに、認証ドメインを入力します。
- 右側の [ 詳細設定 ] メニューで、[ 認証] を選択します。
-
[ フォームベース認証 ] または [ 401 ベース認証] のいずれかを選択し、認証情報を入力します。
- [フォームベース認証] で、認証 FQDN(認証サーバの完全修飾ドメイン名)、認証仮想サーバ(認証仮想サーバの IP アドレス)、および認証プロファイル(認証に使用するプロファイル)を入力します。
- 401 ベースの認証の場合は、認証仮想サーバと認証プロファイルのみを入力します。
- 「 OK」をクリックします。ステータスバーに、仮想サーバーが正常に構成されたことを示すメッセージが表示されます。
認証、承認、監査の簡素化されたログインプロトコルのサポート
認証、認可、および監査トラフィック管理仮想サーバと認証、認可、および監査仮想サーバ間のログインプロトコルは、クエリパラメータを介して暗号化されたデータを送信するのではなく、内部メカニズムを使用するように簡素化されています。この機能を使用すると、リクエストのリプレイが防止されます。
DNS を構成する
認証プロセスで使用されるドメインセッション Cookie が正しく機能するには、認証とトラフィック管理の両方の仮想サーバーを同じドメイン内の FQDN に割り当てるように DNS を構成する必要があります。DNS アドレスレコードを構成する方法については、「 ドメインネームシステム」を参照してください。
認証仮想サーバーを確認する
認証およびトラフィック管理仮想サーバーを構成した後、ユーザーアカウントを作成する前に、両方の仮想サーバーが正しく構成され、UP 状態であることを確認する必要があります。
CLI を使用した NoAuth 認証の設定
コマンドプロンプトで、次のコマンドを入力します。
show authentication vserver <name>
<!--NeedCopy-->
例:
show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->
GUI を使用して NoAuth 認証を構成する
- [ セキュリティ] > [Citrix ADC AAA-アプリケーショントラフィック] > [仮想サーバー] に移動します。 注:Citrix Gateway から、[ Citrix Gateway]>[仮想サーバー]に移動します。
- [ AAA Virtual Servers ] ペインの情報を確認して、設定が正しいこと、および認証仮想サーバがトラフィックを受け入れていることを確認します。特定の仮想サーバーを選択して、詳細ペインに詳細情報を表示できます。