Citrix ADC

認証仮想サーバー

トラフィック管理仮想サーバ(負荷分散またはコンテンツスイッチング)は、すべての認証要求を認証仮想サーバにリダイレクトします。この仮想サーバは、関連付けられた認証ポリシーを処理し、それに応じてアプリケーションへのアクセスを提供します。

注: トラフィック管理ポリシーは、認証、承認、および監査仮想サーバにバインドできません。

認証仮想サーバーをセットアップする

認証仮想サーバーの設定に関連する手順は次のとおりです。

  1. 認証、認可、および監査機能を有効にします。

    enable ns feature AAA
    <!--NeedCopy-->
    
  2. 認証仮想サーバを設定します。SSL タイプで、SSL 証明書とキーのペアを仮想サーバーにバインドする必要があります。

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    <!--NeedCopy-->
    
  3. 認証仮想サーバーのドメインの FQDN を指定します。

    set authentication vserver <name> -authenticationDomain <FQDN>
    <!--NeedCopy-->
    
  4. 認証仮想サーバを関連するトラフィック管理仮想サーバに関連付けます。

    注意事項:

    • ドメインセッション Cookie が正しく機能するには、トラフィック管理仮想サーバの FQDN が認証仮想サーバの FQDN と同じドメインに存在する必要があります。トラフィック管理仮想サーバで、次の操作を行います。
      • 認証を有効にします。
      • トラフィック管理仮想サーバの認証ホストとして、認証仮想サーバの FQDN を指定します。
      • [(オプション)] トラフィック管理仮想サーバーの認証ドメインを指定します。
      • 認証ドメインを構成しない場合、アプライアンスは、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。たとえば、認証仮想サーバーのドメイン名が tm.xyz.bar.comの場合、アプライアンスは認証ドメインとして xyz.bar.com を割り当てます。
        • 負荷分散の場合:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
         <!--NeedCopy-->
        
        • コンテンツスイッチングの場合:
         set cs vserver <name> <protocol> <IPAddress> <port>
         <!--NeedCopy-->
        
    • 認証ドメインにドメイン全体の Cookie を設定する必要がある場合は、負荷分散仮想サーバーで認証プロファイルを有効にする必要があります。
  5. 両方の仮想サーバが稼働しており、正しく設定されていることを確認します。

    show authentication vserver <name>
    <!--NeedCopy-->
    

GUI を使用して認証仮想サーバーをセットアップするには

  1. 認証、認可、および監査機能を有効にします。

    [ システム] > [設定] に移動し、[ 基本機能の構成] をクリックして、[ 認証、承認、監査] を有効にします。

  2. 認証仮想サーバを設定します。

    [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、必要に応じて設定します。

  3. 認証用にトラフィック管理仮想サーバを設定します。

    • 負荷分散の場合:

      [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。

    • コンテンツスイッチングの場合:

      [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。

    • 認証の設定を確認します。

      [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、関連する認証仮想サーバの詳細を確認します。

認証仮想サーバーを構成する

認証、承認、および監査を構成するには、まず認証トラフィックを処理するように認証仮想サーバーを構成します。次に、SSL 証明書とキーのペアを仮想サーバーにバインドして、SSL 接続を処理できるようにします。 SSL の構成および証明書とキーのペアの作成の詳細については、「 SSL 証明書」を参照してください。

CLIを使用して認証仮想サーバーを構成します

認証仮想サーバーを構成して構成を確認するには、コマンドプロンプトで次のコマンドを同じ順序で入力します。

add authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

例:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

set authentication vserver Auth-Vserver-2

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

注:

[認証ドメイン] パラメーターは廃止されました。認証プロファイルを使用して、ドメイン全体の Cookie を設定します。

GUI を使用して認証仮想サーバーを構成する

  1. セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します
  2. 詳細ウィンドウで、次のいずれかの操作を行います。

    • 新しい認証仮想サーバーを作成するには、[ 追加] をクリックします。
    • 既存の認証仮想サーバーを変更するには、仮想サーバーを選択し、[ 編集] をクリックします。[設定] ダイアログが開き、[基本設定] 領域が展開されます。
  3. パラメータの値を次のように指定します(アスタリスクは必須パラメータを示します)。

    • name*—name(以前に作成した仮想サーバでは変更できません)
    • IP アドレスタイプ*:認証仮想サーバの IP アドレスタイプ
    • IP アドレス*:認証仮想サーバの IP アドレス
    • port*:仮想サーバが接続を受け付ける TCP ポート。
    • ログイン失敗タイムアウト:failedLoginTimeout(ログインが失敗するまでの秒数。ユーザはログインプロセスを再度開始する必要があります)。
    • 最大ログイン試行回数-maxLoginAttempts(ユーザがロックアウトされる前に許可されるログイン試行回数)

    注:

    認証仮想サーバーは SSL プロトコルとポート 443 のみを使用するため、これらのオプションは灰色表示されます。言及されていないオプションは無視できます。

  4. [ 続行 ] をクリックして、[証明書] 領域を表示します。
  5. [ 証明書] 領域で、この仮想サーバーで使用するすべての SSL 証明書を構成します。

    • CA 証明書を構成するには、[CA 証明書] の右側にある矢印をクリックして [CA Cert Key] ダイアログボックスを表示し、この仮想サーバーにバインドする証明書を選択して、[ 保存] をクリックします。
    • サーバ証明書を設定するには、[サーバ証明書(Server Certificate)] の右側にある矢印をクリックし、CA 証明書の場合と同じプロセスに従います。
  6. [ 続行 ] をクリックして、[ 高度な認証ポリシー ] 領域を表示します。
  7. 高度な認証ポリシーを仮想サーバーにバインドする場合は、行の右側にある矢印をクリックして[ 認証ポリシー ]ダイアログボックスを表示します。サーバーにバインドするポリシーを選択し、優先順位を設定して、[ OK]をクリックします。
  8. [ 続行 ] をクリックして、[ 基本認証ポリシー ] 領域を表示します。
  9. 基本認証ポリシーを作成して仮想サーバにバインドする場合は、プラス記号をクリックして [ ポリシー ] ダイアログボックスを表示し、プロンプトに従ってポリシーを構成し、この仮想サーバにバインドします。
  10. [ 続行 ] をクリックして、[401 ベースの仮想サーバー] 領域を表示します。
  11. [401 ベースの仮想サーバー] 領域で、この仮想サーバーにバインドする負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを構成します。

    • 負荷分散仮想サーバーをバインドするには、負荷分散仮想サーバーの右側にある矢印をクリックして [負荷分散仮想サーバー] ダイアログボックスを表示し、プロンプトに従います。
    • コンテンツスイッチ仮想サーバーをバインドするには、コンテンツスイッチ仮想サーバーの右側にある矢印をクリックして [コンテンツスイッチ仮想サーバー] ダイアログボックスを表示し、LB 仮想サーバーをバインドする場合と同じ手順に従います。
  12. グループを作成または構成する場合は、[グループ] 領域で矢印をクリックして [グループ] ダイアログボックスを表示し、プロンプトに従います。
  13. 設定を確認し、完了したら [ 完了] をクリックします。ダイアログボックスが閉じます。新しい認証仮想サーバを作成した場合は、[ Configuration ] ウィンドウのリストに表示されます。

トラフィック管理仮想サーバー

認証仮想サーバを作成して設定したら、次にトラフィック管理仮想サーバを作成または設定し、認証仮想サーバをそれに関連付けます。トラフィック管理仮想サーバーには、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。 いずれかのタイプの仮想サーバーの作成と構成の詳細については、「 Citrix トラフィック管理ガイド」の「 トラフィック管理」を参照してください。

注:

ドメインセッションCookieが正しく機能するには、トラフィック管理仮想サーバーのFQDNが認証仮想サーバーのFQDNと同じドメインにある必要があります。

認証を有効にし、認証サーバの FQDN をトラフィック管理仮想サーバに割り当てることで、認証、認可、および監査用のトラフィック管理仮想サーバを設定します。現在、トラフィック管理仮想サーバで認証ドメインを設定することもできます。このオプションを構成しない場合、Citrix ADCアプライアンスは、ホスト名の部分を含まない認証仮想サーバーのFQDNで構成されるFQDNをトラフィック管理仮想サーバーに割り当てます。たとえば、認証仮想サーバーのドメイン名が tm.xyz.bar.com の場合、アプライアンスは認証ドメインとして xyz.bar.com. を割り当てます。

CLI を使用してトラフィック管理仮想サーバを設定するには

コマンドプロンプトで、次のいずれかのコマンドセットを入力します。

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

例:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

GUI を使用してトラフィック管理仮想サーバを設定するには

  1. ナビゲーションペインで、次のいずれかの操作を行います。

    • Traffic Management > Load Balancing > Virtual Serversに移動します。
    • [ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
    • 詳細ウィンドウで、認証を有効にする仮想サーバーを選択し、[ 編集] をクリックします。
    • [ドメイン] テキストボックスに、認証ドメインを入力します。
    • 右側の [ 詳細設定 ] メニューで、[ 認証] を選択します。
    • [ フォームベース認証 ] または [ 401 ベース認証] のいずれかを選択し、認証情報を入力します。

      • [フォームベース認証] で、認証 FQDN(認証サーバの完全修飾ドメイン名)、認証仮想サーバ(認証仮想サーバの IP アドレス)、および認証プロファイル(認証に使用するプロファイル)を入力します。
      • 401 ベースの認証の場合は、認証仮想サーバと認証プロファイルのみを入力します。
    • OK」をクリックします。ステータスバーに、仮想サーバーが正常に構成されたことを示すメッセージが表示されます。

認証、承認、監査の簡素化されたログインプロトコルのサポート

認証、認可、および監査トラフィック管理仮想サーバと認証、認可、および監査仮想サーバ間のログインプロトコルは、クエリパラメータを介して暗号化されたデータを送信するのではなく、内部メカニズムを使用するように簡素化されています。この機能を使用すると、リクエストのリプレイが防止されます。

DNS を構成する

認証プロセスで使用されるドメインセッション Cookie が正しく機能するには、認証とトラフィック管理の両方の仮想サーバーを同じドメイン内の FQDN に割り当てるように DNS を構成する必要があります。DNS アドレスレコードを構成する方法については、「 ドメインネームシステム」を参照してください。

認証仮想サーバーを確認する

認証およびトラフィック管理仮想サーバーを構成した後、ユーザーアカウントを作成する前に、両方の仮想サーバーが正しく構成され、UP 状態であることを確認する必要があります。

CLI を使用した NoAuth 認証の設定

コマンドプロンプトで、次のコマンドを入力します。

show authentication vserver <name>
<!--NeedCopy-->

例:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

GUI を使用して NoAuth 認証を構成する

  1. [ セキュリティ] > [Citrix ADC AAA-アプリケーショントラフィック] > [仮想サーバー] に移動します。 注:Citrix Gateway から、[ Citrix Gateway]>[仮想サーバー]に移動します。
  2. [ AAA Virtual Servers ] ペインの情報を確認して、設定が正しいこと、および認証仮想サーバがトラフィックを受け入れていることを確認します。特定の仮想サーバーを選択して、詳細ペインに詳細情報を表示できます。