認証仮想サーバー
トラフィック管理仮想サーバー(負荷分散またはコンテンツスイッチング)は、すべての認証要求を認証仮想サーバーにリダイレクトします。この仮想サーバは、関連付けられた認証ポリシーを処理し、それに応じてアプリケーションへのアクセスを提供します。
注: トラフィック管理ポリシーを認証、承認、および監査仮想サーバーにバインドすることはできません。
認証仮想サーバーをセットアップする
認証仮想サーバーのセットアップに関連する手順は次のとおりです。
-
認証、認可、および監査機能を有効にします。
`
enable ns feature AAA`` -
認証仮想サーバを設定します。タイプはSSLである必要があり、SSL証明書とキーのペアを仮想サーバーにバインドするようにしてください。
add authentication vserver <name> SSL <ipaddress> <port> bind ssl certkey <auth-vserver-name> <certkey> -
認証仮想サーバーのドメインの FQDN を指定します。
set authentication vserver <name> -authenticationDomain <FQDN> -
認証仮想サーバを、関連するトラフィック管理仮想サーバに関連付けます。
注意事項:
- ドメインセッション cookie が正しく機能するためには、トラフィック管理仮想サーバの FQDN が、認証仮想サーバの FQDN と同じドメインにある必要があります。トラフィック管理仮想サーバで、次の手順を実行します。
- 認証を有効にします。
- トラフィック管理仮想サーバの認証ホストとして、認証仮想サーバの FQDN を指定します。
- [オプション]トラフィック管理仮想サーバの認証ドメインを指定します。
- 認証ドメインを構成しない場合、アプライアンスは、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。例えば、場合には、認証仮想サーバのドメイン名は、認証ドメインとして tm.xyz.bar.com、アプライアンス割り当て xyz.bar.com です。
- 負荷分散の場合:
set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]- コンテンツスイッチングの場合:
set cs vserver <name> <protocol> <IPAddress> <port>
- 認証ドメインにドメイン全体のCookieを設定する必要がある場合は、負荷分散仮想サーバーで認証プロファイルを有効にする必要があります。
- ドメインセッション cookie が正しく機能するためには、トラフィック管理仮想サーバの FQDN が、認証仮想サーバの FQDN と同じドメインにある必要があります。トラフィック管理仮想サーバで、次の手順を実行します。
-
両方の仮想サーバが稼動していて、正しく設定されていることを確認します。
show authentication vserver <name>
GUI を使用して認証仮想サーバーをセットアップするには
-
認証、認可、および監査機能を有効にします。
[システム] > [設定] に移動し、[基本機能の構成] をクリックして 、認証、承認、監査を有効にします。
-
認証仮想サーバを設定します。
Security > AAA - Application Traffic > Virtual Serversに移動して、必要に応じて構成します。
-
認証用にトラフィック管理仮想サーバを設定します。
-
負荷分散の場合:
Traffic Management > Load Balancing > Virtual Serversに移動して必要に応じて仮想サーバーを構成します。
-
コンテンツスイッチングの場合:
Traffic Management > Content Switching > Virtual Serversに移動して、必要に応じて仮想サーバーを構成します。
-
-
-
認証の設定を確認します。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、関連する認証仮想サーバの詳細を確認します。
-
認証仮想サーバーを構成します
認証、認可、および監査を構成するには、まず認証トラフィックを処理するように認証仮想サーバーを構成します。次に、SSL 証明書とキーのペアを仮想サーバーにバインドして、SSL 接続を処理できるようにします。 SSL の設定と証明書とキーペアの作成の詳細については、SSL 証明書を参照してください。
CLIを使用して認証仮想サーバーを構成します
認証仮想サーバーを構成して構成を確認するには、コマンドプロンプトで次のコマンドを同じ順序で入力します。
dd authentication vserver <name> ssl <ipaddress>
show authentication vserver <name>
bind ssl certkey <certkeyName>
show authentication vserver <name>
set authentication vserver <name>
show authentication vserver <name>
例:
add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
注:
認証ドメインパラメーターは非推奨です。ドメイン全体のクッキーを設定するには、認証プロファイルを使用します。
GUIを使用して認証仮想サーバーを構成する
- Security > AAA - Application Traffic > Virtual Serversに移動します。
-
詳細ウィンドウで、次のいずれかの操作を行います。
- 新しい認証仮想サーバーを作成するには、[追加] をクリックします。
- 既存の認証仮想サーバーを変更するには、仮想サーバーを選択し、[編集] をクリックします。[基本設定] 領域を展開した状態で、[構成] ダイアログが開きます。
-
パラメータの値を次のように指定します (アスタリスクは必須パラメータを示します)。
- 名前*—name (以前に作成した仮想サーバーでは変更できません)
- IPアドレス Type*—IP 認証仮想サーバーのアドレスタイプ
- [IP Address*]:認証仮想サーバの IP アドレス
- [Port*]:仮想サーバが接続を受け付ける TCP ポート。
- ログインタイムアウトの失敗-failedLoginTimeout(ログインが失敗するまでの秒数。ユーザーはログインプロセスを再開する必要があります。)
- 最大ログイン試行回数:maxLoginAttempts(ユーザーがロックアウトされるまでに許可されるログイン試行回数)
注:
認証仮想サーバーはSSLプロトコルとポート443のみを使用するため、これらのオプションはグレー表示されます。言及されていないオプションは無視できます。
- [続行] をクリックして、[証明書] 領域を表示します。
-
[証明書] 領域で、この仮想サーバーで使用する SSL 証明書を構成します。
- CA 証明書を構成するには、[CA 証明書] の右側にある矢印をクリックして [CA Cert Key] ダイアログボックスを表示し、この仮想サーバーにバインドする証明書を選択して [保存] をクリックします。
- サーバー証明書を構成するには、サーバー証明書の右側にある矢印をクリックし、CA証明書の場合と同じプロセスに従います。
- [続行] をクリックして、[高度な認証ポリシー] 領域を表示します。
- 高度な認証ポリシーを仮想サーバーにバインドする場合は、行の右側にある矢印をクリックして [認証ポリシー] ダイアログボックスを表示し、サーバーにバインドするポリシーを選択し、優先順位を設定して [OK] をクリックします。
- [続行] をクリックして、[基本認証ポリシー] 領域を表示します。
- 基本認証ポリシーを作成して仮想サーバにバインドする場合は、プラス記号をクリックして [Policies] ダイアログ・ボックスを表示し、プロンプトに従ってポリシーを構成し、この仮想サーバにバインドします。
- [続行] をクリックして、401ベースの仮想サーバー領域を表示します。
-
[401 ベースの仮想サーバー] 領域で、この仮想サーバーにバインドする負荷分散またはコンテンツスイッチ仮想サーバーを構成します。
- 負荷分散仮想サーバーをバインドするには、負荷分散仮想サーバーの右側にある矢印をクリックして[負荷分散仮想サーバー]ダイアログボックスを表示し、プロンプトに従います。
- コンテンツスイッチング仮想サーバーをバインドするには、コンテンツスイッチング仮想サーバーの右側にある矢印をクリックして[コンテンツスイッチング仮想サーバー]ダイアログボックスを表示し、LB仮想サーバーをバインドするのと同じプロセスに従います。
- グループを作成または設定する場合は、[グループ] 領域で矢印をクリックして [グループ] ダイアログボックスを表示し、プロンプトに従います。
- 設定を確認し、完了したら、[完了] をクリックします。ダイアログボックスが閉じます。新しい認証仮想サーバを作成した場合は、そのサーバが [Configuration] ウィンドウのリストに表示されます。
トラフィック管理仮想サーバー
認証仮想サーバーを作成および構成したら、次にトラフィック管理仮想サーバーを作成または構成し、認証仮想サーバーをそれに関連付けます。トラフィック管理仮想サーバーには、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。 いずれかのタイプの仮想サーバーの作成と構成の詳細については、トラフィック管理の「Citrix トラフィック管理ガイド」を参照してください 。
注:
ドメインセッションCookieが正しく機能するには、トラフィック管理仮想サーバーのFQDNが認証仮想サーバーのFQDNと同じドメインにある必要があります。
認証を有効にし、認証サーバの FQDN をトラフィック管理仮想サーバに割り当てることで、認証、認可、および監査用にトラフィック管理仮想サーバを設定します。現在、トラフィック管理仮想サーバーで認証ドメインを構成することもできます。このオプションを構成しない場合、Citrix ADCアプライアンスは、トラフィック管理仮想サーバーに、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。たとえば、認証仮想サーバーのドメイン名がtm.xyz.bar.comの場合、アプライアンスはxyz.bar.comを割り当てます。認証ドメインとして。
CLIを使用してトラフィック管理仮想サーバーを構成するには
コマンドプロンプトで、次のいずれかのコマンドセットを入力します。
set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
例:
set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done
show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
GUIを使用してトラフィック管理仮想サーバーを構成するには
-
ナビゲーションペインで、次のいずれかの操作を行います。
- Traffic Management > Load Balancing > Virtual Serversに移動します。
- [トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
- 詳細ウィンドウで、認証を有効にする仮想サーバーを選択し、[編集] をクリックします。
- 「ドメイン」テキスト・ボックスに、認証ドメインを入力します。
- 右側の [詳細設定] メニューで、[認証] を選択します。
-
[フォームベース認証] または [401 ベース認証] のいずれかを選択し、認証情報を入力します。
- フォームベース認証の場合は、認証FQDN(認証サーバーの完全修飾ドメイン名)、認証仮想サーバー(認証仮想サーバーのIPアドレス)、および認証プロファイル(認証に使用するプロファイル)を入力します。
- 401ベースの認証の場合は、認証仮想サーバーと認証プロファイルのみを入力します。
- [OK] をクリックします。仮想サーバーが正常に構成されたことを示すメッセージがステータスバーに表示されます。
認証、承認、監査のためのシンプルなログインプロトコルのサポート
認証、認可、および監査トラフィック管理仮想サーバと認証、認可、監査仮想サーバ間のログインプロトコルは、クエリパラメータを使用して暗号化されたデータを送信するのではなく、内部メカニズムを使用するように簡略化されます。この機能を使用すると、リクエストの再生が防止されます。
DNSを構成する
認証プロセスで使用されるドメインセッション Cookie が正しく機能するには、認証とトラフィック管理の両方の仮想サーバーを同じドメイン内の FQDN に割り当てるように DNS を構成する必要があります。DNS アドレスレコードを設定する方法については、ドメインネームシステムを参照してください。
認証仮想サーバーを確認する
認証およびトラフィック管理仮想サーバーを構成した後、ユーザーアカウントを作成する前に、両方の仮想サーバーが正しく構成され、UP状態にあることを確認する必要があります。
CLIを使用してnoAuth認証を構成します
コマンドプロンプトで、次のコマンドを入力します。
show authentication vserver <name>
例:
show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
GUIを使用してnoAuth認証を構成します
- Security > Citrix ADC AAA - Application Traffic > Virtual Serversに移動します。 注:Citrix Gatewayから、Citrix Gateway > Virtual Serversに移動します。
- AAA Virtual Servers ペインの情報を確認して、設定が正しく、認証仮想サーバがトラフィックを受け入れていることを確認します。特定の仮想サーバーを選択して、詳細情報を詳細ウィンドウに表示できます。