ADC

基本認証、ダイジェスト認証、およびNTLM認証でSSOを有効にする

NetScaler機能リリース13.0ビルド64.35以降では、次のSSOタイプがグローバルに無効になっています。

  • ベーシック認証
  • ダイジェストアクセス認証
  • ネゴシエート NTLM2 キーまたはネゴシエートサインなしの NTLM

NetScalerとNetScaler Gatewayのシングルサインオン(SSO)構成は、グローバルレベルでもトラフィックレベルでも有効にできます。デフォルトでは SSO 設定は OFF で、管理者はトラフィックごとに SSO を有効にすることも、グローバルに有効にすることもできます。セキュリティの観点から、 Citrix では管理者にSSOをグローバルにオフにし 、トラフィックごとに有効にすることを推奨しています。この機能拡張は、特定のタイプのSSOメソッドをグローバルに無効にすることにより、SSO構成をより安全にすることです。

StoreFront SSO構成が影響を受ける(無効になる)のは、13.0ビルド64.35の場合のみです。この構成は、今後の 13.0 ビルドでは影響を受けません。

影響を受けない SSO タイプ

次の SSO タイプは、この機能強化の影響を受けません。

  • Kerberos 認証
  • SAML認証
  • フォームベース認証
  • OAuth ベアラ認証
  • ネゴシエート NTLM2 キーまたはネゴシエートサイン付き NTLM

影響を受けるSSO構成

影響を受ける(無効になった)SSO構成は次のとおりです。

グローバル構成

set tmsessionparam -SSO ON
set vpnparameter -SSO ON
add tmsessionaction tm_act -SSO ON
add vpn sessionaction tm_act -SSO ON

あなたはできる enable/disable SSO全体であり、個々のSSOタイプを変更することはできません。

適用すべきセキュリティ対策

セキュリティ対策の一環として、セキュリティに敏感な SSO タイプはグローバル設定では無効になっていますが、トラフィックアクション設定でのみ許可されます。 そのため、バックエンドサーバーがネゴシエートNTLM2キーやネゴシエートサインなしでベーシック、ダイジェスト、またはNTLMを想定している場合、管理者は次の構成でのみSSOを許可できます。

トラフィックアクション

add vpn trafficaction tf_act  http -SSO ON
add tm trafficaction tf_act -SSO ON

交通政策

add tm trafficpolicy <name> <rule> tf_act
add vpn trafficpolicy <name> <rule> tf-act

信頼できるバックエンドサーバーでのみSSOが有効になるように、管理者はトラフィックポリシーに適切なルールを設定する必要があります。

AAA-TM

グローバル構成に基づくシナリオ:

set tmsessionparam -SSO ON

回避方法:

add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol true tf_act

SSO が必要なすべての LB 仮想サーバーに次のトラフィックポリシーをバインドします。

bind lb vserver <LB VS Name> -policy tf_pol -priority 65345

セッションポリシー構成に基づくシナリオ:

add tmsessionaction tm_act -SSO ON
add tmsession policy <name> <rule> tm_act
add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol <same rule as session Policy> tf_act

注意点:

  • 前述のセッションポリシーのNetScaler AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。
  • 次のポリシーを、前のセッションポリシーの負荷分散仮想サーバーにバインドします。 bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
  • 他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。

次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

特定の TM トラフィックには、1 つの TM トラフィックポリシーだけが適用されます。SSO 機能変更のグローバル設定のため、優先度が高い(SSO 設定が必要ない)TM トラフィックポリシーがすでに適用されている場合は、優先度の低い TM トラフィックポリシーを追加で適用できない場合があります。次のセクションでは、このようなケースを確実に処理する方法について説明します。

負荷分散(LB)仮想サーバーには、優先順位の高い次の 3 つのトラフィックポリシーが適用されているとします。

add tm trafficaction tf_act1 <Addition config>
add tm trafficaction tf_act2 <Addition config>
add tm trafficaction tf_act3 <Addition config>

add tm trafficpolicy tf_pol1 <rule1> tf_act1
add tm trafficpolicy tf_pol2 <rule2> tf_act2
add tm trafficpolicy tf_pol3 <rule3> tf_act3

bind lb vserver <LB VS Name> -policy tf_pol1 -priority 100
bind lb vserver <LB VS Name> -policy tf_pol2 -priority 200
bind lb vserver <LB VS Name> -policy tf_pol3 -priority 300

エラーが発生しやすい方法-グローバルSSO構成を解決するには、次の構成を追加します。

add tm trafficaction tf_act_default -SSO ON
add tm trafficpolicy tf_pol_default true tf_act_default

bind lb vserver <LB VS Name> -policy tf_pol_default -priority 65345

注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。

正しい方法-これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.

add tm trafficaction tf_act1 <Addition config> -SSO ON
add tm trafficaction tf_act3 <Addition config> -SSO ON

NetScaler Gateway ケース

グローバル構成に基づくシナリオ:

set vpnparameter -SSO ON

回避方法:

add vpn trafficaction vpn_tf_act http  -SSO ON
add vpn trafficpolicy vpn_tf_pol  true vpn_tf_act

次のトラフィックポリシーを、SSOが必要なすべてのVPN仮想サーバーにバインドします。

bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345

セッションポリシー構成に基づくシナリオ:

add vpn sessionaction vpn_sess_act -SSO ON
add vpnsession policy <name> <rule> vpn_sess_act

注意事項:

  • 前述のセッションポリシーのNetScaler AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。

  • 次のポリシーを、前のセッションポリシーbind lb virtual server [LB VS Name] -policy tf_pol -priority 65345の LB 仮想サーバーにバインドします。

  • 他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

トラフィックに関連する複数のトラフィックポリシーとの競合に基づく機能シナリオ:

特定のNetScaler Gatewayトラフィックには、1つのVPNトラフィックポリシーのみが適用されます。SSO 機能変更のグローバル設定のため、必要な SSO 設定がない優先度の高い VPN トラフィックポリシーが他にある場合は、優先度の低い VPN トラフィックポリシーを追加して適用できない場合があります。

次のセクションでは、このようなケースを確実に処理する方法について説明します。

VPN 仮想サーバには、優先順位の高いトラフィックポリシーが 3 つ適用されているとします。

add vpn trafficaction tf_act1 <Addition config>
add vpn trafficaction tf_act2 <Addition config>
add vpn trafficaction tf_act3 <Addition config>

add vpn trafficpolicy tf_pol1 <rule1> tf_act1
add vpn trafficpolicy tf_pol2 <rule2> tf_act2
add vpn trafficpolicy tf_pol3 <rule3> tf_act3

bind vpn vserver <VPN VS Name> -policy tf_pol1 -priority 100
bind vpn vserver <VPN VS Name> -policy tf_pol2 -priority 200
bind vpn vserver <VPN VS Name> -policy tf_pol3 -priority 300

エラーが発生しやすい方法: グローバルSSO構成を解決するには、次の構成を追加します。

add vpn trafficaction tf_act_default -SSO ON
add vpn trafficpolicy tf_pol_default true tf_act_default

bind vpn vserver <VPN VS Name> -policy tf_pol_default -priority 65345

注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。

正しい方法: これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.

add vpn trafficaction tf_act1 [Additional config] -SSO ON

add vpn trafficaction tf_act3 [Additional config] -SSO ON

GUIを使用してSSOを構成する

  1. [ セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [セッション] に移動し、[ セッションプロファイル ] タブを選択し、[ 追加] をクリックします。

    tmセッションアクション

  2. セッションプロファイルの名前を入力し、「Web アプリケーションへのシングル・サインオン」フィールドの横にある「グローバルオーバーライド」チェックボックスをクリックし、「作成」をクリックします。

    tmセッションアクション

  3. [ セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [セッション] に移動し、[ セッションポリシー ] タブを選択し、[ 追加] をクリックします。

    tmセッションアクション

  4. セッションポリシーの名前を入力し、「 Expression 」フィールドに「True」と入力して、「 作成」をクリックします。

    tmセッションアクション

  5. [ セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [トラフィック] に移動し、[ トラフィックプロファイル ] タブを選択し、[ 追加] をクリックします。

    tmセッションアクション

  6. **トラフィックプロファイルの名前を入力し、 **Single Sign-Onドロップダウンメニューで「ON 」を選択し、「作成」をクリックします。**

    tmセッションアクション

  7. [ **セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [トラフィック] に移動し、[ トラフィックポリシー ] タブを選択し、[追加] をクリックします。**

    tmセッションアクション

  8. トラフィックポリシーの名前を入力し、 Expression フィールドに「True」と入力して、「 Create」をクリックします。

    tmセッションアクション

  9. NetScaler Gateway > グローバル設定に移動し、「グローバル設定の変更**」をクリックします。

    tmセッションアクション

  10. グローバルNetScaler Gateway設定ページで 、「 クライアントエクスペリエンス 」タブを選択し、「 Webアプリケーションへのシングルサインオン 」フィールドをチェックします。

    tmセッションアクション

  11. NetScaler Gateway > ポリシー > セッションに移動し、「セッションプロファイル**」タブを選択し、「追加」をクリックします。**

    tmセッションアクション

  12. NetScaler Gatewayセッションプロファイルの作成ページで 、「 クライアントエクスペリエンス 」タブを選択し、「 Webアプリケーションへのシングルサインオン 」フィールドをチェックします。

    tmセッションアクション

  13. NetScaler Gateway > ポリシー > トラフィックに移動し、[ **トラフィックプロファイル**] タブを選択し、[追加] をクリックします。

    tmセッションアクション

  14. **トラフィックプロファイルの名前を入力し、 **Single Sign-Onドロップダウンメニューで「ON 」を選択し、「作成」をクリックします。**

    tmセッションアクション

  15. NetScaler Gateway > ポリシー > トラフィックに移動し、「トラフィックポリシー」タブを選択し、「 **追加 」をクリックします。**

    tmセッションアクション

  16. NetScaler Gatewayトラフィックポリシーの作成ページで、トラフィックポリシーの名前を入力し、「 **式 」フィールドに「True」と入力して、「作成」をクリックします。**

    tmセッションアクション

基本認証、ダイジェスト認証、およびNTLM認証でSSOを有効にする