Citrix ADC

Citrix ADC SSOを設定する

Citrix ADC SSOは、偽装または委任のいずれかの方法で動作するように構成できます。偽装による SSO は、委任による SSO よりも簡単な設定であるため、通常は、設定によって許可される場合に適しています。偽装によってCitrix ADC SSOを構成するには、ユーザーのユーザー名とパスワードが必要です。

委任によってCitrix ADC SSOを構成するには、ユーザーのユーザー名とパスワード、ユーザー名と暗号化されたパスワードを含むキータブ構成、委任されたユーザー証明書と一致するCA証明書のいずれかの形式で委任されたユーザーの資格情報が必要です。

Citrix ADC SSOを構成するための前提条件

Citrix ADC SSOを構成する前に、Citrix ADCアプライアンスを完全に構成して、Webアプリケーションサーバーへのトラフィックと認証を管理する必要があります。したがって、これらの Web アプリケーションサーバーに対して、負荷分散またはコンテンツの切り替えを構成し、認証、承認、および監査を構成する必要があります。アプライアンス、LDAP サーバー、および Kerberos サーバー間のルーティングも確認する必要があります。

ネットワークがこの方法でまだ設定されていない場合は、次の設定作業を実行します。

  • Web アプリケーションサーバーごとに、サーバーとサービスを構成します。
  • Web アプリケーションサーバーとの間で送受信されるトラフィックを処理するように、トラフィック管理仮想サーバーを設定します。

次に、Citrix ADC コマンドラインからこれらの各タスクを実行するための簡単な手順と例を示します。詳細については、「認証仮想サーバーのセットアップ」を参照してください。

CLIを使用してサーバーとサービスを作成するには

Citrix ADC SSOがサービスのTGS(サービス・チケット)を取得するには、Citrix ADCアプライアンスのサーバー・エンティティに割り当てられたFQDNがWebアプリケーション・サーバーのFQDNと一致するか、サーバー・エンティティ名がWebアプリケーション・サーバーのNetBios名と一致する必要があります。次のいずれかの方法を使用できます。

  • WebアプリケーションサーバーのFQDNを指定して、Citrix ADCサーバーエンティティを構成します。
  • WebアプリケーションサーバーのIPアドレスを指定してCitrix ADCサーバーエンティティを構成し、WebアプリケーションサーバーのNetBios名と同じ名前をサーバーエンティティに割り当てます。

コマンドプロンプトで、次のコマンドを入力します。

-  add server name <serverFQDN>

-  add service name serverName serviceType port

変数の場合は、次の値を置き換えます。

  • serverName。このサーバーを参照するために使用するCitrix ADCアプライアンスの名前。
  • serverFQDN。サーバーの FQDN。サーバーにドメインが割り当てられていない場合は、サーバーの IP アドレスを使用し、サーバーエンティティ名が Web アプリケーションサーバーの NetBios 名と一致していることを確認します。
  • serviceName。このサービスを参照するために使用するCitrix ADCアプライアンスの名前。
  • type。サービスによって使用されるプロトコル(HTTP または MSSQLSVC)。
  • port。サービスがリッスンするポート。HTTP サービスは通常、ポート 80 でリッスンします。セキュリティで保護された HTTPS サービスは、通常、ポート 443 でリッスンします。

例:

次の例では、Webアプリケーションサーバーwas1.example.comのCitrix ADCアプライアンスにサーバーエントリとサービスエントリを追加します。1 番目の例では、Web アプリケーションサーバーの FQDN を使用し、2 番目の例では IP アドレスを使用します。

Web アプリケーションサーバー FQDN was1.example.com を使用してサーバーとサービスを追加するには、次のコマンドを入力します。

add server was1 was1.example.com
add service was1service was1 HTTP 80

Web アプリケーションサーバーの IP と NetBios 名を使用してサーバーとサービスを追加するには、Web アプリケーションサーバーの IP が 10.237.64.87 で、NetBios 名が WAS1 である場合は、次のコマンドを入力します。

add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 8

CLIを使用してトラフィック管理仮想サーバーを作成するには

トラフィック管理仮想サーバは、クライアントと Web アプリケーションサーバ間のトラフィックを管理します。トラフィック管理サーバーとして、負荷分散またはコンテンツスイッチング仮想サーバーを使用できます。SSO の設定は、どちらのタイプでも同じです。

負荷分散仮想サーバーを作成するには、コマンドプロンプトで次のコマンドを入力します。

add lb vserver <vserverName> <type> <IP> <port>

変数の場合は、次の値を置き換えます。

  • vserverName:この仮想サーバーを参照するために使用するCitrix ADCアプライアンスの名前。
  • type:サービスによって使用されるプロトコル(HTTP または MSSQLSVC)。
  • [IP]:仮想サーバに割り当てられた IP アドレス。これは通常、LAN 上の IANA で予約された、非パブリック IP アドレスです。
  • port:サービスがリッスンするポート。HTTP サービスは通常、ポート 80 でリッスンします。セキュリティで保護された HTTPS サービスは、通常、ポート 443 でリッスンします。

例:

tmvserver1 という負荷分散仮想サーバーを、ポート 80 の HTTP トラフィックを管理する構成に追加し、LAN IP アドレス 10.217.28.20 を割り当ててから、負荷分散仮想サーバーを wasservice1 サービスにバインドするには、次のコマンドを入力します。

add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1

CLIを使用して認証仮想サーバーを作成するには

認証仮想サーバは、クライアントと認証(LDAP)サーバ間の認証トラフィックを管理します。認証仮想サーバーを作成するには、コマンドプロンプトで次のコマンドを入力します。

add authentication vserver <authvserverName> SSL <IP> 443

変数の場合は、次の値を置き換えます。

  • authvserverName :この認証仮想サーバーを参照するために使用するCitrix ADCアプライアンスの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。rename authentication vserver コマンドを使用して、認証仮想サーバを追加した後に変更できます。
  • [IP]:認証仮想サーバに割り当てられた IP アドレス。トラフィック管理仮想サーバと同様に、このアドレスは通常、LAN 上の IANA 予約済みで非パブリック IP になります。
  • domain:仮想サーバに割り当てられたドメイン。これは通常、ネットワークのドメインです。認証仮想サーバーを構成するときは、すべての大文字でドメインを入力することが通例ですが、必須ではありません。

例:

authver1 という名前の認証仮想サーバーを構成に追加し、LAN IP 10.217.28.21 とドメイン EXAMPLE.COM を割り当てるには、次のコマンドを入力します。

add authentication vserver authvserver1 SSL 10.217.28.21 443

認証プロファイルを使用するようにトラフィック管理仮想サーバを構成するには

認証仮想サーバーは、単一のドメインまたは複数のドメインの認証を処理するように構成できます。複数のドメインの認証をサポートするように構成されている場合は、認証プロファイルを作成し、その認証プロファイルを使用するようにトラフィック管理仮想サーバーを構成して、Citrix ADC SSOのドメインも指定する必要があります。

トラフィック管理仮想サーバは、負荷分散(lb)またはコンテンツスイッチング(cs)仮想サーバのいずれかになります。次の手順では、負荷分散仮想サーバーを使用していることを前提としています。コンテンツスイッチング仮想サーバを設定するには、単に set cs vserver を set lb vserver に置き換えます。それ以外の場合は手順は同じです。

認証プロファイルを作成し、トラフィック管理仮想サーバーで認証プロファイルを構成するには、次のコマンドを入力します。

-  add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
-  set lb vserver <vserverName> -authnProfile <authnprofileName>

変数の場合は、次の値を置き換えます。

  • authnprofileName:認証プロファイルの名前。文字、数字、またはアンダースコア文字(_)で始まり、英数字またはハイフン(-)、ピリオド(.)ポンド(#)、スペース()、アットマーク(@)、等しい(=)、コロン(:)、およびアンダースコア文字で構成されている必要があります。
  • authvserverName:このプロファイルが認証に使用する認証仮想サーバの名前。
  • authenticationHost:認証仮想サーバのホスト名。
  • authenticationDomain:Citrix ADC SSO が認証を処理するドメイン。認証仮想サーバーが複数のドメインに対して認証を実行する場合、Citrix ADCアプライアンスがトラフィック管理仮想サーバーのCookieを設定するときに正しいドメインが含まれるようにする必要があります。

例:

example.com ドメインの認証用に authnProfile1 という名前の認証プロファイルを作成し、認証プロファイル authnProfile1 を使用するように負荷分散仮想サーバー vserver1 を構成するには、次のコマンドを入力します。

add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
     -authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
Citrix ADC SSOを設定する