Citrix ADC

ユーザー ID 管理

セキュリティ侵害の増加とモバイルデバイスの人気の高まりにより、外部インターネットの使用が企業ポリシーに準拠していることを確認する必要性が強調されています。企業担当者がプロビジョニングした外部リソースへのアクセスを許可されるのは、承認されたユーザーのみです。ID 管理は、個人またはデバイスの ID を検証することによって可能にします。これは、個人が取ることができるタスクや個人が参照できるファイルを決定するものではありません。

SSL フォワードプロキシ展開は、インターネットへのアクセスを許可する前にユーザを識別します。ユーザーからのすべての要求と応答が検査されます。ユーザーアクティビティはログに記録され、レコードはレポート用にCitrix Application Delivery Management(ADM)にエクスポートされます。Citrix ADMでは、ユーザーのアクティビティ、トランザクション、帯域幅消費に関する統計を表示できます。

デフォルトでは、ユーザの IP アドレスのみが保存されますが、ユーザの詳細を記録するように機能を設定できます。この ID 情報を使用して、特定のユーザーに対してより豊富なインターネット使用ポリシーを作成できます。

Citrix ADCアプライアンスは、明示的なプロキシ構成に対して次の認証モードをサポートしています。

  • Lightweight Directory Access Protocol (LDAP). 外部 LDAP 認証サーバーを介してユーザーを認証します。詳細については、「 LDAP 認証ポリシー」を参照してください。
  • RADIUS. 外部 RADIUS サーバーを介してユーザを認証します。詳細については、「 RADIUS 認証ポリシー」を参照してください。
  • TACACS+. 外部ターミナルアクセスコントローラアクセスコントロールシステム (TACACS) 認証サーバを介してユーザを認証します。詳細については、「 認証ポリシー」を参照してください。
  • Negotiate. Kerberos 認証サーバを介してユーザを認証します。Kerberos認証でエラーが発生した場合、アプライアンスはNTLM認証を使用します。詳細については、「 認証ポリシーのネゴシエート」を参照してください。

透過プロキシの場合、IPベースのLDAP認証のみがサポートされます。クライアント要求を受信すると、プロキシは Active Directory 内のクライアント IP アドレスのエントリをチェックして、ユーザを認証します。次に、ユーザ IP アドレスに基づいてセッションを作成します。ただし、LDAP アクションで ssonameAttribute を設定すると、IP アドレスの代わりにユーザー名を使用してセッションが作成されます。従来のポリシーは、トランスペアレントプロキシセットアップでの認証ではサポートされていません。

明示的なプロキシの場合は、LDAP ログイン名を samAccountNameに設定する必要があります。トランスペアレントプロキシの場合は、LDAP ログイン名を networkAddress に設定し、属性 1 を sAMAccountNameに設定する必要があります。

明示的なプロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

透過プロキシの例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

CLI を使用してユーザ認証をセットアップする

コマンドプロンプトで次のように入力します。

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

引数:

Vserver name:

ポリシーをバインドする認証仮想サーバの名前。

最大長:127

serviceType:

認証仮想サーバーのプロトコルタイプ。常にSSL。

可能な値:SSL

デフォルト値:SSL

Action name:

新しい LDAP アクションの名前。文字、数字、またはアンダースコア文字(_)で始まり、文字、数字、ハイフン(-)、ピリオド(.)ポンド(#)、スペース()、アットマーク(@)、等号(=)、コロン(:)、およびアンダースコア文字のみを含める必要があります。LDAP アクションが追加された後は変更できません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証アクション」や「認証アクション」など)。

最大長:127

serverIP:

LDAP サーバに割り当てられた IP アドレス。

ldapBase:

LDAP 検索を開始するベース (ノード)。LDAPサーバーがローカルで実行されている場合、baseのデフォルト値はdc =netscaler、 dc=com. 最大長:127

ldapBindDn:

LDAP サーバーへのバインドに使用される完全識別名 (DN)。

デフォルト:cn=manager、dc=netscaler、dc=com

最大長:127

ldapBindDnPassword:

LDAP サーバーへのバインドに使用するパスワード。

最大長:127

ldapLoginName:

LDAP ログイン名属性。Citrix ADCアプライアンスは、LDAPログイン名を使用して、外部LDAPサーバーまたはアクティブディレクトリを照会します。最大長:127

Policy name:

高度な認証ポリシーの名前。文字、数字、またはアンダースコア文字(_)で始まり、文字、数字、ハイフン(-)、ピリオド(.)ポンド(#)、スペース()、アットマーク(@)、等号(=)、コロン(:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証ポリシー」や「認証ポリシー」など)。

最大長:127

rule:

AUTHENTICATION サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用するルールの名前、または高度なポリシー式。

最大長:1499

action:

ポリシーが一致した場合に実行される認証アクションの名前。

最大長:127

priority:

ポリシーのプライオリティを指定する正の整数。数字が小さいほど、プライオリティが高くなります。ポリシーは、優先順位の順に評価され、リクエストに一致する最初のポリシーが適用されます。認証仮想サーバにバインドされたポリシーのリスト内で一意である必要があります。

最小値:0

最大値:4294967295

:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

CLI を使用してユーザー名ロギングを有効にする

コマンドプロンプトで入力します。

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

引数:

AAAAUserName

AppFlow 認証、承認、および監査ユーザー名ロギングを有効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値: 無効

:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
ユーザー ID 管理