Citrix Application Delivery Management

認証

2018年5月24日

ユーザーは、Citrix Application Delivery Management(ADM)による内部認証、認証サーバーによる外部認証、またはその両方で認証できます。ローカル認証を使用する場合、ユーザーはCitrix ADM セキュリティデータベースに存在する必要があります。ユーザーを外部認証する場合は、選択した認証プロトコルに応じて、そのユーザーの「外部名」が、認証サーバーに登録された外部ユーザーIDと一致する必要があります。

Citrix ADMは、RADIUS、LDAP、およびTACACSプロトコルによる外部認証をサポートしています。この統合されたサポート機能により、システムにアクセスしているローカルと外部のAAA(Authentication, Authorization, and Accounting)サーバーユーザーすべてを共通のインターフェイスから認証、承認できます。Citrix ADM では、システムとの通信に使用する実際のプロトコルに関係なく、ユーザーを認証できます。ユーザーが外部認証用に構成されたCitrix ADM実装にアクセスしようとすると、要求されたアプリケーションサーバーは、認証のためにユーザー名とパスワードを RADIUS、LDAP、またはTACACSサーバーに送信します。認証が成功すると、対応するプロトコルを使用してCitrix ADMでユーザーを識別します。

Citrix ADM でユーザーを認証するには、次の2つの方法があります。

  • Citrix ADMローカルサーバーを使用する
  • 外部認証サーバーの使用

次のフローチャートは、ローカルユーザまたは外部ユーザを認証するときに従うワークフローを示しています。

ローカライズされた画像

外部認証サーバの構成

Citrix ADMは、外部認証、承認、アカウンティング(AAA)サービスを提供するさまざまなプロトコルをサポートしています。

Citrix ADMは、すべての認証、承認、アカウンティング(AAA)サービス要求をリモートRADIUS、LDAP、またはTACACS+サーバーに送信します。リモートAAAサーバーは要求を受信し、要求を検証し、応答をCitrix ADMに返信します。認証にリモートRADIUS、TACACS+、またはLDAPサーバーを使用するように構成すると、Citrix ADMはRADIUS、TACACS+、またはLDAPクライアントになります。これらのいずれの構成でも、認証記録はリモートホストサーバーのデータベースに格納されます。ログインとログアウトのアカウント名、割り当てられた権限、およびタイムアカウンティング(time-accounting)の記録もユーザーごとにAAAサーバーに格納されます。

さらに、Citrix ADM 内部データベースを使用して、ローカルでユーザーを認証することもできます。ユーザーとそのパスワード、およびデフォルトの役割のエントリをデータベースに作成します。特定の種類の認証用に、サーバーグループを作成することもできます。サーバーグループ内のサーバーの一覧は、順番付きの一覧です。一覧の1番目のサーバーが使用できる場合は常にこのサーバーが使用され、使用できない場合は一覧の2番目のサーバーが使用されます。グループ内に異なる種類のサーバーを構成できるほか、内部データベースを認証バックアップのフォールバックとして、AAAサーバーの構成一覧に含めることができます。

RADIUS 認証サーバの構成

1つ以上のRADIUSサーバーでユーザーアクセスを認証するようにCitrix ADMを構成できます。構成には、ネットワークアクセスサーバーのIP(NAS IP)アドレス、またはネットワークアクセスサーバー識別子(NAS ID)の使用が必要な場合があります。RADIUS 認証サーバーを使用するようにCitrix ADMを構成する場合は、次のガイドラインに従います。NAS IPアドレスを使用可能にすると、アプライアンスはRADIUS接続の確立に使用されるソースIPアドレスを送信するのではなく、構成済みのIPアドレスをRADIUSサーバーに送信します。

  • NAS IDを構成すると、アプライアンスはRADIUSサーバーにこの識別子を送信します。NAS IDを構成しないと、アプライアンスはRADIUSサーバーにホスト名を送信します。
  • NAS IPアドレスを有効にすると、アプライアンスは構成されるすべてのNAS IDを無視して、RADIUSサーバーとの通信にNAS IPを使用します。

RADIUS 認証サーバを設定するには、次の手順を実行します。

  1. Citrix ADMで、[ システム ]>[ 認証 ]>[ RADIUS]の順に移動します。

  2. [ RADIUS ] ページで、[ 追加] をクリックします。

  3. RADIUS サーバの作成 ]ページで、パラメータを設定し、[ 作成 ]をクリックして、サーバを RADIUS 認証サーバのリストに追加します。次のパラメーターを必ず設定する必要があります。

    1. 名前。RADIUSサーバーの名前。

    2. サーバ名/ IPアドレスRADIUS サーバのサーバ名または IP アドレス。

    3. ポート。デフォルトでは、RADIUS認証には、ポート1812が使用されます。必要に応じて、別のポート番号を指定できます。

    4. タイムアウト (秒)。Citrix ADMシステムがRADIUSサーバーからの応答を待機する時間(秒)。

    5. 秘密鍵。任意の英数字の式。これは、通信を有効にするためにCitrix ADMとRADIUSサーバー間で共有されるキーです。

  4. [ 詳細 ] をクリックしてセクションを展開し、追加のパラメータを設定し、[ 作成] をクリックします。

RADIUS サーバを追加する方法の詳細については、 RADIUS 認証サーバを追加する方法

LDAP 認証サーバの構成

1つ以上のLDAPサーバーでユーザーアクセスを認証するようにCitrix ADMを構成できます。LDAP認証には、Active Directory、LDAPサーバー、およびCitrix ADMで同じグループ名が必要です。グループ名は、大文字小文字の使い分けを含め、一字一句正確に一致させる必要があります。

LDAP 認証サーバを設定するには、次の手順を実行します。

  1. Citrix ADMで、[ システム ]>[ 認証 ]>[ LDAP]に移動します。

  2. [LDAP] ページで、[追加] をクリックします。

  3. [ LDAP サーバーの作成 ] ページで、パラメーターを設定し、[ 作成 ] をクリックして LDAP 認証サーバーの一覧にサーバーを追加します。次のパラメーターを必ず設定する必要があります。

    1. 名前。LDAPサーバーの名前。

    2. サーバ名/ IPアドレスLDAP サーバのサーバ名または IP アドレス。

    3. セキュリティタイプ。システムとLDAPサーバー間で必要な通信の種類です。ドロップダウンの一覧から選択します。平文通信が適切でない場合は、Transport Layer Security(TLS)またはSSLを選択することで暗号化通信を選択できます。

    4. ポート。デフォルトでは、LDAP認証にはポート389が使用されます。必要に応じて、別のポート番号を指定できます。

    5. サーバの種類。LDAP サーバーのタイプとして、 Active Directory (AD)または Novell ディレクトリサービス (NDS) を選択します。

    6. タイムアウト (秒)。Citrix ADMシステムがLDAPサーバーからの応答を待機する時間(秒)。

追加の詳細情報を入力できます。[LDAP 証明書の検証] チェックボックスをオンにし、 証明書に入力するホスト名を指定することで、LDAP 証明書を検証することもできます 。追加パラメーターとして、ディレクトリサービスに対するクエリのドメインネームサーバー(DN)の詳細、デフォルトの認証グループ、グループの属性、その他の属性などがあります。

通常は、バインド識別名からユーザー名を除き、ユーザーが属するグループ名を指定したものが基本識別名になります。[Administrator Bind DN]テキストボックスに、LDAPディレクトリのクエリで使用する管理者のバインド識別名を入力します。

基本識別名の構文の例を次に示します。

  • ou=users,dc=ace,dc=com

  • cn=Users,dc=ace,dc=com

バインド識別名の構文の例を次に示します。

  • domain/user name

  • ou=administrator,dc=ace,dc=com

  • user@domain.name(Active Directoryの場合)

  • cn=Administrator,cn=Users,dc=ace,dc=com

Citrix ADMで定義するグループ名とユーザー名は、LDAPサーバー上で構成されているものと類似している必要があります。

RADIUS サーバまたは LDAP サーバの設定時に、[ Details ] セクションにデフォルトの認証グループの名前を入力できます。ユーザーがグループに関連付けられているかどうかに関係なく認証が成功した場合には、ユーザーの承認にこのデフォルトのグループが選択されます。このグループに割り当てられているかどうかに基づいて、ユーザーはこのデフォルトのグループとその他のグループで構成された権限の組み合わせを受け取ります。

LDAP サーバーを追加する方法の詳細については、」 LDAP 認証サーバを追加する方法。

外部認証サーバーをカスケードする方法について詳しくは、 外部認証サーバーをカスケードする方法。

TACACS 認証サーバの設定

TACACSは、RADIUSおよびLDAPと同様に、ネットワークアクセスのリモート認証サービスを処理します。

TACACS 認証サーバを設定します。

  1. Citrix ADMで、[ システム ]>[ 認証 ]>[ TACACS]の順に選択します。

  2. [ TACACS ] ページで、[ 追加] をクリックします。

  3. [ TACACS サーバーの作成 ] ページで、次の詳細を入力します。

    1. TACACSサーバーの名前

    2. TACACSサーバーのIPアドレス

    3. ポートおよびタイムアウト(秒)

    4. システムとTACACSサーバーが互いに通信するために共有するキー。

    5. アプライアンスでTACACSサーバに監査情報を記録する場合は、[ アカウンティング ] を選択します。

  4. [作成] をクリックします。

TACACS サーバを追加する方法の詳細については、 TACACS 認証サーバを追加する方法

Citrix ADMに追加された認証サーバーを検索するには、検索バーのをクリックし、必要な検索条件を選択します。

ローカライズされた画像

Citrix ADMでユーザーのローカル認証を構成する

ローカル認証を使用している場合は、ユーザーを作成し、Citrix ADMで作成したグループに追加します。ユーザーとグループを構成したら、承認およびセッションポリシーを適用し、ブックマークを作成し、アプリケーションを指定し、ユーザーがアクセスできるファイル共有とサーバーのIPアドレスを指定できます。

Citrix ADMでローカル認証を構成するには:

  1. Citrix ADMで、[ システム ]>[ 認証]の順に選択し、認証構成]をクリックします。

  2. 認証の構成 ]ページで、[ サーバの種類 ]ドロップダウン・ボックスから[ ローカル ]を選択し、 [OK]をクリックします。

Citrix ADMで外部認証を構成する

Citrix ADMで外部認証サーバーを構成すると、それらの外部サーバーで認証されたユーザーグループがCitrix ADMにインポートされます。Citrix ADMでユーザーを作成する必要はありません。ユーザーは、Citrix ADMから外部サーバーで管理されます。ただし、外部認証サーバーに対するユーザーグループのアクセス許可レベルは、Citrix ADMで維持されていることを確認する必要があります。Citrix ADMは、特定の負荷分散仮想サーバーおよびシステム上の特定のアプリケーションにアクセスするためのグループ権限を割り当てることにより、ユーザーの承認を実行します。認証サーバーが後でシステムから削除されると、グループとユーザーは自動的にシステムから削除されます。

Citrix ADMで外部認証を構成するには:

  1. Citrix ADMで、[ システム ]>[ 認証]の順に選択し、[ 認証構成]をクリックします。

  2. [ 認証構成 ] ページで、[ サーバーの種類 ] ドロップダウンリストから [ 外部 ] を選択します。

  3. [ 挿入] をクリックします。

  4. [ 外部サーバー ] ページで、認証サーバーを選択します。必要に応じて、カスケードする認証サーバーを複数選択できます。

    カスケードできるのは、外部サーバだけです。

  5. 外部認証が失敗した場合にローカル認証を引き継ぎたい場合は、[フォールバックローカル認証を有効にする ] を選択します。

  6. [ OK ] をクリックしてページを閉じます。

    選択したサーバーが [ 認証サーバー ] ページに表示されます。

    サーバー名の横にあるアイコンを操作し、サーバーを一覧中で上下に移動して、認証の順番を指定することもできます。

Citrix ADMでグループを構成する

Citrix ADM では、グループを作成してユーザーをグループに追加することで、ユーザーを認証および承認できます。グループは「管理者」または「読み取り専用」のいずれかの権限を持ち、グループ内のすべてのユーザーが同じ権限を受け取ります。

Citrix ADMでは、グループは同様の権限を持つユーザーの集合として定義されます。グループは1つまたは複数の役割を持つことができます。ユーザーは、割り当てられた権限に基づくアクセス権を持つエンティティとして定義されます。ユーザーは、1つまたは複数のグループに所属できます。

Citrix ADM でローカルグループを作成し、グループ内のユーザーに対してローカル認証を使用できます。認証に外部サーバーを使用している場合は、内部ネットワークの認証サーバーで構成されたグループと一致するようにCitrix ADM グループを構成します。ユーザーがログオンして認証されると、グループ名が認証サーバー上のグループと一致すると、ユーザーはCitrix ADM でそのグループの設定を継承します。

グループを構成したら、承認およびセッションポリシーを適用し、ブックマークを作成し、アプリケーションを指定し、ユーザーがアクセスできるファイル共有とサーバーのIPアドレスを指定できます。

ローカル認証を使用している場合は、ユーザーを作成し、Citrix ADM上で構成されているグループに追加します。ユーザーはこれらのグループの設定を継承します。

ユーザーがActive Directory グループのメンバーである場合、Citrix ADM上のグループの名前とユーザーの名前は、Active Directory グループと同じである必要があります。

Citrix ADMでユーザーグループを構成するには:

  1. Citrix ADM で、[ システム ]>[ ユーザー管理 ]>[ グループ]に移動します。

  2. [ グループ ] ページで、[ 追加 ] をクリックしてグループを作成します。デフォルトでは、Citrix ADMで2つのグループが作成され、権限は管理者と読み取り専用に設定されます。これらのグループにユーザーを追加できるほか、ユーザーのために別のグループを作成することもできます。

  3. [ システムグループの作成] ページの [グループ設定] タブで、グループの名前を入力し 、[ ロール ] を [管理者] または [読み取り専用] に設定します。[ Configure User Session Timeout ] を選択して、そのグループにログインしているユーザセッションのタイムアウト制限を設定できます。

    Citrix ADMで作成されたユーザーグループの名前が、外部認証サーバーと同じであることを確認します。ユーザーグループの名前が正確に一致していないと、グループが認識されないので、グループメンバーの抽出とシステムへの取り込みが行われません。

  4. [ 承認設定 ] タブで、必要なグループを選択します。[Create Group] をクリックします。

  5. [ ユーザーの割り当て ] タブで、グループに追加するユーザーを選択します。Citrix ADMでのユーザーの構成でユーザを設定すると、ユーザがこのテーブルに追加されます。

  6. [完了] をクリックします。

システムでグループの作成が完了すると、外部認証サーバー内のすべてのユーザーが抽出され、システムに取り込まれます。グループ名が外部認証サーバーのグループ名と同じ場合、ユーザーは、システムにログオンしたときに、すべての権限定義を継承します。

Citrix ADMでユーザーを構成する

Citrix ADM でローカルにユーザーアカウントを作成して、認証サーバーのユーザーを補完することができます。たとえば、社外のコンサルタントや来訪者などの一時的なユーザー用のアカウントを、認証サーバー上ではなくAccess Gateway上にローカルに作成します。外部認証サーバーに存在するユーザーをローカル認証する場合は、認証サーバーとCitrix ADMの両方に同じユーザーが存在することを確認します。

Citrix ADM でユーザーを構成するには:

  1. Citrix ADM で、[ システム ]>[ ユーザー管理 ]>[ ユーザー ]に移動します。

  2. ユーザー ]ページで[ 追加 ]をクリックして、Citrix ADMにユーザーを追加します。

  3. [ システムユーザーの作成 ] ページで、次のパラメータを設定します。

    1. ユーザー名:ユーザーの名前

    2. パスワード。ユーザーがCitrix ADMへのログオンに使用するパスワード

    3. 外部認証を有効にします。これが有効になっていない場合、ユーザーはローカルユーザーとして認証されます。

    4. ユーザセッションタイムアウトを設定します。ユーザーがアクティブな状態でいられる時間です。この期間は、分単位または時間単位で設定できます。

  4. グループ 」(Groups) テーブルで、ユーザーを追加するグループを選択します。Citrix ADMでのユーザーグループの構成でグループを設定すると、グループメンバーがこのテーブルに追加されます。

  5. [作成] をクリックします。

ユーザーがActive Directory 上にいる場合は、Citrix ADM内のグループ名が外部サーバー上のActive Directory グループの名前と同じであることを確認します。