LDAP認証の構成

1つ以上のLDAPサーバーを使用してユーザーアクセスを認証するようにCitrix Gateway を構成できます。

LDAP認証には、Active Directory、LDAPサーバー、およびCitrix Gateway で同じグループ名が必要です。グループ名は、大文字小文字の使い分けを含め、一字一句正確に一致させる必要があります。

既定では、LDAP 認証は、セキュアソケットレイヤー (SSL) またはトランスポート層セキュリティ (TLS) を使用してセキュリティで保護されています。セキュア LDAP 接続には 2 つのタイプがあります。1 つのタイプの場合、LDAP サーバは、LDAP サーバがクリア LDAP 接続を受け入れるために使用するポートとは別のポートで SSL または TLS 接続を受け入れます。ユーザーが SSL 接続または TLS 接続を確立すると、LDAP トラフィックは接続を介して送信できます。

LDAP 接続のポート番号は次のとおりです。

  • セキュリティで保護されていない LDAP 接続の場合は 389
  • 安全なLDAP接続用の636
  • Microsoftのセキュリティで保護されていない LDAP 接続の場合 3268
  • Microsoftの LDAP 接続のセキュリティで保護された 3269

2 番目のタイプのセキュア LDAP 接続では、StartTLS コマンドを使用し、ポート番号 389 を使用します。Citrix Gateway でポート番号389または3268を構成すると、サーバーはStartTLSを使用して接続を試みます。他のポート番号を使用する場合、サーバーは SSL または TLS を使用して接続を試みます。サーバーが StartTLS、SSL、または TLS を使用できない場合、接続は失敗します。

LDAPサーバーのルートディレクトリを指定すると、Citrix Gateway はすべてのサブディレクトリを検索してユーザー属性を検索します。大きなディレクトリでは、この方法はパフォーマンスに影響を与える可能性があります。このため、特定の組織単位(OU)を使用することをお勧めします。

次の表に、LDAP サーバーのユーザー属性フィールドの例を示します。

LDAP サーバー ユーザー属性 大文字と小文字を区別する
Microsoft Active Directory Server sAMAccountName いいえ
Novell eDirectory ou はい
IBM Directory Server uid はい
Lotus Domino CN はい
Sun ONE Directory(旧iPlanet) uid または cn はい

次の表に、ベース DN の例を示します。

LDAP サーバー ベース DN
Microsoft Active Directory Server DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE Directory(旧iPlanet) ou=People,dc=citrix,dc=com

次の表に、バインド DN の例を示します。

LDAP サーバー Bind DN
Microsoft Active Directory Server CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory(旧iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

:LDAP サーバ設定の詳細については、 LDAP ディレクトリ内の属性の決定を参照してください。

LDAP認証の構成