RADIUS を使用したパスワードリターンの設定

ドメインパスワードは、トークンが RADIUS サーバから生成したワンタイムパスワードに置き換えることができます。ユーザーがCitrix Gateway にログオンすると、トークンから個人識別番号(PIN)とパスコードを入力します。Citrix Gateway が認証情報を検証すると、RADIUSサーバーはユーザーのWindowsパスワードをCitrix Gateway に返します。Citrix Gateway はサーバーからの応答を受け入れ、ログオン中にユーザーが入力したパスコードを使用する代わりに、返されたパスワードを使用してシングルサインオンします。RADIUSによるこのパスワード返却機能を使用すると、ユーザーがWindowsパスワードを呼び戻す必要なく、シングル・サインオンを構成できます。

ユーザーがパスワードリターンを使用してログオンすると、Citrix Endpoint Management、StoreFront、Web Interfaceなど、内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます。

返されたパスワードを使用してシングルサインオンを有効にするには、Citrix Gateway で「パスワードベンダー識別子」および「パスワード属性の種類」パラメーターを使用して、RADIUS認証ポリシーを構成します。これらの2つのパラメータは、ユーザーのWindowsパスワードをCitrix Gateway に返します。

Citrix Gateway は、Imprivataワンサインをサポートしています. Imprivata OneSign の最低限必要なバージョンは、サービスパック 3 で 4.0 です。Imprivata OneSign の既定のパスワードベンダーの識別子は 398 です。Imprivata OneSign の既定のパスワード属性の種類のコードは 5 です。

RSA、Cisco、Microsoft など、他の RADIUS サーバを使用してパスワードを返すことができます。ベンダー固有のアトリビュート値のペアでユーザシングルサインオンパスワードを返すように RADIUS サーバを設定する必要があります。Citrix Gateway 認証ポリシーでは、これらのサーバーの「パスワードベンダー識別子」および「パスワード属性の種類」パラメーターを追加する必要があります。

ベンダー ID の完全なリストは、インターネット割り当て番号局 (IANA) のウェブサイトを参照してください。たとえば、RSA セキュリティのベンダー識別子は 2197、Microsoftの場合は 311、Cisco Systemsの場合は 9 です。ベンダーがサポートするベンダー固有の属性は、ベンダーに確認する必要があります。たとえば、Microsoftでは、ベンダー固有の属性の一覧をMicrosoftのベンダー固有の RADIUS アトリビュートに公開しています。

ベンダー固有の属性を選択して、ベンダーのRADIUSサーバ上のユーザーのシングル・サインオン・パスワードを格納できます。RADIUSサーバー上にユーザーパスワードが保存されているベンダー識別子と属性を使用してCitrix Gatewayを構成すると、RADIUSサーバーに送信されるアクセス要求パケット内の属性の値が要求されます。RADIUS サーバが access-accept パケット内の対応するアトリビュートと値のペアで応答した場合、使用する RADIUS サーバに関係なく、パスワードのリターンが機能します。

返されたパスワードを使用してシングル・サインオンを構成するには、次の手順に従います。

  1. 構成ユーティリティの[構成]タブで、[Citrix Gateway]>[ポリシー]>[認証]の順に展開します。
  2. ナビゲーションペインで、[RADIUS] をクリックします。
  3. 詳細ウィンドウで、[追加] をクリックします。
  4. [認証ポリシーの作成] ダイアログボックスの [名前] に、ポリシーの名前を入力します。
  5. [サーバー] の横にある [新規] をクリックします。
  6. [名前] に、サーバーの名前を入力します。
  7. RADIUS サーバの設定を構成します。
  8. [パスワードベンダー識別子] に、RADIUS サーバーによって返されるベンダー識別子を入力します。この識別子の最小値は 1 である必要があります。
  9. [パスワード属性の種類] で、ベンダー固有の AVP コードに RADIUS サーバから返される属性の種類を入力します。値の範囲は 1 ~ 255 です。
  10. [認証ポリシーの作成] ダイアログボックスで、[名前付き式] の横にある式を選択し、[式の追加]、[作成]、[閉じる] の順にクリックします。

RADIUS を使用したパスワードリターンの設定