RADIUS グループ抽出の設定

RADIUS 許可は、グループ抽出と呼ばれる方法を使用して設定できます。グループ抽出を構成すると、ユーザーをCitrix Gateway に追加するのではなく、RADIUSサーバー上のユーザーを管理できます。

RADIUS 認可を設定するには、認証ポリシーを使用し、グループベンダー ID(ID)、グループアトリビュートタイプ、グループプレフィクス、およびグループセパレータを設定します。ポリシーを構成するときは、式を追加し、ポリシーをグローバルまたは仮想サーバにバインドします。

Windowsサーバ2003でのRADIUSの構成

Windows Server 2003でRADIUS認証にMicrosoftインターネット認証サービス(IAS)を使用している場合は、Citrix Gateway の構成時に次の情報を提供する必要があります。

  • ベンダー ID は、IAS で入力したベンダー固有のコードです。
  • 「タイプ」は、ベンダーによって割り当てられた属性番号です。
  • 属性名は、IAS で定義した属性名のタイプです。デフォルト名は CTXSUserグループ = です。

IAS が RADIUS サーバーにインストールされていない場合は、コントロールパネルの [プログラムの追加と削除] からインストールできます。詳細については、Windows オンラインヘルプを参照してください。

IAS を構成するには、Microsoft 管理コンソール (MMC) を使用して、IAS 用のスナップインをインストールします。ウィザードに従って、次の設定を選択します。

  • ローカルコンピュータを選択します。
  • [リモートアクセスポリシー] を選択し、カスタムポリシーを作成します。
  • ポリシーの [Windows グループ] を選択します。
  • 次のいずれかのプロトコルを選択します。
    • Microsoft Challenge-Handshake Authentication Protocolバージョン2 (MS-CHAP v2)
    • Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)
    • Challenge-Handshake Authentication Protocol (CHAP)
    • 暗号化されていない認証(PAP、SPAP)
  • 「ベンダー固有の属性」を選択します。

    ベンダー固有の属性は、サーバー上のグループで定義したユーザーとCitrix Gateway のユーザーを一致させる必要があります。この要件を満たすには、ベンダー固有の属性をCitrix Gateway に送信します。[RADIUS] が [Standard] であることを確認します。

  • RADIUS のデフォルトは 0 です。この番号は、ベンダーコードに使用します。

  • ベンダーが割り当てたアトリビュート番号は 0 です。

    これは、「ユーザー・グループ」属性に割り当てられた番号です。属性は文字列形式です。

  • 属性形式に [文字列] を選択します。

    Attribute 値には、属性名とグループが必要です。

    Access Gatewayの場合、属性値は CTXSUserGroups=グループ名です。売上と財務など 2 つのグループが定義されている場合、属性値は CTXSUserGroups=sales;financeです。各グループはセミコロンで区切ります。

  • [ダイヤルインプロファイルの編集] ダイアログボックスの他のすべてのエントリを削除し、[ベンダー固有] と表示されているエントリを残します。

IASでリモートアクセスポリシーを構成した後、Citrix Gateway でRADIUS認証と承認を構成します。

RADIUS 認証を構成するときは、IAS サーバーで構成した設定を使用します。

Windows サーバー 2008 での認証用に RADIUS を構成する

Windows Server 2008 では、インターネット認証サービス (IAS) に代わるネットワークポリシーサーバー (NPS) を使用して RADIUS 認証と承認を構成します。サーバーマネージャーを使用して役割としてNPSを追加することで、NPSをインストールできます。

NPS をインストールするときに、ネットワークポリシーサービスを選択します。インストール後、[スタート] メニューの [管理サービス] から NPS を起動することで、ネットワークの RADIUS 設定を構成できます。NPSを開くと、Citrix Gateway をRADIUSクライアントとして追加し、サーバーグループを構成します。

RADIUS クライアントを構成するときは、次の設定を選択してください。

  • ベンダー名として、[RADIUS 標準] を選択します。
  • Citrix Gateway で同じ共有シークレットを構成する必要があるため、共有シークレットを書き留めます。

RADIUS グループには、RADIUS サーバの IP アドレスまたはホスト名が必要です。デフォルト設定は変更しないでください。

RADIUS クライアントとグループを構成したら、次の 2 つのポリシーで設定を行います。

  • 接続要求ポリシー:ネットワークサーバーの種類、ネットワークポリシーの条件、ポリシーの設定など、Citrix Gateway 接続の設定を構成します。
  • 拡張認証プロトコル (EAP) 認証とベンダー固有の属性を構成するネットワークポリシー。

接続要求ポリシーを構成する場合は、ネットワークサーバーの種類として [未指定] を選択します。次に、条件として [NAS ポートタイプ] を選択し、値として [仮想 (VPN)] を選択して、条件を構成します。

ネットワークポリシーを構成するときは、次の設定を構成する必要があります。

  • ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPN ダイヤルアップ)] を選択します。

  • EAP の [暗号化認証 (CHAP)] と [暗号化されていない認証 (PAP および SPAP)] を選択します。

  • ベンダー固有の属性に [RADIUS 標準] を選択します。

    デフォルトの属性番号は 26 です。このアトリビュートは、RADIUS 認可に使用されます。

    Citrix Gateway では、サーバー上のグループで定義されたユーザーとCitrix Gateway 上のユーザーを一致させるために、ベンダー固有の属性が必要です。これは、ベンダー固有の属性をCitrix Gateway に送信することによって行われます。

  • 属性形式として [文字列] を選択します。

    Attribute 値には、属性名とグループが必要です。

    Citrix Gateway の場合、属性値はCTXSUserGroups=グループ名です。売上と財務など 2 つのグループが定義されている場合、属性値は CTXSUserGroups=sales;financeです。各グループはセミコロンで区切ります。

  • 区切り記号は、セミコロン、コロン、スペース、ピリオドなどのグループを区切るための NPS で使用した区切り記号です。

IASでリモートアクセスポリシーの構成が完了したら、Citrix Gateway でRADIUS認証と承認を構成できます。