Citrix Gateway

RADIUS を使用したパスワードリターンの設定

ドメインパスワードは、トークンが RADIUS サーバから生成するワンタイムパスワードに置き換えることができます。ユーザーがCitrix Gateway にログオンすると、トークンの暗証番号(PIN)とパスコードを入力します。Citrix Gateway が資格情報を検証すると、RADIUSサーバーはユーザーのWindowsパスワードをCitrix Gatewayに返します。Citrix Gateway はサーバーからの応答を受け入れ、ログオン中にユーザーが入力したパスコードを使用する代わりに、返されたパスワードをシングルサインオンに使用します。RADIUS 機能によるこのパスワードの返却により、ユーザに Windows パスワードを思い出す必要なく、シングルサインオンを設定できます。

ユーザーがパスワードを返してログオンすると、Citrix Endpoint Management、StoreFront、Web Interfaceなど、内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます。

返されたパスワードを使用してシングルサインオンを有効にするには、[パスワードベンダー識別子]パラメーターと[パスワード属性タイプ]パラメーターを使用して、Citrix Gateway でRADIUS認証ポリシーを構成します。これらの2つのパラメーターは、ユーザーのWindowsパスワードをCitrix Gateway に返します。

Citrix Gateway は Imprivata OneSign をサポートしている。Imprivata OneSignの最低必要バージョンは、サービスパック3で4.0である。Imprivata OneSign のデフォルトのパスワードベンダー識別子は 398 です。Imprivata OneSign のデフォルトのパスワード属性タイプコードは 5 です。

RSA、Cisco、Microsoft など、他の RADIUS サーバを使用してパスワードを返すことができます。ユーザのシングルサインオンパスワードをベンダー固有の属性値のペアで返すように RADIUS サーバを設定します。Citrix Gateway 認証ポリシーでは、これらのサーバーの[ パスワードベンダー識別子]パラメーターと[パスワード属性の種類 ]パラメーターを追加する必要があります。

ベンダー ID の完全なリストは、 インターネット割り当て番号局 (IANA) の Web サイトにあります。たとえば、RSA セキュリティのベンダー識別子は 2197、Microsoftでは 311、Cisco Systemsの場合は9 です。ベンダーがサポートするベンダー固有の属性は、ベンダーに確認する必要があります。たとえば、Microsoftは、ベンダー固有属性のリストをMicrosoft ベンダー固有の RADIUS 属性で公開しています

ベンダー固有の属性を選択して、ベンダーの RADIUS サーバ上のユーザのシングルサインオンパスワードを保存できます。ユーザーパスワードがRADIUSサーバーに格納されているベンダー識別子と属性を使用してCitrix Gateway を構成すると、Citrix Gateway は、RADIUSサーバーに送信されるアクセス要求パケットの属性の値を要求します。RADIUS サーバが access-accept パケット内の対応する属性と値のペアで応答する場合、使用する RADIUS サーバに関係なく、パスワードの返却は機能します。

返されたパスワードを使用してシングルサインオンを構成するには、次の手順を実行します。

  1. 構成ユーティリティの[構成]タブで、[ Citrix Gateway]>[ポリシー]>[認証]の順に展開します
  2. ナビゲーションペインで、[ RADIUS] をクリックします。
  3. 詳細ペインで、[Add] をクリックします。
  4. [ 認証ポリシーの作成 ] ダイアログボックスの [名前] に、ポリシーの名前を入力します。
  5. [ サーバー] の横にある [ 新規] をクリックします。
  6. [ 名前] に、サーバーの名前を入力します。
  7. RADIUS サーバの設定を構成します。
  8. [ パスワードベンダー識別子] に、RADIUS サーバーから返されるベンダー ID を入力します。この識別子の最小値は 1 である必要があります。
  9. [ パスワード属性タイプ]に、ベンダー固有の AVP コードで RADIUS サーバから返される属性タイプを入力します。値の範囲は 1 ~ 255 です。
  10. [ 認証ポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある式を選択し、[ 式の追加]、[ 作成]、[ 閉じる] の順にクリックします。
RADIUS を使用したパスワードリターンの設定