Citrix Gateway

RADIUS グループ抽出の設定

RADIUS 許可は、グループ抽出と呼ばれる方式を使用して設定できます。グループ抽出を構成すると、Citrix Gateway にユーザーを追加するのではなく、RADIUSサーバー上のユーザーを管理できます。

RADIUS 許可を設定するには、認証ポリシーを使用し、グループベンダー ID(ID)、グループ属性タイプ、グループプレフィクス、およびグループセパレータを設定します。ポリシーを構成するときは、式を追加し、ポリシーをグローバルにバインドするか、仮想サーバにバインドします。

Windows Server 2003 での RADIUS の設定

Windows Server 2003でRADIUS認証にMicrosoftインターネット認証サービス(IAS)を使用している場合は、Citrix Gateway の構成中に次の情報を提供する必要があります。

  • ベンダー ID は、IAS で入力したベンダー固有のコードです。
  • Type は、ベンダーによって割り当てられた属性番号です。
  • 属性名は IAS で定義した属性名のタイプです。デフォルトの名前はctxUserGroups=

IAS が RADIUS サーバーにインストールされていない場合は、コントロールパネルの [プログラムの追加と削除] からインストールできます。詳細については、Windows オンラインヘルプを参照してください。

IAS を構成するには、Microsoft 管理コンソール (MMC) を使用して IAS のスナップインをインストールします。ウィザードの指示に従って、次の設定を選択してください。

  • [ローカルコンピュータ] を選択します。
  • [リモートアクセスポリシー] を選択し、カスタムポリシーを作成します。
  • ポリシーの [Windows-グループ] を選択します。
  • 次のいずれかのプロトコルを選択します。
    • Microsoftチャレンジハンドシェイク認証プロトコルバージョン 2(MS-CHAP v2)
    • Microsoftチャレンジハンドシェイク認証プロトコル(MS-CHAP)
    • チャレンジハンドシェイク認証プロトコル (CHAP)
    • 暗号化されていない認証 (PAP、SPAP)
  • [ベンダー固有属性] を選択します。

    ベンダー固有属性は、サーバー上のグループで定義したユーザーとCitrix Gateway のユーザーを一致させる必要があります。この要件を満たすには、ベンダー固有の属性をCitrix Gateway に送信します。必ず [RADIUS = 標準] を選択してください。

  • RADIUS のデフォルトは 0 です。この番号をベンダーコードに使用します。

  • ベンダー割り当ての属性番号は 0 です。

    これは、[User Group] 属性に割り当てられた番号です。属性は文字列形式です。

  • [属性形式] に [文字列] を選択します。

    Attribute 値には、属性名とグループが必要です。

    アクセスゲートウェイの場合、属性値は ctxUserGroups=GroupName です。売上と財務などの 2 つのグループが定義されている場合、属性値は ctxUserGroups=Sales; finance になります。各グループはセミコロンで区切ります。

  • [ダイヤルインプロファイルの編集] ダイアログボックスの他のすべてのエントリを削除し、[ベンダー固有] と表示されているエントリを残します。

IASでリモートアクセスポリシーを構成したら、Citrix Gateway でRADIUS認証と承認を構成します。

RADIUS 認証を構成するときは、IAS サーバーで構成した設定を使用します。

Windows Server 2008 での認証用の RADIUS の設定

Windows Server 2008 では、インターネット認証サービス (IAS) に代わるネットワークポリシーサーバー (NPS) を使用して、RADIUS の認証と承認を構成します。サーバーマネージャーを使用して役割としてNPSを追加することで、NPSをインストールできます。

NPS をインストールするときに、ネットワークポリシーサービスを選択します。インストール後、ネットワークの RADIUS 設定を構成するには、[スタート] メニューの [管理サービス] から NPS を起動します。NPSを開くと、Citrix Gateway をRADIUSクライアントとして追加し、サーバーグループを構成します。

RADIUS クライアントを構成するときは、次の設定を選択してください。

  • ベンダー名には、[RADIUS 標準] を選択します。
  • Citrix Gateway で同じ共有シークレットを構成する必要があるため、共有シークレットを書き留めておきます。

RADIUS グループの場合、RADIUS サーバの IP アドレスまたはホスト名が必要です。デフォルト設定は変更しないでください。

RADIUS クライアントとグループを構成したら、次の 2 つのポリシーで設定を構成します。

  • 接続要求ポリシー:ネットワークサーバーの種類、ネットワークポリシーの条件、ポリシーの設定など、Citrix Gateway 接続の設定を構成します。
  • 拡張認証プロトコル (EAP) 認証とベンダー固有の属性を設定するネットワークポリシー。

接続要求ポリシーを構成するときに、ネットワークサーバーの種類として [未指定] を選択します。次に、条件として [NAS ポートタイプ] を選択し、値として [仮想 (VPN)] を選択して、条件を設定します。

ネットワークポリシーを構成するときは、次の設定を構成する必要があります。

  • ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPN ダイヤルアップ)] を選択します。

  • EAP の [暗号化された認証 (CHAP)] と [暗号化されていない認証 (PAP と SPAP)] を選択します。

  • [ベンダー固有属性] に [RADIUS 標準] を選択します。

    デフォルトの属性番号は 26 です。この属性は、RADIUS 認可に使用されます。

    Citrix Gateway には、サーバー上のグループで定義されたユーザーとCitrix Gateway 上のユーザーを一致させるために、ベンダー固有の属性が必要です。これは、ベンダー固有の属性をCitrix Gateway に送信することによって行われます。

  • 属性形式として [文字列] を選択します。

    Attribute 値には、属性名とグループが必要です。

    Citrix Gateway の場合、属性値はctxUserGroups= グループ名です。売上と財務などの 2 つのグループが定義されている場合、属性値は ctxUserGroups=Sales; finance になります。各グループはセミコロンで区切ります。

  • 区切り文字は、セミコロン、コロン、スペース、ピリオドなどのグループを区切るために NPS で使用した区切り文字です。

IASでのリモートアクセスポリシーの構成が完了したら、Citrix Gateway でRADIUS認証と承認を構成できます。

RADIUS グループ抽出の設定