Citrix Gateway

EPA で許可された MAC アドレスのリストをスキャンする

Citrix ADCリリース13.1以降では、式にすべてのIPアドレスをリストしなくても、許可リストMACアドレスのEPAスキャンを構成できます。代わりに、この構成にパターンセットを使用できます。

Citrix ADCリリース13.1より前では、許可されているすべてのMACアドレスのリストをEPA式の一部として指定する必要がありました。たとえば、

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

CLI を使用して、許可された MAC アドレスのリストの EPA スキャンを構成するには

  1. MAC アドレスをパターンセット内に格納します。

    コマンドプロンプトで次を入力します。

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. AAA.LOGIN.CLIENT_MAC_ADDR.equals_any()を使用して、各パターンセットに対応するポリシー式を作成します。

    コマンドプロンプトで次を入力します。

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    例:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. 構成済みのポリシー式を使用して EPA スキャンを作成する

    コマンドプロンプトで次を入力します。

    add authentication epaAction <name>  -csecexpr <expression>
    

    例:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    
    add authentication Policy epapol -rule true -action epa
    
    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

GUI を使用して、許可された MAC アドレスのリストの EPA スキャンを構成するには

  1. パターンセットを設定する。詳細については、「 パターンセットを設定する」を参照してください。

  2. パターンセットごとに、対応するポリシー式を作成します。

    エクスプレッションを設定するときに、エクスプレッションエディタで [ AAA] > [ログイン] > [CLIENT_MAC_ADDR] > [EQUAL_ANY (文字列)] > [パターンセット]を選択します

    高度な式の設定について詳しくは、「 ポリシーでの高度なポリシー式の構成」を参照してください。

  3. 前のステップで構成した式の EPA スキャンを作成します。詳細については、 高度なエンドポイント分析スキャンを参照してください

注意事項

  • 許可された MAC アドレスのリストに対する EPA スキャンの設定は、nFactor 認証フローにのみ適用されます。
  • MAC アドレスは、1A-2B-3C-4D-5E-6F の形式で設定する必要があります。
  • EPA スキャンの形式はmac-addr_0_<policy-expression-name>です。この形式では、mac-addr_0は静的な値であり、mac-addr_0後にポリシー式名を入力する必要があります。
  • EPA スキャンは、記号( ||, &&)を使用して適切に分離できます。
  • 1 つのパターンセットに多数の MAC アドレスを追加するには、ファイルベースのパターンセットのインポートを使用できます。最適なパフォーマンスを得るには、最大 3000 個のエントリ/パターンセットを保存することをお勧めします。
  • MAC アドレスがファイル内に存在する場合、ファイルベースのパターンセットのインポートを使用し、インポート時に適切な区切り文字を指定することで、パターンセットを作成できます。

参照ドキュメント

EPA で許可された MAC アドレスのリストをスキャンする