Citrix Gateway

事前認証ポリシーとプロファイル

警告:

認証、承認、および監査の事前認証ポリシーは、NetScaler 12.0ビルド56.20以降で廃止されました。代替として、nFactor認証を使用Citrixすることをお勧めします。詳細については、 nFactor 認証のトピックを参照してください

ユーザーが認証される前にクライアント側のセキュリティをチェックするようにCitrix Gateway を構成できます。この方法により、Citrix Gateway とのセッションを確立するユーザーデバイスがセキュリティ要件に準拠することが保証されます。クライアント側のセキュリティー検査は、次の 2 つの手順で説明するように、仮想サーバーに固有の事前認証ポリシーを使用するか、グローバルに構成します。

事前認証ポリシーは、プロファイルと式で構成されます。ユーザーデバイスでのプロセスの実行を許可または拒否するアクションを使用するようにプロファイルを構成します。たとえば、テキストファイル clienttext.txt がユーザーデバイスで実行されているとします。ユーザーがCitrix Gateway にログオンすると、テキストファイルが実行されている場合はアクセスを許可または拒否できます。プロセスが実行されている場合にユーザーのログオンを許可しない場合は、ユーザーがログオンする前にプロセスを停止するようにプロファイルを構成します。

事前認証ポリシーには、次の設定を構成できます。

  • 式。エクスプレッションを作成するのに役立つ次の設定が含まれています。
    • 式。すべてのエクスプレッションを表示します。
    • 任意の式に一致します。選択した式のリストにある式のいずれかに一致するようにポリシーを設定します。
    • [すべての式に一致]。選択した式のリストにあるすべての式に一致するようにポリシーを設定します。
    • 表式。OR (||) or AND (&&)演算子を使用して、既存のエクスプレッションを含む複合エクスプレッションを作成します。
    • 高度なフリーフォーム。エクスプレッション名とOR (||) and AND (&&)演算子を使用して、カスタム複合エクスプレッションを作成します。必要なエクスプレッションのみを選択し、選択したエクスプレッションのリストから他のエクスプレッションを省略します。
    • Add エクスプレッションを作成します。
    • [修正]。既存の式を変更します。
    • Remove- 選択したエクスプレッションを複合エクスプレッションリストから削除します。
    • 名前付き式。設定済みの名前付き式を選択します。Citrix Gateway にすでに存在する式のメニューから名前付き式を選択できます。
    • [式を追加]。選択した名前付き式をポリシーに追加します。
    • エクスプレッションを置換。選択した名前付き式をポリシーに置き換えます。
    • エクスプレッションをプレビュー。名前付き式を選択すると、Citrix Gateway で構成されている詳細なクライアントセキュリティ文字列が表示されます。

事前認証プロファイルの設定

GUI を使用して事前認証プロファイルをグローバルに設定するには

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ウィンドウの [ 設定] で、[ 事前認証設定の変更] をクリックします。
  3. [ グローバル事前認証設定 ] ダイアログボックスで、次の設定を構成します。
    1. [ アクション] で、[ 許可] または [拒否

      エンドポイント分析の実行後、ユーザーのログオンを拒否または許可します。

    2. キャンセルするプロセス」に、プロセスを入力します。

      これは、Endpoint Analysis プラグインが停止する必要があるプロセスを指定します。

    3. [ 削除するファイル] に、ファイル名を入力します。

      Endpoint Analysis プラグインが削除する必要があるファイルを指定します。

  4. 「式」では、式ns_trueのままにするか、ウイルス対策ソフトウェアやセキュリティ・ソフトウェアなどの特定のアプリケーション用の式を作成し、「OK」をクリックします。

GUI を使用して事前認証プロファイルを設定するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]>[認証/承認]の順に展開し、[事前認証EPA]をクリックします。
  2. 詳細ウィンドウの [ プロファイル ] タブで、[ 追加] をクリックします。
  3. [ 名前] に、チェックするアプリケーションの名前を入力します。
  4. [ アクション] で [ 許可 ] または [ 拒否]
  5. [ キャンセルするプロセス] に、停止するプロセスの名前を入力します。
  6. [ 削除するファイル] に、削除するファイルの名前(c:\clientext.txt など) を入力し、[ 作成 ]、[ 閉じる] の順にクリックします。

:ファイルを削除したり、プロセスを停止したりすると、ユーザーに確認を求めるメッセージが表示されます。ステップ 5 と 6 はオプションのパラメータです。

構成ユーティリティを使用して事前認証プロファイルを構成する場合は、[ポリシー] タブの [ 追加 ] をクリックして事前認証ポリシーを作成します 。[ 事前認証ポリシーの作成 ] ダイアログボックスで、[ 要求プロファイル] メニューからプロファイルを選択します

エンドポイント分析式の設定

事前認証およびクライアントセキュリティセッションポリシーには、プロファイルと式が含まれます。ポリシーには、1 つのプロファイルと複数の式を含めることができます。ユーザーデバイスでアプリケーション、ファイル、プロセス、またはレジストリエントリをスキャンするには、ポリシー内に式または複合式を作成します。

エクスプレッションのタイプ

エクスプレッションは、エクスプレッションタイプとエクスプレッションのパラメータで構成されます。式のタイプは次のとおりです。

  • 一般
  • クライアントセキュリティ
  • ネットワークベース

事前設定済みの式を事前認証ポリシーに追加する

Citrix Gateway には、名前付き式と呼ばれる事前構成された式が付属しています。ポリシーを設定するときは、ポリシーの名前付き式を使用できます。たとえば、事前認証ポリシーで、更新されたウイルス定義を持つ Symantec Antivirus 10 をチェックするとします。事前認証ポリシーを作成し、次の手順の説明に従って式を追加します。

事前認証ポリシーまたはセッションポリシーを作成する場合、ポリシーの作成時に式を作成できます。その後、式を使用してポリシーを仮想サーバまたはグローバルに適用できます。

次の手順では、構成ユーティリティを使用して、構成済みのウイルス対策式をポリシーに追加する方法について説明します。

事前認証ポリシーに名前付き式を追加する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]>[認証/承認]の順に展開し、[事前認証EPA]をクリックします。
  2. 詳細ペインで、ポリシーを選択し、[開く] をクリックします。
  3. [ 名前付き式] の横にある [ アンチウイルス] を選択し、リストからアンチウイルス製品を選択します。
  4. [ 式の追加]、[ 作成]、 [ 閉じる] の順にクリックします。

カスタムエクスプレッションの設定

カスタム式は、ポリシー内に作成する式です。エクスプレッションを作成するときは、エクスプレッションのパラメータを設定します。

また、よく使用されるクライアントセキュリティ文字列を参照するカスタムクライアントセキュリティ式を作成することもできます。これにより、事前認証ポリシーの設定プロセスが容易になり、設定済みの式の維持も容易になります。

たとえば、Symantec Antivirus 10 用のカスタムクライアントセキュリティ式を作成し、ウイルス定義が 3 日以上経過していないことを確認します。ポリシーを作成し、ウイルス定義を指定する式を設定します。

次の手順は、事前認証ポリシーでクライアントセキュリティポリシーを作成する方法を示しています。セッションポリシーでも同じ手順を使用できます。

事前認証ポリシーとカスタムのクライアントセキュリティ式を作成する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー]>[認証/承認]の順に展開し、[ 事前認証EPA]をクリックします。
  2. 詳細ペインで、[Add] をクリックします。[事前認証ポリシーの作成] ダイアログボックスが開きます。
  3. [ 名前] に、ポリシーの名前を入力します。
  4. [リクエストプロファイル] の横にある [ 新規] をクリックします。
  5. [認証プロファイルの作成] ダイアログボックスの [ 名前] にプロファイルの名前を入力し、[ 操作] で [ 許可] を選択し、[ 作成] をクリックします。
  6. [事前認証ポリシーの作成] ダイアログボックスで、[任意の式に一致する] の横にある [ 追加] をクリックします。
  7. [ 式の種類] で、[ クライアントセキュリティ] を選択します。
  8. 次のオプションを構成します:
    1. [ コンポーネント] で、[ アンチウイルス] を選択します。
    2. [ 名前] に、アプリケーションの名前を入力します。
    3. 修飾子」で「 バージョン」を選択します。
    4. 演算子」で「 ==」を選択します。
    5. [ 値]に値を入力します。
    6. 鮮度」に「3」と入力し、 「OK」をクリックします。
  9. [事前認証ポリシーの作成] ダイアログボックスで、[ 作成]、[ 閉じる] の順にクリックします。

カスタム式を構成すると、その式は [ポリシー] ダイアログボックスの [ ] ボックスに追加されます。

複合式の設定

事前認証ポリシーには、1 つのプロファイルと複数の式を含めることができます。複合式を設定する場合は、演算子を使用して式の条件を指定します。たとえば、次のウイルス対策アプリケーションのいずれかを実行することをユーザデバイスに要求するように、複合式を設定できます。

  • Symantec Antivirus 10
  • McAfee Antivirus 11
  • Sophos Antivirus 4

OR 演算子を使用して式を設定して、前述の 3 つのアプリケーションをチェックします。Citrix Gateway がユーザーデバイス上のアプリケーションの正しいバージョンを検出すると、ユーザーはログオンできます。[Policy] ダイアログボックスの式は、次のように表示されます。

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

複合式の詳細については、「 複合式の設定」を参照してください。

事前認証ポリシーのバインド

事前認証または Client Security セッションポリシーを作成したら、ポリシーを適用するレベルにポリシーをバインドします。事前認証ポリシーは、仮想サーバまたはグローバルにバインドできます。

事前認証ポリシーをグローバルに作成してバインドする

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ウィンドウで、[ 事前認証設定の変更] をクリックします。
  3. [グローバル事前認証設定] ダイアログボックスの [ 操作] で、[ 許可 ] または [ 拒否] を選択します。
  4. [ 名前] に、ポリシーの名前を入力します。
  5. [ グローバル事前認証設定 ] ダイアログボックスで、[ 名前付き式] の横にある [ 全般]、[ True value]、[ 式の追加]、[ 作成]、[ 閉じる] の順にクリックします。

事前認証ポリシーを仮想サーバーにバインドする

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ 仮想サーバー]をクリックします。
  2. 詳細ペインで仮想サーバーを選択して、[Open]をクリックします。
  3. [Citrix Gateway 仮想サーバーの構成]ダイアログボックスで、[ ポリシー ]タブをクリックし、[ 事前認証]をクリックします。
  4. [詳細] の [ ポリシーの挿入] をクリックし、[ポリシー名] で事前認証ポリシーを選択します。
  5. [OK] をクリックします。

事前認証ポリシーのバインド解除と削除

必要に応じて、Citrix Gateway から事前認証ポリシーを削除できます。事前認証ポリシーを削除する前に、仮想サーバから、またはグローバルにバインド解除します。

グローバル事前認証ポリシーのバインドを解除する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]>[認証/承認]の順に展開し、[事前認証EPA]をクリックします。
  2. 詳細ペインでポリシーを選択し、[ 操作] で [ グローバルバインド] をクリックします。
  3. 事前認証ポリシーをグローバルにバインド/バインド解除 ]ダイアログボックスで、ポリシーを選択し、[ ポリシーのバインド解除]、[ OK]の順にクリックします。

仮想サーバからの事前認証ポリシーのバインド解除

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]を展開し、仮想サーバー]をクリックします。
  2. [Citrix Gateway 仮想サーバーの構成 ]ダイアログボックスで、[ ポリシー ]タブをクリックし、[ 事前認証]をクリックします。
  3. ポリシーを選択し、[ ポリシーのバインド解除] をクリックします。

事前認証ポリシーがバインド解除されると、Citrix Gateway からポリシーを削除できます。

事前認証ポリシーを削除する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー]>[認証/承認]の順に展開し、[ 事前認証EPA]をクリックします。
  2. 詳細ペインでポリシーを選択し、[ 削除] をクリックします。

事前認証ポリシーのプライオリティの設定

異なるレベルにバインドされた複数の事前認証ポリシーを持つことができます。たとえば、Citrix ADC AAA Globalにバインドされた特定のウイルス対策アプリケーションをチェックするポリシーと、仮想サーバーにバインドされたファイアウォールポリシーがあるとします。ユーザーがログオンすると、仮想サーバーにバインドされているポリシーが最初に適用されます。Citrix ADC AAA グローバルでバインドされているポリシーが次に適用されます。

事前認証スキャンの発生順序を変更できます。Citrix Gateway でグローバルポリシーを最初に適用するには、仮想サーバーにバインドされたポリシーの優先度番号を変更し、グローバルにバインドされたポリシーよりも高い優先度を指定します。たとえば、グローバルポリシーのプライオリティ番号を 1 に、仮想サーバポリシーのプライオリティ番号を 2 に設定します。ユーザーがログオンすると、Citrix Gateway は最初にグローバルポリシースキャンを実行し、次に仮想サーバーポリシースキャンを実行します。

事前認証ポリシーのプライオリティを変更する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ 仮想サーバー]をクリックします。
  2. 詳細ペインで仮想サーバーを選択して、[Open]をクリックします。
  3. [ポリシー] タブで、[ 事前認証] をクリックします。
  4. [優先度]で、ポリシーの優先度番号を入力し、[ OK]をクリックします。
事前認証ポリシーとプロファイル