製品ドキュメント
Citrix Secure Private Access
PDFを表示

Secure Private Accessのためのコネクタアプライアンス

August 23, 2022
寄稿者: 
C

コネクタアプライアンスは、ハイパーバイザーでホストされるCitrixコンポーネントです。Citrix Cloudとリソースの場所との間の通信チャネルとして機能し、複雑なネットワークやインフラストラクチャ構成を必要とせずにクラウドを管理できます。コネクタアプライアンスを使用することで、リソースを管理しながら、ユーザーに価値を提供するリソースに集中することができます。

すべての接続が、標準HTTPSポート(443)とTCPプロトコルを使用してコネクタアプライアンスからクラウドに対して確立されます。受信接続は受け入れられません。次の FQDN を持つ TCP ポート 443 は、アウトバウンドが許可されます。

  • *.nssvc.net
  • *.netscalermgmt.net
  • *.citrixworkspacesapi.net
  • *.citrixnetworkapi.net
  • *.citrix.com
  • *.servicebus.windows.net
  • *.adm.cloud.com

コネクタアプライアンスによるセキュアなプライベートアクセスの構成

  1. リソースの場所に 2 つ以上のコネクタアプライアンスをインストールします。

    コネクタアプライアンスの設定について詳しくは、「クラウドサービス用のコネクタアプライアンス」を参照してください。

  2. KCD を使用してオンプレミス Web アプリに接続するようにセキュアプライベートアクセスを構成するには、次の手順を実行して KCD を構成します。

    1. コネクタアプライアンスをActive Directoryドメインに参加させます。

      Active Directoryフォレストに参加すると、Secure Private Accessを構成するときにKerberosの制約付き委任を使用できますが、コネクタアプライアンスを使用するためのID要求または認証は有効になりません。

      • コネクタアプライアンスコンソールで提供されるIPアドレスを使用して、Webブラウザーでコネクタアプライアンスの管理Webページに接続します。

      • [ Active Directory ドメイン ] セクションで、[ + Active Directory ドメインを追加 ] をクリックします。

        管理ページに [Active Directoryドメイン] セクションがない場合は、Citrixに連絡してプレビューへの登録を依頼してください。

      • [ドメイン名] フィールドにドメイン名を入力します。[追加] をクリックします。

      • コネクタアプライアンスはドメインをチェックします。チェックで問題がなければ、[Active Directoryに参加] ダイアログボックスが開きます。

      • このドメインへの参加権限を持つActive Directoryユーザーのユーザー名とパスワードを入力します。

      • コネクタアプライアンスからマシン名が提案されます。提案された名前を上書きして、独自のマシン名(最大15文字)を指定することもできます。マシンアカウント名をメモします。

        このマシン名は、コネクタアプライアンスが参加したときにActive Directoryドメインに作成されます。

      • [参加] をクリックします。

    2. ロードバランサを使用しない Web サーバの Kerberos 制約委任を設定します。

      コネクタアプライアンス名

      • コネクタアプライアンスのコンピュータ名を識別します。この名前は、ホストした場所、または単にコネクタ UI から取得できます。
      • Active Directory コントローラで、コネクタアプライアンスコンピュータを探します。
      • コネクタアプライアンスコンピュータアカウントのプロパティに移動し、[ 委任 ] タブに移動します。

      • [ 指定したサービスへの委任のみにコンピュータを信頼する] を選択します。次に、[ 任意の認証プロトコルを使用する] を選択します。

        認証プロトコル

      • [ 追加] をクリックします。
      • [ ユーザー] または [コンピュータ] をクリックします
      • ターゲット Web サーバーのコンピューター名を入力し、[ 名前の確認] をクリックします。上の画像では、KCD2K8 が Web サーバーです。 ターゲット Web サーバー
      • OK」をクリックします。

      • サービスタイプ http を選択します。

        HTTP サービスタイプ

      • OK」をクリックします。

      • 適用」をクリックし、OK」をクリックします。

        ウェブサーバーが追加されました

      これで、Web サーバーの委任を追加する手順は完了です。

    3. ロードバランサの背後にある Web サーバの Kerberos 制約委任 (KCD) を設定します。

      • setspnコマンドを使用して、ロードバランサー SPN をサービスアカウントに追加します。 setspn -S HTTP/<web_server_fqdn> <service_account>

        SPN を設定

      • 次のコマンドを使用して、サービスアカウントの SPN を確認します。 setspn -l <service_account>

        SPN を確認する

      • コネクタアプライアンスのコンピュータアカウントの委任を作成します。

        • 「ロードバランサを使用しない Web サーバーの Kerberos 制約委任の設定 」の手順に従って、CA マシンを識別し、委任 UI に移動します。
        • [ ユーザーとコンピューター] で、サービスアカウント (aaa\ svc_iis3 など) を選択します。 委任
        • サービスで、 ServiceType: HTTP とユーザーまたはコンピューター:Web サーバー (例: kcd-lb.aaa.local) HTTP サービスタイプのエントリを選択します
        • OK」をクリックします。
        • 適用」をクリックし、OK」をクリックします。 委任完了

    4. グループ管理サービスアカウントの Kerberos 制約付き委任 (KCD) を構成します。

      • まだ行っていない場合は、SPN をグループ管理サービスアカウントに追加します。 setspn -S HTTP/<web_server_fqdn> <group_manged_service_account>

      • 以下のコマンドでSPNを確認します。 setspn -l <group_manged_service_account>

      コンピューターアカウントの委任エントリを追加している間は、グループ管理サービスアカウントをUsers and Computers検索に表示できないため、通常の方法ではコンピューターアカウントの委任を追加できません。したがって、属性エディタを使用して、この SPN を CA コンピュータアカウントに委任されたエントリとして追加できます。

      • コネクタアプライアンスのコンピュータプロパティで、[ 属性エディタ ] タブに移動し、 msDA-AllowedToDeleteTo 属性を探します。
      • msDA-AllowedToDeleteTo attributeを編集し、SPN を追加します。

      属性エディタ)

      属性エディター (2)

    5. Citrix Gateway コネクタから Citrix コネクタアプライアンスに移行します。

      • SPNs はゲートウェイコネクタの構成時にサービスアカウントにすでに設定されているため、新しい kerberos アプリが構成されていない場合は、サービスアカウントに SPN を追加する必要はありません。次のコマンドを実行して、サービスアカウントに割り当てられているすべての SPN の一覧を表示し、それらを CA コンピューターアカウントの委任されたエントリとして割り当てることができます。

      setspn -l <service_account>

      SPN を設定

      この例では、SPN (kcd-lb.aaa.local, kcd-lb-app1.aaa.local, kcd-lb-app2.aaa.local, kcd-lb-app3.aaa.local) は KCD 用に設定されています。

      • 委任されたエントリとして、必要な SPN をコネクタアプライアンスのコンピュータアカウントに追加します。詳細については、「 コネクタアプライアンスのコンピュータアカウントの委任を作成する」の手順を参照してください

      SPN をコンピューターアカウントに追加する

      この例では、必要な SPN が CA コンピューターアカウントの委任されたエントリとして追加されます。

      注: これらの SPN は、ゲートウェイコネクタの設定時に委任されたエントリとしてサービスアカウントに追加されました。サービスアカウントの委任から離れるときに、それらのエントリをサービスアカウントの [ 委任 ] タブから削除できます。

    6. Citrix Secure Private Accessのドキュメントに従って、Citrix Secure Private Accessサービスをセットアップします。セットアップ中、Citrix Cloud はコネクタアプライアンスの存在を認識し、それらを使用してリソースの場所に接続します。

Kerberos構成の検証

シングルサインオンにKerberosを使用する場合は、コネクタアプライアンスの管理ページからActive Directoryコントローラーの構成が正しいことを確認できます。[Kerberos検証] 機能を使用すると、Kerberos領域のみのモード構成またはKerberosの制約付き委任構成を検証できます。

  1. コネクタアプライアンスの管理ページに移動します。
    1. ハイパーバイザーのコネクタアプライアンスコンソールから、IPアドレスをWebブラウザーのアドレスバーにコピーします。
    2. コネクタアプライアンスを登録したときに設定したパスワードを入力します。
  2. 右上の[管理]メニューから、[Kerberos検証] を選択します。
  3. [Kerberos検証] ダイアログボックスで、[Kerberos検証モード] を選択します。
  4. [Active Directoryドメイン] を指定または選択します。
    • Kerberos領域のみのモード構成を検証する場合は、任意のActive Directoryドメインを指定できます。
    • Kerberosの制約付き委任構成を検証する場合は、結合されたフォレスト内のドメインのリストから選択する必要があります。
  5. [サービスFQDN] を指定します。デフォルトのサービス名は、httpと想定されます。「computer.example.com」を指定した場合、これはhttp/computer.example.comと同じと見なされます。
  6. [ユーザー名] を指定します。
  7. Kerberos領域のみのモード構成を検証する場合は、そのユーザー名の [パスワード] を指定します。
  8. [Kerberosをテストする] をクリックします。

Kerberos 構成が正しい場合は、メッセージSuccessfully validated Kerberos setupが表示されます。Kerberos 構成が正しくない場合、検証の失敗に関する情報を提供するエラーメッセージが表示されます。

Secure Private Accessのためのコネクタアプライアンス
August 23, 2022
寄稿者: 
C
August 23, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.