Citrix ADC SDX

外部認証サーバの設定

Citrix ADC SDX Management Serviceは、ローカルユーザーアカウントまたは外部認証サーバーを使用してユーザーを認証できます。アプライアンスでは、次の認証タイプがサポートされています。

  • [Local]:外部認証サーバを参照せずに、パスワードを使用して管理サービスに対して認証します。ユーザーデータは管理サービスにローカルに保存されます。
  • RADIUS:外部 RADIUS 認証サーバに対して認証します。
  • [LDAP]:外部 LDAP 認証サーバに対して認証します。
  • TACACS:外部ターミナルアクセスコントローラアクセスコントロールシステム(TACACS)認証サーバに対して認証します。

外部認証を設定するには、認証タイプを指定し、認証サーバを設定します。

RADIUS サーバの追加

RADIUS 認証を設定するには、認証タイプを RADIUS として指定し、RADIUS 認証サーバを設定します。

管理サービスは、RADIUS 仕様に従って RADIUS チャレンジレスポンス認証をサポートします。RADIUS ユーザは、RADIUS サーバ上でワンタイムパスワードを使用して設定できます。ユーザーが SDX アプライアンスにログオンすると、このワンタイムパスワードを指定するよう求められます。

RADIUS サーバを追加するには

  1. [ 構成 ] タブの [ システム] で、[ 認証] を展開し、[ Radius] をクリックします。
  2. 詳細ペインで、[Add] をクリックします。
  3. [Radius サーバーの作成] ダイアログボックスで、パラメーターの値を入力または選択します。
    • [Name*]:サーバの名前。
    • サーバ名/ IP アドレス*:FQDN またはサーバ IP アドレス。
      注:DNS は、指定された完全修飾ドメイン名 (FQDN) を IP アドレスに解決できる必要があり、FQDN の解決にはプライマリ DNS のみが使用されます。プライマリ DNS を手動で設定するには、「FQDN 名前解決用のプライマリ DNS の追加」の項を参照してください。
    • [Port*]:RADIUS サーバが稼働しているポート。デフォルト値は 1812 です。
    • Timeout*:システムが RADIUS サーバからの応答を待機する秒数。デフォルト値:3。
    • [Secret Key*]:クライアントとサーバ間で共有されるキー。この情報は、システムと RADIUS サーバ間の通信に必要です。
    • NAS IP アドレス抽出の有効化:有効にすると、RADIUS プロトコルに従って、システムの IP アドレス(管理サービス IP)が「nasip」としてサーバに送信されます。
    • nasid:設定されている場合、この文字列は RADIUS プロトコルに従って「nasid」として RADIUS サーバに送信されます。
    • [Group Prefix]:RADIUS グループ抽出用の RADIUS 属性内でグループ名の前に付けるプレフィ
    • [グループベンダー ID]:RADIUS グループ抽出を使用するベンダー ID。
    • [グループ属性タイプ]:RADIUS グループ抽出用の属性タイプ。
    • [Group Separator]:RADIUS グループ抽出用の RADIUS 属性内のグループ名を区切るグループ区切り文字列。
    • IP アドレスベンダー ID:イントラネット IP を示す RADIUS 内の属性のベンダー ID。値 0 は、属性がベンダーエンコードされていないことを示します。
    • IP アドレス属性タイプ:RADIUS 応答内のリモート IP アドレス属性の属性タイプ。
    • パスワードベンダー ID:RADIUS 応答に含まれるパスワードのベンダー ID。ユーザーパスワードの抽出に使用されます。
    • パスワード属性タイプ:RADIUS 応答に含まれるパスワード属性の属性タイプ。
    • [Password Encoding]:システムから RADIUS サーバに送信される RADIUS パケットでパスワードをエンコードする方法。指定可能な値:パップ、チャップ、mschapv1、および mschapv2。
    • [Default Authentication Group]:抽出されたグループに加えて、認証が成功した場合に選択されるデフォルトグループ。
    • アカウンティング:管理サービスが RADIUS サーバで監査情報を記録できるようにします。
  4. [作成] をクリックし、[閉じる] をクリックします。

LDAP 認証サーバの追加

LDAP 認証を設定するには、認証タイプを LDAP として指定し、LDAP 認証サーバを設定します。

LDAP サーバを追加するには

  1. [ 構成 ] タブの [ システム] で、[ 認証] を展開し、[ LDAP] をクリックします。
  2. 詳細ペインで、[Add] をクリックします。
  3. [LDAP サーバの作成] ダイアログボックスで、パラメータの値を入力または選択します。
    • [Name*]:サーバの名前。

    • サーバ名/ IP アドレス*:FQDN またはサーバ IP アドレス。 :DNS は、指定された FQDN を IP アドレスに解決できる必要があり、FQDN の解決にはプライマリ DNS のみが使用されます。プライマリ DNS を手動で設定するには、「FQDN 名前解決用のプライマリ DNS の追加」の項を参照してください。

    • [Port*]:LDAP サーバが稼働しているポート。デフォルト値:389。

    • Timeout*:システムが LDAP サーバからの応答を待機する秒数。

    • Base DN:LDAP 検索を開始するベース、またはノード。

    • [Type]:LDAP サーバのタイプ。有効な値は、Active Directory (AD) と Novell ディレクトリサービス (NDS) です。

    • 管理バインド DN:LDAP サーバにバインドするために使用される完全識別名。

    • 管理パスワード:LDAP サーバにバインドするために使用するパスワード。

    • [LDAP 証明書の検証]:LDAP サーバから受信した証明書を検証するには、このオプションをオンにします。

    • LDAP ホスト名:LDAP サーバのホスト名。validateServerCert パラメーターが有効な場合、このパラメーターは LDAP サーバーからの証明書のホスト名を指定します。ホスト名が一致しないと、接続に失敗します。

    • サーバログオン名属性:外部 LDAP サーバまたは Active Directory を照会するためにシステムによって使用される名前属性。

    • [Search Filter]:デフォルトの LDAP ユーザ検索文字列と組み合わせて値を形成する文字列。たとえば、ldaploginame samaccount で vpnallowed=true を指定し、ユーザーが指定したユーザー名 bob を指定すると、LDAP 検索文字列 (& (vpnallowed=true) (samaccount=bob) が返されます。

    • [Group Attribute]:LDAP サーバからグループを抽出するための属性名。

    • [サブ属性名]-LDAP サーバからグループを抽出するためのサブ属性名。

    • [Security Type]:アプライアンスと認証サーバ間の通信に使用される暗号化のタイプ。設定可能な値:

      PLAINTEXT: 暗号化は不要です。

      TLS: TLS プロトコルを使用して通信します。

      SSL: SSL プロトコルを使用した通信

    • [Default Authentication Group]:抽出されたグループに加えて、認証が成功した場合に選択されるデフォルトグループ。

    • [Referrals]:LDAP サーバから受信した LDAP 紹介のフォローを有効にします。

    • [最大 LDAP リフェラル]:フォローする LDAP リフェラルの最大数。

    • [パスワード変更の有効化(Enable Change Password)]:パスワードの有効期限が切れた場合、ユーザパスワードを変更できるのは、[セキュリティタイプ] が [TLS] または [SSL] に設定されている場合のみです。

    • ネストされたグループの抽出を有効にする-ネストされたグループの抽出機能を有効にします。

    • [最大ネストレベル]-グループを抽出できるレベルの数。

    • グループ名識別子:LDAP サーバ内のグループを一意に識別する名前。

    • グループサーチ属性:LDAP グループサーチ属性。グループがどのグループに属しているかを判断するのに使用されます。

    • グループ検索サブ属性:LDAP グループ検索サブ属性。グループがどのグループに属しているかを判断するのに使用されます。

    • [Group Search Filter]:デフォルトの LDAP グループ検索文字列と組み合わせて検索値を構成する文字列。

  4. [Create] をクリックしてから、[Close] をクリックします。

LDAP ユーザに対する SSH 公開キー認証のサポート

SDX アプライアンスは、ログオン用の SSH 公開キー認証によって LDAP ユーザーを認証できるようになりました。公開鍵のリストは、LDAP サーバーのユーザーオブジェクトに保存されます。認証中、SSH は LDAP サーバから SSH 公開鍵を抽出します。取得した公開鍵のいずれかが SSH で動作する場合、ログオンは成功します。

抽出された公開キーの同じ属性名が、LDAPサーバーとCitrix ADC SDXアプライアンスの両方に存在する必要があります。

重要:

鍵ベースの認証では、 以下の点で*/etc/sshd\_config*ファイルの*Authorizedkeysfile*の値を設定して、公開鍵の場所を指定する必要があります。

AuthorizedKeysFile .ssh/authorized_keys

システムユーザー。 /etc/sshd_config**ファイルで Authorizedkeysfile の値を設定することで、任意のシステムユーザーのパブリックキーの場所を指定できます。

LDAP ユーザ。取得した公開鍵は、*/var/pubkey/\<user\_name\>/tmp\_authorized\_keys-\<pid\>.*に保存されます。\<pid\>は同じユーザーからの同時 SSH 要求を区別するために追加される一意の番号です。これは、認証プロセス中に公開鍵を保持するための一時的な場所です。認証が完了すると、公開鍵はシステムから削除されます。

ユーザでログインするには、シェルプロンプトから次のコマンドを実行します。

$ ssh –i \<private key\> \<username\>@\<IPAddress\>

GUI を使用して LDAP サーバを設定するには、次の手順を実行します。

  1. [System]>[Authentication]>[LDAP]の順に選択します。
  2. [LDAP] ページで、[ **サーバー** ] タブをクリックします。
  3. 使用可能な LDAP サーバのいずれかをクリックします。
  4. [認証 LDAP サーバの構成 ] ページで、認証目的の [ 認証 ] チェックボックスをオンにします。

SSH-LDAP-パブリックキー

注:

LDAP ユーザの認証に「SSHPublicKeys」を使用するには、[認証] チェックボックスをオフにします。

FQDN 名前解決用のプライマリ DNS の追加

IP アドレスではなくサーバの FQDN を使用して RADIUS または LDAP サーバを定義する場合は、GUI または CLI を使用して、サーバ名を解決するようにプライマリ DNS を手動で設定する必要があります。

GUI を使用してプライマリ DNS を設定するには、[ システム] > [ネットワーク構成] > [DNS] の順に移動します

CLI を使用してプライマリ DNS を設定するには、次の手順に従います。

  1. セキュアシェル (SSH) コンソールを開きます。
  2. nsroot/nsroot 資格情報を使用して、Citrix ADC SDX アプライアンスにログオンします。
  3. networkconfig コマンドを実行します。
  4. 適切なメニューを選択して DNS IPv4 アドレスを更新し、変更を保存します。

networkconfig コマンドをもう一度実行すると、更新された DNS アドレスが表示されます。

TACACS サーバの追加

TACACS 認証を設定するには、認証タイプを TACACS として指定し、TACACS 認証サーバを設定します。

TACACS サーバを追加するには

  1. [ 構成 ] タブの [ システム] で、[ 認証] を展開し、[ TACACS] をクリックします。
  2. 詳細ペインで、[Add] をクリックします。
  3. [ Create TACACS Server ] ダイアログボックスで、パラメータの値を入力または選択します。
    • [Name]:TACAS サーバの名前
    • IP アドレス:TACACS サーバの IP アドレス
    • [Port]:TACACS サーバが稼働しているポート。デフォルト値:49
    • Timeout:システムが TACACS サーバからの応答を待機する最大秒数
    • TACACS Key:クライアントとサーバ間で共有されるキー。この情報は、システムが TACACS サーバと通信するために必要です。
    • アカウンティング:管理サービスが TACACAS サーバで監査情報を記録できるようにします。
    • [Default Authentication Group]:抽出されたグループに加えて、認証が成功した場合に選択されるデフォルトグループ。
  4. [Create] をクリックしてから、[Close] をクリックします。
外部認証サーバの設定