Citrix ADC を手動で構成する

バージョン10.1のビルド120.1316以降、Citrix ADC には、Storage Zone Controllerのデータとコネクタに必要な設定を構成するウィザードが含まれています。

このセクションの手順では、Storage Zone Controller に必要なCitrix ADC の設定について説明します。すべてのリンクは、NetScaler 10.1のドキュメント用です。これ以降のバージョンのCitrix ADC でも同様のトピックを使用できます。

すべての受信メッセージで有効な URI 署名をチェックするには

  1. sf_callout という名前の HTTP コールアウトを作成します。
    1. [HTTP コールアウトの構成] ダイアログボックスで、[仮想サーバー] または [IP アドレス] をクリックし、アドレスを指定します。

    2. [サーバーに送信する要求] で、[ 属性ベース ] をクリックし、[ 要求属性の構成] をクリックします。

    3. メソッドの取得」を選択します。

    4. [ホストの式] に、仮想サーバのIPアドレスまたはStorage Zone ControllerのホストIPアドレスを入力します。

    5. 「URL 幹式」に次のように入力します。

      "/validate.ashx?RequestURI=" + HTTP.REQ.URL.BEFORE_STR("&h").HTTP_URL_SAFE.B64ENCODE + "&h="+ HTTP.REQ.URL.QUERY.VALUE("h")
      
    6. [ OK ] をクリックし、[HTTP コールアウトの構成] ダイアログボックスに戻ります。

    7. [サーバー応答] で、[ 戻り値の型] を [Bool] として選択します。

    8. 「式」で、応答からデータを抽出するには、次のように入力します。

      HTTP.RES.STATUS.EQ(200).NOT

    9. [作成] をクリックします。 詳しくは、「HTTP コールアウト」を参照してください。

  2. 前述の手順に従って、sf_callout_y という名前の HTTP コールアウトを設定します。エクスプレッションを除き、同じ設定を使用します。
    • 「URL 幹式」に次のように入力します。

      "/validate.ashx?RequestURI=" + HTTP.REQ.URL.HTTP\_URL\_SAFE.B64ENCODE + "\&h="

  3. レスポンダーポリシーを構成します。
    1. [レスポンダーポリシーの構成] ダイアログボックスで、[操作] で [削除] を選択します。

    2. 「式」に、次のように入力します。

      http.REQ.URL.CONTAINS("&h=") && http.req.url.contains("/crossdomain.xml").not && http.req.url.contains("/validate.ashx?requri").not && SYS.HTTP_CALLOUT(sf_callout) || http.REQ.URL.CONTAINS("&h=").NOT && http.req.url.contains("/crossdomain.xml").not && http.req.url.contains("/validate.ashx?requri").not && SYS.HTTP_CALLOUT(sf_callout_y)
      

      詳しくは、「レスポンダー」を参照してください。

  4. レスポンダーポリシーをロードバランサー仮想サーバーにバインドするSSL セッションベースの永続性を構成します。

ロードバランシングするには

  1. トークンベースのロードバランシングの構成」を参照してください。

    ルール式を使用します。 “http.REQ.URL.QUERY.VALUE("uploadid")”

    トークンベースの負荷分散は、高可用性展開のStorage Zone Controllerに必要です。ラウンドロビン負荷分散は、アップロードまたはダウンロードのクライアント要求が、ShareFile.comから認証要求を受信したStorage Zone Controller以外のStorage Zone Controllerに転送される可能性があるため、ダウンロードまたはアップロードが断続的に失敗します。

  2. SSL接続を終了するようにCitrix ADC を構成します。

    詳しくは、「SSL オフロードの設定」とそのサブトピックを参照してください。

コネクタのコンテンツの切り替えと認証を構成するには

  1. コンテンツスイッチングの有効化の説明に従って、コンテンツの切り替えを有効にします。

  2. オンプレミスのストレージゾーンからの ShareFile データに対するユーザー要求に対するコンテンツスイッチングポリシーを作成します。

    1. [コンテンツスイッチングポリシーの構成] ダイアログボックスで、コンテンツスイッチングポリシーの名前を入力します。この手順では、Data_Requests という名前を使用します。

    2. 式を入力します。

      HTTP.REQ.HOSTNAME.CONTAINS("StorageZonesControllerHostName") && HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/").NOT

    3. [OK] をクリックします。

      詳しくは、「コンテンツ スイッチ」を参照してください。

  3. ストレージゾーンコネクタからアクセスされるデータに対するユーザー要求に対するコンテンツスイッチングポリシーを作成します。

    1. [コンテンツスイッチングポリシーの構成] ダイアログボックスで、コンテンツスイッチングポリシーの名前を指定します。この手順では、Connector_Requests という名前を使用します。

    2. 式を入力します。

      HTTP.REQ.HOSTNAME.CONTAINS("StorageZonesControllerFQDN") && (HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/"))

      「Storage Zone ControllerFQDN」をController の FQDN に置き換えてください。

    3. [OK] をクリックします。

  4. コンテンツスイッチング仮想サーバーの作成」を参照してください。

  5. コンテンツスイッチングポリシーのターゲットを設定します。

    • [仮想サーバーの構成(コンテンツスイッチング)]ダイアログボックスで、Data_Requestsポリシーで、ShareFile データのストレージゾーンのロードバランサー仮想サーバーを指定します。

      このロードバランサ仮想サーバーは、すべての受信メッセージで有効な URI 署名を確認して負荷分散の手順 4 で応答側ポリシーをバインドしたサーバーです。

    • Connector_Requests ポリシーで、ストレージゾーンコネクタのロードバランサ仮想サーバーを指定します。

  6. ストレージゾーンコネクタの認証仮想サーバーを構成します。

    Citrix ADC への認証はオプションですが、推奨されるベストプラクティスです。

    1. ナビゲーションウィンドウで、[負荷分散] を展開し、ストレージゾーンコネクタのロードバランサー仮想サーバーの名前を選択し、[開く] をクリックします。

    2. [仮想サーバーの構成 (負荷分散)] ダイアログボックスで、[ 詳細 設定] タブをクリックし、[ 認証設定] を展開します。

    3. [401 ベース認証] のチェックボックスをオンにし、[認証] 仮想サーバーを選択します。

    4. [ メソッドと永続性 ] タブをクリックします。

    5. 「永続性」で、「 CookieINSERT」を選択します。

    6. [タイムアウト (分)] に 240と入力します。

      240 分のタイムアウト値を推奨します。最小値は 10 分より大きくする必要があります。

      詳しくは、「認証仮想サーバの設定」を参照してください。

  7. 認証サーバーを作成および構成するには、[認証サーバーの構成] ダイアログボックスを使用します。

    「SSO名属性」に、「 ユーザープリンシパル名」と入力します。

    その他の設定について詳しくは、「認証ポリシー」を参照してください。

  8. 作成した認証サーバーの認証ポリシーを設定します。

    1. [認証ポリシーの構成] ダイアログボックスで、ポリシーの名前を入力し、前の手順で構成した認証サーバーを選択します。

    2. 式を入力します。

      ns_true

    詳しくは、「認証ポリシーの構成」を参照してください。

  9. シングルサインオン用のセッションプロファイルを構成します。

    1. [セッションプロファイルの構成] ダイアログボックスで、プロファイルの名前を入力します。
    2. Web アプリケーションへのシングルサインオンのチェックボックスをオンにします。
    3. [資格情報インデックス]で[ PRIMARY]を選択します。
    4. シングルサインオンドメインで、Storage Zone Controllerのドメイン名を入力します。
    5. 上記の 3 つの項目ごとに、[グローバルをオーバーライド] チェックボックスをオンにします。

    詳しくは、「セッションプロファイル」を参照してください。

  10. シングルサインオンのセッションポリシーを構成します。

    1. [セッションポリシーの構成]ダイアログボックスで、ポリシーの名前を入力します。

    2. [ 要求プロファイル] で、前の手順で設定したセッションプロファイルの名前を選択します。

    3. 式を入力します。

      ns_true

    詳しくは、「セッションポリシー」を参照してください。

  11. 認証仮想サーバーを作成します。

    1. [仮想サーバーの構成 (認証)] ダイアログボックスで、サーバーの名前と IP アドレスを入力します。
    2. [ 認証 ] タブをクリックし、[ プロトコル] で [ SSL] を選択します。
    3. [ユーザーの認証] チェックボックスをオンにします。
    4. [認証ポリシー] で [ プライマリ ] をクリックし、手順 7 で設定した認証ポリシーを選択します。
    5. [ ポリシー ] タブをクリックし、[ セッション] をクリックし、手順 9 で構成したセッションポリシーを選択します。

    詳しくは、「認証仮想サーバの設定」を参照してください。