技術論文:Citrix ADC 導入のベストプラクティス

概要

この技術論文は、ADCの熟練者が一般的な実装として何を構成するかを伝えることを目的としています。

注: 誰にでも合う単一の構成があるとは考えにくいです。あなたのニーズをよりよく理解しているコンサルタントまたは管理者は、これらのデフォルトから逸脱し、そのような変更の理由を文書化することができます。

電源と消灯の管理設定

Citrix ADCアプライアンスを購入した場合は、以下を確認する必要があります。

  1. Citrix ADCは、高可用性要件を満たすのに十分離れた場所に展開されます。

  2. 各ADCの冗長電源ユニット(購入した場合)は、別々の電源に接続されています。

  3. 消灯管理カード(そのようなカードでアプライアンスを購入した場合)が構成されています。

ライトアウト管理カードの設定の詳細については、こちらを参照してください。

物理ネットワークケーブル、VLAN、および接続

1. Citrix ADCをネットワークに接続するすべての物理インターフェイスは冗長です

ケーブル、スイッチ、またはインターフェイスの障害時にデータフローを確保するには、ADCを冗長ケーブルで各ネットワークに接続します。

各ネットワークを接続するインターフェースを単一のリンク(チャネルと呼ぶ)に結合するには、ADCでリンクアグリゲーションを構成する必要があります。可能な場合は、Link Aggregation Control Protocol (LACP) を使用することをお勧めします。ただし、ネットワークスイッチが LACP をサポートしていない場合は、手動で集約されたリンクも可能です。

Citrix ADCでリンクアグリゲーションを構成する手順については、こちらを参照してください。

仮想化環境またはクラウド環境では、プロバイダーがインターフェイスの冗長性を処理するため、この手順は必要ありません。

2. 未使用の物理インターフェイスは無効です

使用していない物理インターフェースをすべて無効にします。未使用のインターフェイスを無効にすると、他のネットワークやデバイスに誤ってまたは悪意を持って接続されるのを防ぎます。

物理インタフェースを無効にするには、[ システム]、[ネットワーク]、[インタフェース] を選択します。次に、インターフェイスの横にあるボックスにチェックマークを付け、[アクションの選択]をクリックし、続いて [無効にする] をクリックします。

3. System、Network、Interfaces内のHAについて、すべての冗長物理インターフェイスを監視解除するように設定する

各ネットワークには冗長接続があるため、単一のリンクに障害が発生したときにADCがHAフェールオーバーを開始することは望ましくありません。代わりに、ADCは残りのリンクに依存し、すべてのリンクに障害が発生した場合にのみフェイルオーバーをトリガーする必要があります。

冗長チャネルの 1 つのインターフェイスに障害が発生したときに HA フェールオーバーが発生しないようにするには、コンポーネントインターフェイスを unmonitored としてマークします。

インターフェイスを監視対象外としてマークするには、[ システム]、[ネットワーク]、[インターフェイス] を選択します。次に、各冗長チャネルの一部を形成する各インターフェイスを選択し、[HA Monitoring] ラジオボタンを [OFF] に設定します。

仮想化環境またはクラウド環境では、仮想インターフェイスがあり、プロバイダーがインターフェイスの冗長性を処理するため、この手順を実行する必要はありません。

4. 冗長物理インターフェイスを構成するすべてのチャネルは、システム、ネットワーク、チャネル内のHAについて監視する必要があります

ADCを特定のネットワークに接続しているすべての集約リンクに障害が発生すると、それらのリンクを表すチャネルが障害/ダウン状態になります。

チャネルで監視が有効になっていることを確認し、すべての冗長リンクに障害が発生した場合にADCがフェイルオーバーします。

チャネルを監視対象としてマークするには、[ システム]、[ネットワーク]、[チャネル] を選択します。次に、各チャネルを選択し、[HA Monitoring] ラジオボタンを [ON] に設定します。

5. すべてのチャネルは別々の VLAN にバインドされており、タグなしチャネルが誤って VLAN 1 に残っていないように注意しました

各冗長チャネルは、通常、ADCを特定の論理ネットワークに接続する集合的な物理リンクを表します。

仮想化環境またはクラウド環境では、各インターフェイスは、集約作業を完了したプロバイダーとの集約された物理リンクを表している可能性があります。

デフォルトでは、ADCはすべてのインターフェース、チャネル、IPアドレスをVLAN1と同じ論理ネットワークと見なします。そのため、VLAN構成を見落とすと、ADCに割り当てられたすべてのIPアドレスが、直接接続されているすべてのネットワークから利用できるようになります。

この動作を防ぐには、ADCにVLANを設定してロジックネットワークを表し、トラフィックを適切に分離します。

VLAN を作成する手順については、こちらを参照してください。

6. システム内のADC間にHAペアを作成し、高可用性を実現

Citrix は、ADCを冗長に展開することがベストプラクティスであると考えています。冗長性を実現するには、HA ペアを実装するか、クラスターを作成するか、GSLB などのテクノロジーを使用してインスタンス間でリクエストを分割します。HAペアは2つのADCノードで構成され、クラスタには最大32ノードを使用できます。一般的な実装では、2ノードのHAペアを作成することをお勧めします。

HA ペアの設定手順については、こちらを参照してください。

7. 1つのSNIPを作成してすべてのVLANにバインドし、各SNIPが接続されているネットワークのサブネットに確実に存在するようにします

Citrix ADCは、限定的な例外を除いて、サブネットIP(SNIPと呼ばれる)から通信を開始します。

直接接続されているロジカルネットワークごとに 1 つのサブネット IP/SNIP を作成します。すでにVLANを使用して各ネットワークを分離しているので、各SNIPをそれぞれのVLANにバインドする必要があります。VLAN に SNIP が欠落していないことを確認するように注意してください。

ADCは、SNIPのサブネットに基づいて、各仮想IP(VIP)を配置する必要があるVLANを識別します。次に、VLAN構成により、仮想サーバーを目的のネットワーク内で分離します。

SNIP の設定手順については、こちらを参照してください。

注: デフォルトでは、ホスト管理サービスを SNIP します。管理サービスを有効にせずにSNIPを作成するには、「add ns IP」コマンドに「-mgmtAccess DISABLED」パラメーターを追加します。

8. システム、ネットワーク、ルート内でADCが必要とするルートを構成する

複数の論理ネットワークを接続している場合は、それぞれにルーターがある可能性があります。そのため、ADCがクライアントとバックエンドサーバーに到達するために必要なすべてのルートを構成する必要があります。

ルートの設定方法については、こちらを参照してください。

注: ADCには、すべてのインタフェースに適用される単一のルーティングテーブルがあります。

9. 必要なポリシーベースのルートを作成する

場合によっては、希望する動作を提供するようにスタティックルートを設定することは不可能です。

最も頻度の高い例は、入力、出力、および専用の管理ネットワークが区別されるADC、および出力ネットワーク上の管理クライアントです。

この場合、静的ルールでは十分ではありません。代わりに、ポリシーベースルート (PBR) が必要です。PBRを使用することで、ADCの管理IPからのトラフィックが管理ルーターを経由するように強制できます。PBR を使用すると、スタティックルーティングテーブルがバイパスされ、それ以外の場合は出力ネットワークにデータが送信されます。

ポリシーベースのルートを設定する手順については、こちらを参照してください。

ただし、この例で説明したシナリオがある場合は、次の PBR が必要です。

add ns pbr Management ALLOW -srcIP = <NSIP_of_first_HA_node>-<NSIP_of_second_HA_node> -destIP "!=" <first_IP_management_subnet>–<last_IP_management_subnet> -nextHop <management_subnet_router> - priority 1
apply pbrs
<!--NeedCopy-->

10. Mac ベース転送 (MBF) が無効になっている各 SNIP に対して ping を実行できること、またはできない理由を理解していることを確認してください

Citrix ADCには、Macベース転送(MBF)と呼ばれるモードがあります。MBFを使用すると、ADCはルーティングテーブルを無視し、トラフィックを受信したMACアドレスに応答を送信します。

MBFは、ルートを定義できない場合に非常に役立ちます。ADCに複数のインターネット接続があり、トラフィックが到着したインターネットルーターを使用して応答する必要があるとします。ここで、MBFはADCに各接続の送信元MACアドレスを記録させ、これを応答の宛先MACとして使用します。

ただし、MBF でルーティングテーブルを上書きすると、トラブルシューティングがより複雑になる可能性があります。MBFでは、MBFがルーティングテーブルを上書きし、トラフィックが意図したとおりに流れない可能性があるため、ADCの構成ファイルだけからのトラフィックフローを理解することはできません。その結果、MBF は一部の実装では重要ですが、サポートネットワークの設定ミスが検出されないままになる可能性もあります。

MBF を無効にして、ルーティングテーブルと PBR が正しいことを確認します。MBF を無効にした後、各 SNIP が到達可能なままであること、または到達できない理由を理解していることを確認します。

MBF を無効にするコマンドは

disable ns mode mbf
<!--NeedCopy-->

MBF を有効にするコマンドは

enable ns mode mbf
<!--NeedCopy-->

MBF を必要としない場合は、無効のままにしておきます。

Macベース転送の詳細については、こちらをご覧ください。

11. トラフィック管理、SSL、証明書に管理 GUI 用の新しい SSL 証明書とキーをインストールしました


Webブラウザーは、Citrix ADCのデフォルトのSSL証明書を信頼しません。信頼性の欠如により、ブラウザはADCの管理サービスにアクセスするときに警告メッセージを表示します。

証明書に関するブラウザ警告は、接続が安全でない場合にユーザーに警告することを目的としています。管理ユーザーが警告メッセージを受け入れることに慣れないように、デフォルトのSSL証明書を置き換えることをお勧めします。

管理 SSL 証明書を置き換える方法の詳細については、こちらを参照してください。

注: Citrix ADCはHAノード間で管理SSL証明書を共有するため、管理目的で使用されるすべてのFQDNで代替証明書を信頼する必要があります。Citrix では、SAN証明書を使用して両方のHAノードのFQDNを含めることをお勧めします。

基本構成設定

1. タイムゾーンを設定してNTPを有効にする

セキュリティ問題のトラブルシューティングや処理を行う際には、ログファイルに正確でわかりやすいタイムスタンプを入れることが不可欠です。

まず、タイムゾーンを自分にとって意味のあるものに設定します。たとえば、中央の syslog サーバにログインするデバイスがあり、それぞれのデータを相互参照する必要がある場合は、既存のサーバと同じタイムゾーンを使用します。

タイムゾーンを設定するコマンドは次のとおりです。

set ns param -timezone CoordinatedUniversalTime
<!--NeedCopy-->

次に、NTPサーバーを追加し、次のコマンドを使用して時刻同期を有効にします。

add ntp server pool.ntp.org
enable ntp sync
<!--NeedCopy-->

時刻同期を有効にしたら、次のコマンドを使用して、NTP ステータスを表示して正しい動作を確認します。

nsroot@StevensADC-Primary> show ntp status

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*any.time.nl     85.199.214.99    2 u  113 1024  377   21.138   +0.762   0.654
 Done
 nsroot@StevensADC-Primary>
<!--NeedCopy-->

ADCのGUIを使用してタイムゾーンに移動する方法の詳細は、こちらで確認できます。

NTPサーバーを追加する方法の詳細は、こちらで確認できます。

2. キー暗号化キーを作成する

キー暗号化キー(一般にKEKとして知られる)は、ADCが可逆形式で保存する必要がある資格情報の暗号化と復号化に使用されます。たとえば、ADCは、認証時にLDAPバインドパスワードを取得するために、そのLDAPバインドパスワードを元に戻すことができるようにする必要があります。

Citrix ADCファームウェア13.0~76.31から、ADCは自動的にKEKを作成します。それ以降のファームウェアでは、このコマンドはエラーメッセージを返しますが、無視しても問題ありません。

以前のリリースでは、次のコマンドで KEK を作成できます。

create kek <RANDOMSTRING>
<!--NeedCopy-->

3. デフォルト以外の nsroot パスワードを設定する

Citrix ADCファームウェアの最近のリリースでは、初回ログイン時に「nsroot」アカウントのデフォルトパスワードを変更するように求められます。最近のファームウェアビルドでは、”-forcePasswordChange” システムパラメータが有効になっているため、パスワードの変更を求められます

それ以前のリリースでは、次のコマンドで「nsroot」パスワードを変更する必要があります。

set system user nsroot -password <NSROOTPASSWORD>
<!--NeedCopy-->

4. 外部認証を無効にしたADMのアカウントを追加する


理想的には、すべてのCitrix ADCをADMに接続して、ライセンスと管理を一元化します。ADMへの接続には、次のコマンドで作成できるユーザー名とパスワードが必要です。

add system user admuser <ADMPASSWORD> -externalAuth DISABLED -timeout 900
bind system user admuser superuser 100
set system user admuser -externalAuth DISABLED
<!--NeedCopy-->

ADMの詳細については、こちらをご覧ください。

5. 非管理アプリケーションのNSIPへのアクセスとHTTPSアクセスのみを制限する

非管理サービスが管理 IP にアクセスするのを防ぎ、安全な通信アクセス (HTTP ではなく HTTPS) を要求するように管理 IP を設定します。

set ns ip NSIP -restrictAccess enabled -gui SECUREONLY
<!--NeedCopy-->

NSIPへのアクセス制限の詳細については、こちらをご覧ください。

6. デフォルト以外の RPC ノードパスワードを設定する

デフォルト以外のパスワードを使用するように RPC 通信 (HA と GSLB に使用) を設定します。

set rpcNode <NSIP_OF_SECONDARY_NODE> -password <RPC_SECONDARY_PASSWORD> -secure YES

set rpcNode <NSIP_OF_PRIMARY_NODE> -password <RPC_PRIMARY_PASSWORD> -secure YES
<!--NeedCopy-->

7. HAフェイルセーフモードが有効になっているため、最後の正常なノードがサービスを提供し続けることが保証されます

ADCの監視対象HAインターフェイスまたはルートがエラーを示している場合、ADCは異常な状態になり、HAフェイルオーバーをトリガーします。2 番目の HA ノードが異常な状態になると、両方ともサービスの提供を停止します。

HAフェイルセーフモードは、ペアの最後の存続ノードがビジネスサービスの提供を試み続けることを保証します。

set HA node -failSafe ON
<!--NeedCopy-->

高可用性フェイルセーフモードの詳細については、こちらを参照してください。

8. HAフェイルオーバーを1200秒で3に制限する

万が一、HAのフェイルオーバーが繰り返し発生した場合、停止してサービスの提供を試みるようになります。

ここでは、1200 秒 (20 分) の間に 3 回の HA フェールオーバーの制限を定義します。

set ha node -maxFlips 3
set ha node -maxFlipTime 1200
<!--NeedCopy-->

9. 管理サービスの SSLv3 を無効にする

Citrix ADC管理GUIでは、デフォルトでSSLv3とTLS1.0が有効になっています。安全な通信を確保するために、SSLv3を無効にします。

set ssl service nshttps-::1l-443 -ssl3 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled
<!--NeedCopy-->

会社の内部セキュリティポリシーによっては、オプションで TLS1.0 を無効にできます。

set ssl service nshttps-::1l-443 -ssl3 disabled -tls1 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled -tls1 disabled
<!--NeedCopy-->

10. ジェネリックモードと機能を設定する

Citrix ADCでは、デフォルトでレイヤー3モードが有効になっています。レイヤー3モードでは、ADCはルーターとして機能し、通常は安全に無効にできます。エッジ・モードでは、リンク・ロード・バランシングなどの構成で使用される場合、ADCはバックエンド・サーバーの詳細を動的に学習します。

disable ns mode l3 edge
<!--NeedCopy-->

レイヤー3モードの詳細については、こちらをご覧ください。

必要な特定のモードと機能は、ユースケースによって異なります。ただし、ほとんどのインストールに適用されるオプションのリストを選択できます。

enable ns feature lb ssl rewrite responder cmp
<!--NeedCopy-->

モードと機能の詳細については、こちらをご覧ください。

11. 1 つ以上の DNS ネームサーバーを設定する

Citrix ADCは、DNS解決のために1つ以上のネームサーバーにアクセスできる必要があります。Citrix ADCは、ICMPモニターを使用してDNSサーバーがオンラインかどうかを確認します。DNSベースの監視を使用して負荷を分散するには、通常、ローカルDNS負荷分散仮想サーバーを実装します。

DNSはUDPまたはTCPを使用できるため、プロトコルごとに1つの負荷分散仮想サーバーを作成します。

以下のコマンドを使用してネームサーバーを設定します。

add lb virtual server DNS_UDP DNS 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_UDP_SVG DNS -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_UDP DNS_UDP_SVG

add lb monitor DNS_UDP_monitor DNS -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_UDP_SVG -monitorName DNS_UDP_monitor

bind serviceGroup DNS_UDP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_UDP_SVG <DNSSERVERIP2> 53


add lb virtual server DNS_TCP DNS_TCP 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_TCP_SVG DNS_TCP -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_TCP DNS_TCP_SVG

add lb monitor DNS_TCP_monitor DNS-TCP -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_TCP_SVG -monitorName DNS_TCP_monitor

bind serviceGroup DNS_TCP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_TCP_SVG <DNSSERVERIP2> 53

add dns nameServer DNS_UDP -type UDP
add dns nameServer DNS_TCP -type TCP
<!--NeedCopy-->

12. TCP と HTTP のパラメータを設定する

ウィンドウスケーリング(WS)と選択的確認応答(SACK)は現在、ADC 13.0ファームウェアではデフォルトで有効になっていますが、以前のファームウェアバージョンではこれらの TCP 設定を有効にする必要があります。

set ns tcpparam -WS ENABLED
set ns tcpparam -SACK ENABLED
<!--NeedCopy-->

Nagleを使用すると、Citrix ADCはデータを結合して少数の大きなパケットを送信し、次のコマンドで有効にすることができます。

set ns tcpparam -nagle ENABLED
<!--NeedCopy-->

デフォルトでは、Citrix ADCはロードバランサーに到着したが、RFC標準に準拠していないHTTP要求を転送します。デフォルトとして無効な要求をドロップするようにADCを設定します。

デフォルトの例外を許可するには、セキュリティチームと話し合った後、個々の仮想サーバーの HTTP オプションを変更します。

20年以上前から廃止されてきたHTTP/0.9プロトコルのサポートを無効にします。参考までに、Windows 3.1のMosaic 2.0にはHTTP/1.0のサポートが含まれています。

set ns httpparam -dropInvalReqs ENABLED -markHttp09Inval ON
<!--NeedCopy-->

Cookie バージョン 0 には絶対タイムスタンプが含まれますが、バージョン 1 の Cookie には相対時間が含まれます。絶対タイムスタンプを持つクッキーは、クライアントとADCのクロックが異なる場合、予想された時間に期限切れになりません。ただし、有効期限が切れるまでの相対時間が+X分であるクッキーは有効です。

Internet Explorer 2 には 1995 年にバージョン 1 の Cookie のサポートが含まれており、このオプションを有効にしても問題が発生することはほとんどありません。

set ns param -cookieversion 1
<!--NeedCopy-->

13. SNMPクエリーを特定のサーバに制限する

ADCは、そのようなクエリーを行うはずのホストからのSNMPクエリーにのみ応答するのが良い習慣です。次のコマンドを使用して、ADC が SNMP クエリーを許可するホストを制限します。

set snmp manager SNMPMANAGERIP
<!--NeedCopy-->

SNMPの設定の詳細については、こちらを参照してください。

14. SNMPアラームとトラップを設定する

CPUまたはメモリ使用量の多い状態が発生したときに、ADCがアラートを発生させると便利です。アラートは、トラップ設定を介してSNMPサーバーに送信できます。高可用性フェイルオーバーが発生したときにアラートをトリガーすることもできます。このような設定は、以下のコマンドで実装できます。

set snmp alarm CPU-USAGE -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Informational
set snmp alarm MEMORY -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Critical
set snmp alarm HA-STATE-CHANGE -severity Critical

add snmp trap generic SNMPTRAPDSTIP -communityName public
<!--NeedCopy-->

注: 調査する異常な動作についてADCが警告を発するように、しきい値を定期的に確認することを検討することをお勧めします。

15. リモート syslog サーバーを設定する

監査ログはADCで構成し、監査ログはリモートサーバーに保存して分析する必要があります。

次のコマンドを使用して、監査ログをリモートのSyslogサーバーに送信するようにCitrix ADCを構成できます。

add audit syslogAction RemoteSyslogServerAction SYSLOGSERVERIP -loglevel ALL
add audit syslogpolicy RemoteSyslogServerPolicy true RemoteSyslogServerAction
bind audit syslogGlobal -policyName RemoteSyslogServerPolicy -priority 100
<!--NeedCopy-->

[監査ログの詳細については、こちらをご覧ください] (/ja-jp/citrix-adc/current-release/system/audit-logging.html)

16. 管理セッションのタイムアウトとプロンプトを設定する

Citrix ADC 13.0では、アイドル状態の管理セッションを切断する前に、デフォルトで900秒(15分)が許可されます。古いバージョンのファームウェアでは、適切なタイムアウトを設定していることを確認する必要があります。

set system parameter -timeout 900
<!--NeedCopy-->

管理者は、複数の ADC に対して SSH セッションを同時に開くことができます。ADCのCLIプロンプトを変更すると、セッションが接続されているノードが明確になります。

次のコマンドを実行すると、CLI プロンプトにユーザー名、ADC のホスト名、インスタンスの HA ステータスが表示されます。

set system parameter -promptString %u@%h-%s
<!--NeedCopy-->

コマンドを実行すると、プロンプトは次のように表示されます。

nsroot@hostname-Primary>
<!--NeedCopy-->

17. 管理アカウントの集中認証

セキュリティチームは一般に、各デバイスでアカウントを作成するよりも、Active Directory などの中央プラットフォームから管理アカウントを制御する方が良いと考えています。通常、これらの一元化されたアカウントには、グループメンバーシップに基づいて権限が付与されます。

一元化された認証と承認の根拠は、通常、各デバイスでアカウントを管理するには時間がかかり、エラーが発生しやすいということです。また、管理ユーザーがパスワードを頻繁に変更せず、IT部門が元従業員のアカウントを削除するのを忘れるリスクもあります。

LDAP フィルターがログインを許可するユーザーを制御することを念頭に置いて、次のコマンドを使用して集中認証を設定します。

add authentication ldapAction LDAP_mgmt_auth -serverIP <LDAPMANAGEMENTSERVERIP> -serverPort 636 -ldapBase "<dc=mycoolcompany,dc=local>" -ldapBindDn "<serviceaccount@mycoolcompany.local>" -ldapBindDnPassword <LDAPPASSWORD> -ldapLoginName <sAMAccountName> -searchFilter "&(|(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-FullAccess,ou=groups,dn=mycoolcompany,dc=local>)(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-ReadOnly,ou=groups,dn=mycoolcompany,dc=local>))" -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED -nestedGroupExtraction ON -maxNestingLevel 5 -groupNameIdentifier samAccountName -groupSearchAttribute memberOf -groupSearchSubAttribute CN

add authentication Policy LDAP_mgmt_pol -rule true -action LDAP_mgmt_auth
bind system global LDAP_mgmt_pol -priority 100
<!--NeedCopy-->

これらのコマンドは認証を実装しますが、認可を制御せず、デフォルトでは、認証されたユーザは何のアクションも実行できません。

ユーザー(より正確には、ユーザーがメンバーであるグループ)にADCでアクションを実行する権限を付与するには、次のコマンドを使用する必要があります。

add system group Citrix-ADC-FullAccess -timeout 900
add system group Citrix-ADC-ReadOnly -timeout 900
bind system group Citrix-ADC-FullAccess -policyName superuser 100
bind system group Citrix-ADC-ReadOnly -policyName read-only 110
<!--NeedCopy-->

集中型認証と承認の詳細については、こちらを参照してください。

また、上記で使用した LDAP フィルタ文字列に関する情報もここにあります。

さらに、ADCファームウェアバージョン12.1.51.16からは、 次の手順に従って管理ユーザーの多要素認証を構成できます。

18. nsroot ユーザーの LDAP 認証を無効にする

Citrix ADCは認証と承認を別々に処理するため、ユーザーはLDAPを使用して認証でき、ADCはグループメンバーシップに基づいて権限を付与します。

良い考えではありませんが、ADCで承認権限を持つユーザーアカウントを作成することもできます。その後、同じ名前のAcActive Directory ユーザーに関連付けられたパスワードを使用して、これらのアカウントを認証できます。

AcActive Directory 管理者が「nsroot」ユーザーを作成して認証できないようにするには、「nsroot」ユーザーアカウントの外部認証を無効にする必要があります。

set system user nsroot -externalAuth DISABLED
<!--NeedCopy-->

19. TLS/SSL ベストプラクティス

これで、TLS/SSL ベストプラクティスドキュメントに従って、仮想サーバーを保護するために使用できる安全な暗号スイートを定義できます。

TLS/SSL のベストプラクティス文書はここにあります。

技術論文:Citrix ADC 導入のベストプラクティス

この記事の概要