Product Documentation

ドメインまたはドメイン+セキュリティトークン認証

Apr 27, 2017
XenMobileは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリ(Active Directoryなど)に対するドメインベースの認証をサポートしています。XenMobileでは、1つまたは複数のディレクトリへの接続を構成し、LDAP構成を使用して、グループ、ユーザーアカウント、関連するプロパティをインポートすることができます。
 
LDAPは、オープンソースで特定のベンダーに依存しないアプリケーションプロトコルであり、インターネットプロトコル(IP)ネットワーク経由で分散ディレクトリ情報サービスへのアクセスや管理を行うためのものです。ディレクトリ情報サービスは、ネットワークで使用可能な、ユーザー、システム、ネットワーク、サービス、およびアプリケーションに関する情報を共有するために使用されます。LDAPは一般的に、シングルサインオン(SSO)をユーザーに提供するために利用されます。SSOでは(ユーザーごとに)1つのパスワードを複数のサービスで共有します。ユーザーは、会社のWebサイトに一度ログオンすれば、社内イントラネットに自動的にログインできます。
 
クライアントが、ディレクトリシステムエージェント(DSA)と呼ばれるLDAPサーバーに接続して、LDAPセッションを開始します。次に、クライアントは操作要求をサーバーに送信し、サーバーは適切な認証で応答します。

XenMobileでLDAP接続を追加するには

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

2.[Server]の下の[LDAP]をクリックします。[LDAP]ページが開きます。このページでは、LDAP準拠のディレクトリを[Add][Edit][Delete]することができます。

localized image

LDAP準拠のディレクトリを追加するには

1.[LDAP]ページで、[Add]をクリックします。[Add LDAP]ページが開きます。

localized image

2. 次の設定を構成します。

  • Directory type:一覧から、適切なディレクトリの種類を選択します。デフォルトは[Microsoft Active Directory]です。
  • Primary server:LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
  • Secondary server:セカンダリサーバーが構成されている場合、任意でセカンダリサーバーのIPアドレスまたはFQDNを入力します。このサーバーは、プライマリサーバーが使用できない場合に使用するフェイルオーバーサーバーです。
  • Port:LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号389に設定されています。セキュリティ保護されたLDAP接続ではポート番号636、Microsoftのセキュリティ保護されていないLDAP接続では3268、Microsoftのセキュリティ保護されたLDAP接続では3269を使用します。
  • Domain name:ドメイン名を入力します。
  • User base DN:Active Directory内でのユーザーの位置を一意の識別子で入力します。構文の例には、「ou=users, dc=example, or dc=com」などがあります。
  • Group base DN:Active Directoryのグループの場所を入力します。たとえば、cn=users、c=domain、dc=netの場合、cn=usersはグループのコンテナー名でdcはActive Directoryのドメインコンポーネントです。
  • User ID:Active Directoryアカウントに関連付けられたユーザーIDを入力します。
  • Password:ユーザーに関連付けられたパスワードを入力します。
  • Domain alias:ドメイン名のエイリアスを入力します。
  • XenMobile Lockout Limit:ログオンの試行失敗回数として、0~999の数値を入力します。このフィールドを「0」に設定すると、ユーザーがログオンの試行失敗によってロックアウトされることはなくなります。
  • XenMobile Lockout Time:ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、0~99999の数値を入力します。このフィールドを「0」に設定すると、ロックアウト後にユーザーが待機する必要はなくなります。
  • Global Catalog TCP Port:グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は3268に設定されています。SSL接続では、ポート番号3269を使用します。
  • Global Catalog Root Context:任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
  • User search by:一覧から、[userPrincipalName]または[sAMAccountName]を選択します。デフォルトは[userPrincipalName]です。
  • Use secure connection:セキュリティ保護された接続を使用するかどうかを選択します。デフォルトは[NO]です。

3.[Save]をクリックします。

LDAP準拠のディレクトリを編集するには

1.[LDAP]の表で、編集するディレクトリ選択します。

:ディレクトリの横にあるチェックボックスをオンにすると、LDAP一覧の上にオプションメニューが表示されます。一覧のそのほかの場所をクリックすると、一覧の右側にオプションメニューが表示されます。

2.[Edit]をクリックします。[Edit LDAP]ページが開きます。

localized image

3. 必要に応じて以下の情報を変更します。

  • Directory type: 一覧から、適切なディレクトリの種類を選択します。
  • Primary server:LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
  • Secondary server: 任意で、セカンダリサーバーのIPアドレスまたはFQDNを入力します(構成されている場合)。
  • Port:LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号389に設定されています。セキュリティ保護されたLDAP接続ではポート番号636、Microsoftのセキュリティ保護されていないLDAP接続では3268、Microsoftのセキュリティ保護されたLDAP接続では3269を使用します。
  • Domain name: このフィールドは変更できません。
  • User base DN:Active Directory内でのユーザーの位置を一意の識別子で入力します。構文の例には、「ou=users, dc=example, or dc=com」などがあります。
  • Group base DN:「cn=groupname」のように指定される、グループのベースDNグループ名を入力します。たとえば、「cn=users, dc=servername, dc=net」で、「cn=users」はグループ名です。DNおよびservernameは、Active Directoryを実行しているサーバーの名前を表します。
  • User ID:Active Directoryアカウントに関連付けられたユーザーIDを入力します。
  • Password:ユーザーに関連付けられたパスワードを入力します。
  • Domain alias:ドメイン名のエイリアスを入力します。
  • XenMobile Lockout Limit:ログオンの試行失敗回数として、0~999の数値を入力します。このフィールドを「0」に設定すると、ユーザーがログオンの試行失敗によってロックアウトされることはなくなります。
  • XenMobile Lockout Time:ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、0~99999の数値を入力します。このフィールドを「0」に設定すると、ロックアウト後にユーザーが待機する必要はなくなります。
  • Global Catalog TCP Port:グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は3268に設定されています。SSL接続では、ポート番号3269を使用します。
  • Global Catalog Root Context:任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
  • User search by:一覧から、[userPrincipalName]または[sAMAccountName]を選択します。
  • Use secure connection:セキュリティ保護された接続を使用するかどうかを選択します。

4.[Save]をクリックして変更を保存するか、[Cancel]をクリックしてプロパティを変更せずそのままにします。

LDAP準拠のディレクトリを削除するには

1.[LDAP]の表で、削除するデバイスを選択します。

:各プロパティの横のチェックボックスをオンにして、削除するプロパティを複数選択できます。

2.[Delete]をクリックします。確認ダイアログボックスが開きます。もう一度[Delete]をクリックします。

ドメイン+セキュリティトークン認証の構成

RADIUSプロトコルを使用して、LDAP資格情報とワンタイムパスワードによる認証をユーザーに要求するようにXenMobileを構成できます。

ユーザービリティを最適化するためにこの構成をCitrix PINおよびActive Directoryパスワードキャッシュと組み合わせて、ユーザーがActive Directoryのユーザー名とパスワードを繰り返し入力する必要がないようにすることができます。登録、パスワード失効、およびアカウントのロックアウトの場合は、ユーザー名とパスワードを入力する必要が生じます。

LDAP設定の構成

認証にLDAPを使用する場合、証明機関からXenMobileにSSL証明書をインストールする必要があります。詳しくは、「XenMobileでの証明書のアップロード」を参照してください。

1.[Settings][LDAP]をクリックします。

2.[Microsoft Active Directory]を選択して[Edit]をクリックします。

localized image

3. [Port]が636であることを確認します(セキュリティで保護されたLDAP接続の場合)。セキュリティで保護されたMicrosoft LDAP接続の場合は3269です。

4.[Use secure connection][Yes]に変更します。

localized image

NetScaler Gateway設定の構成

次の手順では、NetScaler GatewayインスタンスをすでにXenMobileに追加してあると想定しています。NetScaler Gatewayインスタンスを追加するには、「新しいNetScaler Gatewayインスタンスを構成するには」を参照してください。

1.[Settings][NetScaler Gateway]をクリックします。

2.[NetScaler Gateway]を選択して[編集]をクリックします。

3.[Logon Type][Domain and security token]を選択します。

localized image

Worx PINとユーザーパスワードキャッシュの有効化

Worx PINとユーザーパスワードキャッシュを有効化するには、[Settings]>[Client Properties]に移動し、チェックボックス[Enable Worx PIN Authentication]および[Enable User Password Caching]を選択します。詳しくは、「クライアントプロパティ」を参照してください。

ドメインおよびセキュリティトークン認証のためのNetScaler Gatewayの構成

NetScaler Gatewayセッションのプロファイルおよびポリシーを、XenMobileで使用される仮想サーバー用に構成します。詳しくは、NetScaler Gatewayのドキュメントの「Configuring Domain and Security Token Authentication for XenMobile」を参照してください。