ドメインまたはドメイン+セキュリティトークン認証
XenMobileは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリに対するドメインベースの認証をサポートしています。XenMobileでは、1つまたは複数のディレクトリへの接続を構成し、LDAP構成を使用して、グループ、ユーザーアカウント、関連するプロパティをインポートすることができます。
LDAPは、オープンソースで特定のベンダーに依存しないアプリケーションプロトコルであり、インターネットプロトコル(IP)ネットワーク経由で分散ディレクトリ情報サービスへのアクセスや管理を行うためのものです。ディレクトリ情報サービスは、ネットワークで使用可能な、ユーザー、システム、ネットワーク、サービス、およびアプリケーションに関する情報を共有するために使用されます。
LDAPは一般的に、シングルサインオン(SSO)をユーザーに提供するために利用されます。SSOでは(ユーザーごとに)1つのパスワードを複数のサービス間で共有します。シングルサインオンにより、ユーザーは会社のWebサイトに一度ログオンすると、社内イントラネットへのアクセスが認証されます。
クライアントが、ディレクトリシステムエージェント(DSA)と呼ばれるLDAPサーバーに接続して、LDAPセッションを開始します。次に、クライアントは操作要求をサーバーに送信し、サーバーは適切な認証で応答します。
重要:
XenMobileでは、ユーザーがXenMobileにデバイスを登録した後に、認証モードをドメイン認証から他の認証モードに変更することはサポートされていません。
XenMobileでLDAP接続を追加するには
-
XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
-
[サーバー] の下の [LDAP] をクリックします。[LDAP] ページが開きます。この記事で説明するように、LDAP準拠のディレクトリを[追加]、[編集]、[削除]することができます。
LDAP準拠のディレクトリを追加するには
-
[LDAP] ページで、[追加] をクリックします。[LDAPの追加] ページが開きます。
-
次の設定を構成します:
- ディレクトリの種類: 一覧から、適切なディレクトリの種類を選択します。デフォルトは [Microsoft Active Directory] です。
- プライマリサーバー: LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
- セカンダリサーバー: セカンダリサーバーが構成されている場合、任意でセカンダリサーバーのIPアドレスまたはFQDNを入力します。このサーバーは、プライマリサーバーが使用できない場合に使用するフェイルオーバーサーバーです。
- ポート: LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号389に設定されています。セキュリティ保護されたLDAP接続ではポート番号636、Microsoftのセキュリティ保護されていないLDAP接続では3268、Microsoftのセキュリティ保護されたLDAP接続では3269を使用します。
- ドメイン名: ドメイン名を入力します。
-
ユーザーベースDN: Active Directory内でのユーザーの位置を一意の識別子で入力します。構文例には次が含まれます:
ou=users、dc=example、dc=com -
グループベースDN: Active Directoryのグループの場所を入力します。たとえば、
cn=users, dc=domain, dc=netの場合、cn=usersはグループのコンテナ名でdcはActive Directoryのドメインコンポーネントです。 - ユーザーID: Active Directoryアカウントに関連付けられたユーザーIDを入力します。
- パスワード: ユーザーに関連付けられたパスワードを入力します。
- ドメインエイリアス: ドメイン名のエイリアスを入力します。登録後に [ドメインエイリアス] 設定を変更すると、ユーザーは再登録する必要があります。
- XenMobileロックアウト制限: ログオンの試行失敗回数として、0~999 の数値を入力します。「0」の値に設定すると、ユーザーがログオンの試行失敗によってXenMobileによりロックアウトされることはなくなります。
- XenMobileロックアウト時間: ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、0~99999 の数値を入力します。「0」の値に設定すると、ユーザーがロックアウト後に強制的に待機させられることはなくなります。
- グローバルカタログTCPポート: グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は3268に設定されています。SSL接続では、ポート番号3269を使用します。
- グローバルカタログルートコンテキスト: 任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
- ユーザー検索基準: 一覧から、[userPrincipalName] または [sAMAccountName] を選択します。デフォルトは [userPrincipalName] です。登録後に [ユーザー検索基準] を変更すると、ユーザーは再登録する必要があります。
- セキュリティで保護された接続を使用: セキュリティ保護された接続を使用するかどうかを選択します。デフォルトは [いいえ] です。
-
[保存] をクリックします。
LDAP準拠のディレクトリを編集するには
-
[LDAP] の表で、編集するディレクトリを選択します。
ディレクトリの横にあるチェックボックスをオンにすると、LDAP一覧の上にオプションメニューが表示されます。一覧の項目をクリックすると、その項目の右側にオプションメニューが表示されます。
-
[編集] をクリックします。[LDAPの編集] ページが開きます。
-
必要に応じて以下の情報を変更します。
- ディレクトリの種類: 一覧から、適切なディレクトリの種類を選択します。
- プライマリサーバー: LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
- セカンダリサーバー: 任意で、セカンダリサーバーのIPアドレスまたはFQDNを入力します(構成されている場合)。
- ポート: LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号389に設定されています。セキュリティ保護されたLDAP接続ではポート番号636、Microsoftのセキュリティ保護されていないLDAP接続では3268、Microsoftのセキュリティ保護されたLDAP接続では3269を使用します。
- ドメイン名: このフィールドは変更できません。
-
ユーザーベースDN: Active Directory内でのユーザーの位置を一意の識別子で入力します。構文例には次が含まれます:
ou=users、dc=example、dc=com -
グループベースDN:「
cn=groupname」のように指定される、グループのベースDNグループ名を入力します。たとえば、cn=users, dc=servername, dc=netで、cn=usersはグループ名です。DNおよびservernameは、Active Directoryを実行しているサーバーの名前を表します。 - ユーザーID: Active Directoryアカウントに関連付けられたユーザーIDを入力します。
- パスワード: ユーザーに関連付けられたパスワードを入力します。
- ドメインエイリアス: ドメイン名のエイリアスを入力します。登録後に [ドメインエイリアス] 設定を変更すると、ユーザーは再登録する必要があります。
- XenMobileロックアウト制限: ログオンの試行失敗回数として、0~999 の数値を入力します。「0」の値に設定すると、ユーザーがログオンの試行失敗によってXenMobileによりロックアウトされることはなくなります。
- XenMobileロックアウト時間: ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、0~99999 の数値を入力します。「0」の値に設定すると、ユーザーがロックアウト後に強制的に待機させられることはなくなります。
- グローバルカタログTCPポート: グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は3268に設定されています。SSL接続では、ポート番号3269を使用します。
- グローバルカタログルートコンテキスト: 任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
- ユーザー検索基準: 一覧から、[userPrincipalName] または [sAMAccountName] を選択します。登録後に [ユーザー検索基準] を変更すると、ユーザーは再登録する必要があります。
- セキュリティで保護された接続を使用: セキュリティ保護された接続を使用するかどうかを選択します。
-
[保存] をクリックして変更を保存するか、[キャンセル] をクリックしてプロパティを変更せずそのままにします。
LDAP準拠のディレクトリを削除するには
-
[LDAP] の表で、削除するディレクトリを選択します。
各プロパティの横のチェックボックスをオンにして、削除するプロパティを複数選択できます。
-
[削除] をクリックします。確認ダイアログボックスが開きます。もう一度 [削除] をクリックします。
複数ドメイン認証の構成
XenMobile Serverを構成してLDAPの構成で複数のドメインサフィックスを使用するには、Citrix Endpoint Managementドキュメントの「複数ドメイン認証の構成」で手順を参照してください。この手順は、オンプレミス版のXenMobile ServerおよびEndpoint Managementのクラウド版と同様です。
ドメイン+セキュリティトークン認証の構成
RADIUSプロトコルを使用して、LDAP資格情報とワンタイムパスワードによる認証をユーザーに要求するようにXenMobileを構成できます。
ユーザービリティを最適にするために、この構成をCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。この構成により、ユーザーはLDAPユーザー名とパスワードを繰り返し入力する必要がなくなります。ただし、登録、パスワード失効、およびアカウントのロックアウトの場合は、ユーザー名とパスワードを入力します。
LDAP設定の構成
認証にLDAPを使用する場合、証明機関からXenMobileにSSL証明書をインストールする必要があります。詳しくは、「XenMobileでの証明書のアップロード」を参照してください。
-
[設定] で [LDAP] をクリックします。
-
[Microsoft Active Directory] を選択して [編集] をクリックします。
-
[ポート]が636であることを確認します(セキュリティで保護されたLDAP接続の場合)。セキュリティで保護されたMicrosoft LDAP接続の場合は3269です。
-
[セキュリティで保護された接続を使用] を [はい] に変更します。
Citrix Gateway設定の構成
次の手順では、Citrix Gatewayインスタンスを既にXenMobileに追加してあると想定しています。Citrix Gatewayインスタンスを追加するには、「Citrix Gatewayインスタンスの追加」を参照してください。
-
[設定] で [Citrix Gateway] をクリックします。
-
[Citrix Gateway] を選択して [編集] をクリックします。
-
[ログオンの種類] で [ドメインおよびセキュリティトークン] を選択します。
Citrix PINとユーザーパスワードキャッシュの有効化
Citrix PINとユーザーパスワードキャッシュを有効化するには、 [設定]>[クライアントプロパティ] に移動し、チェックボックス [Citrix PIN認証の有効化] および [ユーザーパスワードキャッシュの有効化] をオンにします。詳しくは、「クライアントプロパティ」を参照してください。
ドメインおよびセキュリティトークン認証のためのCitrix Gatewayの構成
Citrix Gatewayセッションのプロファイルおよびポリシーを、XenMobileで使用される仮想サーバー用に構成します。詳しくは、Citrix Gatewayのドキュメントを参照してください。