Product Documentation

ドメインまたはドメイン+セキュリティトークン認証

2018年2月21日

XenMobileは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリに対するドメインベースの認証をサポートしています。XenMobileでは、1つまたは複数のディレクトリへの接続を構成し、LDAP構成を使用して、グループ、ユーザーアカウント、関連するプロパティをインポートすることができます。

LDAPは、オープンソースで特定のベンダーに依存しないアプリケーションプロトコルであり、インターネットプロトコル(IP)ネットワーク経由で分散ディレクトリ情報サービスへのアクセスや管理を行うためのものです。ディレクトリ情報サービスは、ネットワークで使用可能な、ユーザー、システム、ネットワーク、サービス、およびアプリケーションに関する情報を共有するために使用されます。

LDAPは一般的に、シングルサインオン(SSO)をユーザーに提供するために利用されます。SSOでは(ユーザーごとに)1つのパスワードを複数のサービス間で共有します。シングルサインオンにより、ユーザーは会社のWebサイトに一度ログオンすると、社内イントラネットへのアクセスが認証されます。

クライアントが、ディレクトリシステムエージェント(DSA)と呼ばれるLDAPサーバーに接続して、LDAPセッションを開始します。次に、クライアントは操作要求をサーバーに送信し、サーバーは適切な認証で応答します。

重要:

XenMobileでは、ユーザーがXenMobileにデバイスを登録した後に、認証モードをドメイン認証から他の認証モードに変更することはサポートされていません。

XenMobileでLDAP接続を追加するには

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [LDAP] をクリックします。[LDAP] ページが開きます。この記事で説明するように、LDAP準拠のディレクトリを[追加]、[編集]、[削除]することができます。

    LDAP構成画面のイメージ

LDAP準拠のディレクトリを追加するには

  1. [LDAP] ページで、[追加] をクリックします。[Add LDAP]ページが開きます。

    LDAP構成画面のイメージ

  2. 次の設定を構成します。

    • ディレクトリの種類: 一覧から、適切なディレクトリの種類を選択します。デフォルトは [Microsoft Active Directory] です。
    • プライマリサーバー: LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
    • セカンダリサーバー: セカンダリサーバーが構成されている場合、任意でセカンダリサーバーのIPアドレスまたはFQDNを入力します。このサーバーは、プライマリサーバーが使用できない場合に使用するフェイルオーバーサーバーです。
    • ポート: LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号 389 に設定されています。セキュリティ保護されたLDAP接続ではポート番号 636、Microsoftのセキュリティ保護されていないLDAP接続では 3268、Microsoftのセキュリティ保護されたLDAP接続では 3269 を使用します。
    • ドメイン名: ドメイン名を入力します。
    • ユーザーベースDN: Active Directory内でのユーザーの位置を一意の識別子で入力します。構文例には次が含まれます:ou=usersdc=exampledc=com
    • グループベースDN: Active Directoryのグループの場所を入力します。たとえば、cn=users, dc=domain, dc=netの場合、cn=usersはグループのコンテナー名でdcはActive Directoryのドメインコンポーネントです。
    • ユーザーID: Active Directoryアカウントに関連付けられたユーザーIDを入力します。
    • パスワード: ユーザーに関連付けられたパスワードを入力します。
    • ドメインエイリアス: ドメイン名のエイリアスを入力します。
    • XenMobileロックアウト制限: ログオンの試行失敗回数として、0999 の数値を入力します。「0」の値に設定すると、ユーザーがログオンの試行失敗によってロックアウトされることはなくなります。
    • XenMobileロックアウト時間: ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、099999 の数値を入力します。「0」の値に設定すると、ユーザーがロックアウト後に強制的に待機させられることはなくなります。
    • グローバルカタログTCPポート: グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は 3268 に設定されています。SSL接続では、ポート番号 3269 を使用します。
    • グローバルカタログルートコンテキスト: 任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
    • ユーザー検索基準: 一覧から、[userPrincipalName] または [sAMAccountName] を選択します。デフォルトは [userPrincipalName] です。
    • セキュリティで保護された接続を使用: セキュリティ保護された接続を使用するかどうかを選択します。デフォルトは[NO]です。
  3. [保存] をクリックします。

LDAP準拠のディレクトリを編集するには

  1. [LDAP] の表で、編集するディレクトリを選択します。

    ディレクトリの横にあるチェックボックスをオンにすると、LDAP一覧の上にオプションメニューが表示されます。一覧の項目をクリックすると、その項目の右側にオプションメニューが表示されます。

  2. [編集] をクリックします。[LDAPの編集] ページが開きます。

    LDAP構成画面のイメージ

  3. 必要に応じて以下の情報を変更します。

    • ディレクトリの種類: 一覧から、適切なディレクトリの種類を選択します。
    • プライマリサーバー: LDAPで使用するプライマリサーバーを入力します。IPアドレスまたは完全修飾ドメイン名(FQDN)を入力できます。
    • セカンダリサーバー: 任意で、セカンダリサーバーのIPアドレスまたはFQDNを入力します(構成されている場合)。
    • ポート: LDAPサーバーで使用するポート番号を入力します。デフォルトでは、セキュリティ保護されていないLDAP接続用のポート番号 389 に設定されています。セキュリティ保護されたLDAP接続ではポート番号 636、Microsoftのセキュリティ保護されていないLDAP接続では 3268、Microsoftのセキュリティ保護されたLDAP接続では 3269 を使用します。
    • ドメイン名: このフィールドは変更できません。
    • ユーザーベースDN: Active Directory内でのユーザーの位置を一意の識別子で入力します。構文例には次が含まれます:ou=usersdc=exampledc=com
    • グループベースDN:cn=groupname」のように指定される、グループのベースDNグループ名を入力します。たとえば、「cn=users, dc=servername, dc=net」で、「cn=users」はグループ名です。DNおよびservernameは、Active Directoryを実行しているサーバーの名前を表します。
    • ユーザーID: Active Directoryアカウントに関連付けられたユーザーIDを入力します。
    • パスワード: ユーザーに関連付けられたパスワードを入力します。
    • ドメインエイリアス: ドメイン名のエイリアスを入力します。
    • XenMobileロックアウト制限: ログオンの試行失敗回数として、0999 の数値を入力します。「0」の値に設定すると、ユーザーがログオンの試行失敗によってロックアウトされることはなくなります。
    • XenMobileロックアウト時間: ロックアウト制限を超えた後にユーザーが待機する必要がある分数を表す、099999 の数値を入力します。「0」の値に設定すると、ユーザーがロックアウト後に強制的に待機させられることはなくなります。
    • グローバルカタログTCPポート: グローバルカタログサーバーのTCPポート番号を入力します。デフォルトでは、TCPポート番号は 3268 に設定されています。SSL接続では、ポート番号 3269 を使用します。
    • グローバルカタログルートコンテキスト: 任意で、Active Directoryでのグローバルカタログ検索を有効にしたときに使用する、グローバルルートコンテキスト値を入力します。この検索では、標準のLDAP検索に加えて、実際のドメイン名を指定することなく任意のドメインを検索できます。
    • ユーザー検索基準: 一覧から、[userPrincipalName] または [sAMAccountName] を選択します。
    • セキュリティで保護された接続を使用: セキュリティ保護された接続を使用するかどうかを選択します。
  4. [保存] をクリックして変更を保存するか、[キャンセル] をクリックしてプロパティを変更せずそのままにします。

LDAP準拠のディレクトリを削除するには

  1. [LDAP] の表で、削除するディレクトリを選択します。

    各プロパティの横のチェックボックスをオンにして、削除するプロパティを複数選択できます。

  2. [削除] をクリックします。確認ダイアログボックスが開きます。もう一度 [削除] をクリックします。

ドメイン+セキュリティトークン認証の構成

RADIUSプロトコルを使用して、LDAP資格情報とワンタイムパスワードによる認証をユーザーに要求するようにXenMobileを構成できます。

ユーザービリティを最適にするために、この構成をCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。この構成により、ユーザーはLDAPユーザー名とパスワードを繰り返し入力する必要がなくなります。ただし、登録、パスワード失効、およびアカウントのロックアウトの場合は、ユーザー名とパスワードを入力します。

LDAP設定の構成

認証にLDAPを使用する場合、証明機関からXenMobileにSSL証明書をインストールする必要があります。詳しくは、「XenMobileでの証明書のアップロード」を参照してください。

  1. [設定][LDAP] をクリックします。

  2. [Microsoft Active Directory] を選択して [編集] をクリックします。

    LDAP構成画面のイメージ

  3. [ポート]が 636 であることを確認します(セキュリティで保護されたLDAP接続の場合)。セキュリティで保護されたMicrosoft LDAP接続の場合は 3269 です。

  4. [セキュリティで保護された接続を使用][はい] に変更します。

    LDAP構成画面のイメージ

NetScaler Gateway設定の構成

次の手順では、NetScaler GatewayインスタンスをすでにXenMobileに追加してあると想定しています。NetScaler Gatewayインスタンスを追加するには、「NetScaler Gatewayインスタンスの追加」を参照してください。

  1. [設定][NetScaler Gateway] をクリックします。

  2. NetScaler Gateway を選択して [編集] をクリックします。

  3. [ログオンの種類][ドメインおよびセキュリティトークン] を選択します。

    NetScaler Gateway構成画面の画像

Citrix PINとユーザーパスワードキャッシュの有効化

Citrix PINとユーザーパスワードキャッシュを有効化するには、 [設定]>[クライアントプロパティ] に移動し、チェックボックス [Citrix PIN認証の有効化] および [ユーザーパスワードキャッシュの有効化] をオンにします。詳しくは、「クライアントプロパティ」を参照してください。

ドメインおよびセキュリティトークン認証のためのNetScaler Gatewayの構成

NetScaler Gatewayセッションのプロファイルおよびポリシーを、XenMobileで使用される仮想サーバー用に構成します。詳しくは、Citrix NetScaler Gatewayのドキュメントを参照してください。