ADC

NetScalerアプライアンスでのケルベロス認証の設定

このトピックでは、CLIとGUIを使用してNetScalerアプライアンスでKerberos認証を構成する詳細な手順を説明します。

CLI での Kerberos 認証の設定

  1. 認証、承認、および監査機能を有効にして、アプライアンス上のトラフィックの認証を確実に行います。

    ns-cli-promp ns 機能 AAA を有効にする

  2. キータブファイルをNetScalerアプライアンスに追加します。Kerberos 認証中にクライアントから受け取ったシークレットを復号するには、キータブファイルが必要です。1つのキータブファイルには、NetScalerアプライアンス上のトラフィック管理仮想サーバーにバインドされているすべてのサービスの認証詳細が含まれています。

    まず、Active Directory サーバーでキータブファイルを生成してから、NetScalerアプライアンスに転送します。

    • Active Directory サーバーにログオンし、次のコマンドを使用して Kerberos 認証用のユーザーを追加します。

       net user <username> <password> /add
      

      [ユーザーのプロパティ] セクションで、[次回のログオン時にパスワードを変更] オプションが選択されておらず、[パスワードが期限切れにならない] オプションが選択されていることを確認します。

    • HTTP サービスを上記のユーザーにマップし、keytab ファイルをエクスポートします。たとえば、Active Directory サーバーで次のコマンドを実行します。

       ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass <user password> /mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL
      

      複数のサービスに認証が必要な場合は、複数のサービスをマッピングできます。さらに多くのサービスをマップする場合は、サービスごとに上記のコマンドを繰り返します。出力ファイルには、同じ名前でも別の名前でもかまいません。

    • unix ftp コマンドまたはその他の任意のファイル転送ユーティリティを使用して、キータブファイルをNetScalerアプライアンスに転送します。キータブファイルをNetScalerアプライアンスの/nsconfig/krb/ディレクトリにアップロードします。

  3. NetScalerアプライアンスは、完全修飾ドメイン名(FQDN)からドメインコントローラーのIPアドレスを取得する必要があります。したがって、NetScaler ADCをDNSサーバーで構成することをお勧めします。

    ns-cli-promp DNS ネームサーバーを追加 <ip-address>

    または、静的ホストエントリを追加するか、他の方法を使用して、NetScalerアプライアンスがドメインコントローラーのFQDN名をIPアドレスに変換できるようにすることもできます。

  4. 認証アクションを設定し、認証ポリシーに関連付けます。

    • ネゴシエートアクションを設定します。この構成により、Kerberos キー配布センター (KDC) として使用される Active Directory サーバーのアクション (プロファイル) が作成されます。プロファイルには、その AD KDC サーバーとの通信に必要なすべての構成データが含まれます。

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domain name> -domainUser <domain user name> -domainUserPasswd <domain user password> -defaultAuthenticationGroup <default authentication group> -keytab <string> -NTLMPath <string>

      :ドメインユーザおよびドメイン名の設定については、クライアントに移動し、次の例に示すように klist コマンドを使用します。

      クライアント:ユーザー名 @ AAA.LOCAL

      サーバー:http/onprem_idp.AAA.local @ AAA.LOCAL

      add authentication negotiateAction <name> -domain -domainUser <HTTP/onprem_idp.aaa.local>

    • ネゴシエートポリシーを設定し、ネゴシエートアクションをこのポリシーに関連付けます。

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. 認証仮想サーバを作成し、ネゴシエートポリシーを関連付けます。

    • 認証仮想サーバーを作成します。

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • ネゴシエートポリシーを認証仮想サーバーにバインドします。

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. 認証仮想サーバーをトラフィック管理 (負荷分散またはコンテンツスイッチング) 仮想サーバーに関連付けます。

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    コンテンツスイッチング仮想サーバーでも同様の構成を行うことができます。

  7. 次の操作を行って、設定を確認します。

    • FQDN を使用して、トラフィック管理仮想サーバにアクセスします。たとえば、 サンプル

    • CLI でセッションの詳細を表示します。

      ns-cli-promp AAA セッションを表示

GUI での Kerberos 認証の設定

  1. 認証、認可、および監査機能を有効にします。

    [ システム ] > [ 設定] に移動し、[ 基本機能の構成 ] をクリックして、認証、承認、および監査機能を有効にします。

  2. 前述の CLI 手順のステップ 2 で説明したように、keytab ファイルを追加します。

  3. DNS サーバーを追加します。

    [ トラフィック管理] > [DNS] > [ネームサーバー] に移動し、DNS サーバーの IP アドレスを指定します。

  4. ネゴシエートアクションとポリシーを設定します

    [ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー] に移動し、アクションタイプとして [ ネゴシエート [ ADD ] をクリックして新しい認証ネゴシエートサーバーを作成するか、[ Edit ] をクリックして既存の詳細を設定します。

  5. ネゴシエートポリシーを認証仮想サーバーにバインドします。

    [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、 ネゴシエートポリシーを認証仮想サーバに関連付けます

  6. 認証仮想サーバーをトラフィック管理 (負荷分散またはコンテンツスイッチング) 仮想サーバーに関連付けます。

    [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、関連する認証設定を指定します。

    コンテンツスイッチング仮想サーバーでも同様の構成を行うことができます。

  7. 上記の CLI 手順のステップ 7 で詳述した設定を確認します。

NetScalerアプライアンスでのケルベロス認証の設定