認証のネゴシエーション
他の種類の認証ポリシーと同様に、Negotiate 認証ポリシーは式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。
標準の認証機能に加えて、Negotiate Action コマンドでは、手動で情報を入力する代わりに、キータブファイルからユーザー情報を抽出できるようになりました。キータブに複数の SPN がある場合、認証、承認、および監査によって正しい SPN が選択されます。この機能は、コマンドラインまたは構成ユーティリティを使用して構成できます。
注
これらの手順は、すでに LDAP プロトコルに精通しており、選択した LDAP 認証サーバをすでに設定していることを前提としています。
コマンドラインインターフェイスを使用して keytab ファイルからユーザー情報を抽出するように認証、承認、および監査を構成するには
コマンドプロンプトで、適切なコマンドを入力します。
add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
Parameter description
- 名前 -交渉アクションの名前を使用します。
- ドメイン -サービスプリンシパルのドメイン名があること 、 CitrixのADCをrepresnts。
- domainUser - Citrix ADCプリンシパルにマップされているアカウントのユーザー名。これは、keytabファイルが利用できない場合にドメインとパスワードとともに指定できます。ユーザー名がkeytabファイルと一緒に指定されている場合、そのkeytabファイルでこのユーザーの資格情報が検索されます。最大長:127
- domainUserPasswd - Citrix ADCプリンシパルにマップされているアカウントのパスワード。
- defaultAuthenticationGroup- これは、抽出されたグループに加えて、認証が成功したときに選択されるデフォルトのグループです。最大長:63
- keytab -Citrix ADCに提示されたKerberosチケットを復号化するために使用されるkeytabファイルへのパス。キータブが利用できない場合は、 domain/username/password ネゴシエーションアクション設定で指定できます。最大長:127
- NTLMPath- サーバーのFQDNを含む、NTLM認証が有効になっているサイトへのパス。これは、クライアントがNTLMにフォールバックするときに使用されます。 最大長:127
設定ユーティリティを使用して keytab ファイルからユーザー情報を抽出するための認証、承認、および監査を構成するには
注
構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使 用されますが、同じタスクを指します。
- [セキュリティ] > [AAA-アプリケーショントラフィック] > [認証] > [高度なポリシー] > [アクション] > [SAML] に移動します。
-
詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。
- 新しい [ネゴシエート] アクションを作成する場合は、[追加] をクリックします。
- 既存の [ネゴシエート] アクションを変更する場合は、データウィンドウでアクションを選択し、[編集] をクリックします。
- 新しい [ネゴシエート] アクションを作成する場合は、[名前] テキストボックスに新しいアクションの名前を入力します。名前の長さは 1 ~ 127 文字で、大文字、小文字、数字、ハイフン (-) およびアンダースコア (_) を使用できます。既存の「ネゴシエート」アクションを変更する場合は、この手順をスキップします。名前は読み取り専用です。変更できません。
- [ネゴシエート] で、[キータブファイルを使用] チェックボックスがオンになっていない場合は、オンにします。
- 「キータブファイルのパス」テキストボックスに、使用するキータブファイルのフルパスとファイル名を入力します。
- [既定の認証グループ] テキストボックスに、このユーザーの既定として設定する認証グループを入力します。
- [作成] または [OK] をクリックして 変更を保存します。
Kerberos認証に高度な暗号化を使用する場合の注意点
- キータブを使用する場合の設定例: 認証negotiateActionを追加 neg_act_aes256 -キータブ “/nsconfig/krb/lbvs_aes256.keytab”
- keytabに複数の暗号化タイプがある場合は、次のコマンドを使用します。このコマンドは、ドメインユーザーパラメータを追加でキャプチャします。addauthenticationnegotiateAction neg_act_keytab_all -キータブ “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
- ユーザー資格情報を使用する場合は、次のコマンドを使用します。addauthentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “HTTP/lbvs.aaa.local” -domainUserPasswd
<password>- 正しい domainUser 情報が提供されていることを確認してください。ADでユーザーログオン名を探すことができます。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
コピー完了
コピー失敗