RADIUS認証
他の種類の認証ポリシーと同様に、リモート認証ダイヤルインユーザーサービス (RADIUS) 認証ポリシーは、式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。ただし、RADIUS 認証ポリシーを設定するには、次に説明する特定の特別な要件があります。
通常、認証時に認証サーバーのIPアドレスを使用するようにCitrix ADCを構成します。RADIUS 認証サーバを使用すると、IP アドレスではなく RADIUS サーバの FQDN を使用してユーザを認証するように ADC を設定できるようになりました。FQDN を使用すると、認証サーバが複数の IP アドレスのいずれかに存在し、常に 1 つの FQDN を使用する環境において、より複雑な認証、承認、および監査の構成を簡素化できます。IP アドレスの代わりにサーバーの FQDN を使用して認証を構成するには、認証アクションを作成する場合を除き、通常の構成プロセスに従います。アクションを作成するときは、serverIP パラメータを serverName パラメータに置き換えます。
ユーザーの認証にRADIUSサーバーのIPまたはFQDNを使用するようCitrix ADCを構成するかを決定する前に、IPアドレスの代わりにFQDNに対して認証を行うように認証、承認、および監査を構成すると、認証プロセスに余分な手順が追加されることを検討してください。ADC は、ユーザを認証するたびに、FQDN を解決する必要があります。多数のユーザーが同時に認証を試みると、結果として生じる DNS ルックアップによって認証プロセスが遅くなる可能性があります。
注
これらの手順は、すでに RADIUS プロトコルに精通しており、選択した RADIUS 認証サーバをすでに設定していることを前提としています。
コマンドラインインターフェイスを使用して RADIUS サーバーの認証アクションを追加するには
RADIUS サーバに対して認証を行う場合は、明示的な認証アクションを追加する必要があります。これを行うには、コマンドプロンプトで次のコマンドを入力します。
add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
次の例では、 Authn-Act-1という名前の RADIUS 認証アクションを追加します。このアクションには、サーバ IP 10.218.24.65、サーバポート 1812、認証タイムアウト 15分、RADIUSキー WareTheLorax、NAS IP が無効、NAS ID が含まれます。NAS1.
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
次の例では、同じ RADIUS 認証アクションを追加しますが、IP の代わりにサーバ FQDN rad01.example.com を使用します。
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
コマンドラインを使用して外部 RADIUS サーバーの認証アクションを構成するには
既存の RADIUS アクションを構成するには、コマンドプロンプトで次のコマンドを入力します。
set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
コマンドラインインターフェイスを使用して外部 RADIUS サーバーの認証アクションを削除するには
既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。
rm authentication radiusAction <name>
<!--NeedCopy-->
例
rm authentication radiusaction Authn-Act-1
Done
<!--NeedCopy-->
構成ユーティリティを使用して RADIUS サーバを構成するには
注
構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使 用されますが、同じタスクを指します。
- [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [Radius]に移動します。
-
詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。
- 新しい RADIUS サーバを作成するには、[Add] をクリックします。
- 既存の RADIUS サーバを変更するには、サーバを選択し、[Edit] をクリックします。
-
[認証RADIUSサーバーの作成] または [認証RADIUSサーバーの構成] ダイアログで、パラメータの値を入力または選択します。[ 発信ステーション ID を送信] の下に表示されるパラメータを入力するには、[ 詳細] を展開します。
- 名前*—radiusActionName (以前に設定されたアクションでは変更できません)
- 認証タイプ*:authtype(RADIUSに設定され、変更不可)
-
サーバ名/ IP アドレス*:サーバ名またはサーバ IP のいずれかを選択します。
- サーバー名*—serverName <FQDN>
- IP アドレス*:serverIp <IP> サーバに IPv6 IP アドレスが割り当てられている場合は、[IPv6] チェックボックスをオンにします。
- ポート*:serverPort
- タイムアウト (秒) *—authTimeout
- シークレットキー*:radKey(RADIUS 共有シークレット)
- 確認シークレットキー*:RADIUS 共有シークレットをもう一度入力します。(コマンドラインに相当するものはありません)。
- 発信側ステーション ID の送信:callingstationid
- グループベンダー識別子:radVendorID
- グループ属性タイプ-radAttributeType
- IP アドレスベンダー識別子:ipVendorID
- pwdベンダーID—pwdVendorID
- パスワードエンコーディング:passEncoding
- デフォルト認証グループ:defaultAuthenticationGroup
- NAS ID—radNASid
- NAS の IP アドレス抽出を有効にする:radNASip
- グループプレフィクス-radGroupsPrefix
- グループ・セパレータ—radGroupSeparator
- IP アドレス属性タイプ:ipAttributeType
- パスワード属性タイプ:pwdAttributeType
- アカウンティング:accounting
- [ 作成]または[ OK]をクリックします。作成したポリシーが [Servers] ページに表示されます。
RADIUS 属性 66 を通過するサポート(トンネル-クライアントエンドポイント)
Citrix ADCアプライアンスは、RADIUS認証中にRADIUS属性66(トンネル-クライアントエンドポイント)のパススルーを許可するようになりました。この機能を適用することで、クライアントの IP アドレスが第 2 要素認証によって受信され、リスクベースの認証の決定が委託されます。
「add authentication radiusAction」コマンドと「set radiusParams」コマンドの両方に、新しい属性「tunnelEndpointClientIP」が導入されました。
この機能を使用するには、Citrix ADCアプライアンスのコマンドプロンプトで次のように入力します。
add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]
<!--NeedCopy-->
例
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED
<!--NeedCopy-->
エンドツーエンドの RADIUS 認証の検証のサポート
Citrix ADCアプライアンスは、GUIを使用してエンドツーエンドのRADIUS認証を検証できるようになりました。この機能を検証するために、GUIに新しい「テスト」ボタンが導入されました。Citrix ADCアプライアンス管理者は、この機能を利用して、次のメリットを得ることができます。
- 完全なフロー(パケットエンジン-aaa デーモン-外部サーバ)を統合し、より優れた分析を提供します。
- 個々のシナリオに関連する問題の検証とトラブルシューティングにかかる時間を短縮
GUI を使用して RADIUS エンドツーエンド認証のテスト結果を設定および表示するには、2 つのオプションがあります。
システム・オプションから
- [システム] > [認証] > [基本ポリシー] > [RADIUS] に移動し、[サーバー] タブをクリックします。
- リストから使用可能な RADIUS アクション を選択します。
- [認証 RADIUS サーバーの構成] ページで、[接続の設定] セクション に 2 つのオプションがあります。
- RADIUS サーバの接続を確認するには、[RADIUS 到達可能性のテスト] タブをクリックします。
- エンドツーエンド RADIUS 認証を表示するには、[エンドユーザ接続のテスト] リンクをクリックします。
「認証から」オプション
- [認証] > [ダッシュボード] に移動し、リストから使用可能な RADIUS アクションを選択します。
- [認証 RADIUS サーバーの構成] ページで、[接続の設定] セクション に 2 つのオプションがあります。
- RADIUS サーバの接続を確認するには、[RADIUS 到達可能性のテスト] タブをクリックします。
- エンドツーエンド RADIUS 認証ステータスを表示するには、[エンドユーザ接続のテスト] リンクをクリックします。