最初のファクタのドメインドロップダウン、ユーザー名、およびパスワードフィールドを設定し、次のファクタのグループに基づくポリシー評価を設定します
次のセクションでは、最初のファクタでドメインドロップダウン、ユーザ名、およびパスワードフィールドを設定し、次のファクタのグループに基づくポリシー評価の使用例について説明します。
ユースケース: 最初のファクタのドメインドロップダウンフィールド、ユーザー名、およびパスワードフィールドを設定し、次のファクタのグループに基づいてポリシー評価を行います。
- ユーザーはCitrix Workspaceにログインし、認証仮想サーバーにリダイレクトされます。
-
Citrix ADCは、ドメインドロップダウンリスト、ユーザー名、およびパスワードフィールドを含むログオンフォームを表示します。
- ユーザーは、ドメインドロップダウンリストから値を選択し、資格情報を入力します。
- Citrix ADCは、ユーザー入力に基づいてログオンフォームを表示します。
次の図は、サンプルの nFactor ビジュアライザーフローを示しています。
nFactor ビジュアライザーを使用して、最初のファクタのドメインドロップダウン、ユーザー名、およびパスワードフィールドを構成し、次の要素のグループに基づいてポリシー評価を行います
次に、設定する手順を示します。
-
セキュリティ > AAA アプリケーショントラフィック > nFactor ビジュアライザー > nFactor フローに移動し 、 追加をクリックします。
-
プラスアイコンをクリックして、nFactor フローに係数を追加します。
-
係数の名前を入力します。
-
[スキーマの追加] をクリックして、第 1 要素のスキーマを追加します。
-
DomainDropdown.xml ログインスキーマを選択して EULA_Schema を作成します。
-
手順 5 で作成した最初のファクタのスキーマを選択します。
-
[ ポリシーの追加 ] をクリックし、最初の認証の LDAP ポリシーを選択します。
-
プラスアイコンをクリックして、デシジョンブロックを作成します。
LDAP 認証の作成の詳細については、「LDAP 認証の設定」を参照してください。
-
[ デシジョンブロックの作成 ] を選択し、[ デシジョンファクタ名] フィールドに名前を入力します 。
-
[ ポリシーの追加 ] をクリックして、ドメインチェックのポリシーを作成します。
-
ドメインをチェックするポリシーを作成するには、[ アクションタイプ ] で [ NO_AUTHN] を選択します。
-
デシジョンブロックに追加する以前に作成したポリシーを選択します。
-
新しく作成したポリシーの下にあるプラスアイコンをクリックして、
AAATM.COMをチェックする別のポリシーを追加します。
-
2 番目のドメインをチェックする別のポリシーを作成します。
-
デシジョンブロックに追加する前のステップで作成したポリシーを選択します。
-
AAATM.COMの横にある [+] 記号を選択して、ユーザーがAAATM.COMの一部である場合に評価される係数を追加します。この場合、LDAP ポリシーを追加します。
-
ドメイン
AAATM.COMユーザーのスキーマを選択します。この例では、パスワードのみのスキーマを使用して、ユーザーにパスワードを入力するためのテキストフィールドを提供します。
-
手順 7 に従って、
AAATM.COMドメインのユーザーを認証するためのポリシーを追加します。 -
NSI-TEST.COMの横にある [+] 記号を選択して、ユーザーがNSI-TEST.COMの一部である場合に評価される係数を追加します。この例では、RADIUS 認証方式が使用されています。
-
ステップ 17 に従ってスキーマパスワードのみを追加し、ステップ 7 に示すように RADIUS のポリシーを追加します。
-
[完了] をクリックします。設定は自動的に保存されます。
-
作成した nFactor フローを選択し、[認証サーバにバインド] をクリックし、[作成] をクリックして AAA 仮想サーバにバインドします。
注
[バインドのみを表示] の [nFactor フロー] で指定したオプションを使用して、nFactor フローをバインドおよびバインド解除します。
nFactor フローのバインドを解除するには、次の手順を実行します。
-
nFactor フローを選択し、[バインドを表示] をクリックします。
-
認証 vServer を選択し、[ バインド解除] をクリックします。
注
ログインスキーマが機能するには、Unified Gateway の使用時に、コンテンツスイッチングポリシー式に「/nf」が追加されます。
CLI を使用して、最初のファクタのドメインドロップダウンフィールド、ユーザ名、およびパスワードフィールドを設定し、次の要素のグループに基づいてポリシー評価を行います
次の構成では、リソースアクセス用の TM 仮想サーバーの追加、TM 仮想サーバーを保護するための認証仮想サーバーの追加、およびこのユースケースに関連するポリシーについて説明します。
add lb vserver lbn HTTP 10.217.28.166 80 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth.nsi-test.com -Authentication ON -authnVsName avn
add authentication vserver avn SSL 10.217.28.167 443 -AuthenticationDomain nsi-test.com
add authentication login Schema nfactor-domain -authenticationSchema domain-dropdown.xml
add authentication policylabel nfactor-domain-pol -loginSchema nfactor-domain
add authentication Policy radius-auth -rule "HTTP.REQ.BODY(500).AFTER_STR(\"domain=\").CONTAINS(\"NSI-TEST.COM\")" -action <RADIUS-ACTION>
add authentication Policy next_ldap -rule "HTTP.REQ.BODY(500).AFTER_STR(\"domain=\").CONTAINS(\"AAATM.COM\")" -action <LDAP-ACTION>
bind authentication vserver avn -policy radius-auth -priority 10 -gotoPriorityExpression NEXT
bind authentication vserver avn -policy next_ldap -priority 20 -gotoPriorityExpression END
次に、このログオンフォームの特定の表現に使用される例を示します。
注:
このログインスキーマは、NetScaler 最新のビルドで個別に設定する必要はなく、DomainDropdown.xml として存在します。
