ADC

定期的なエンドポイント分析スキャンを nFactor 認証の要素として構成する

NetScaler Gateway では、エンドポイント分析(EPA)を構成して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可できます。エンドポイント分析プラグインは、ユーザーがNetScaler Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがエンドポイント分析プラグインをユーザーデバイスにインストールしない場合、ユーザーはNetScaler Gateway プラグインを使用してログオンできません。

nFactorのEPAの概念については、 NetScaler によるnFactor認証におけるEPAに使用される概念およびエンティティを参照してください

クラシックポリシーでは、定期的な EPA がvpn session actionのセッションポリシーの一部として設定されました。 高度なポリシーインフラストラクチャでは、nFactorにリンクできます。

このトピックでは、EPA スキャンを nFactor 認証または多要素認証の継続的なチェックとして使用します。

EPA スキャンを nFactor 認証または多要素認証における継続的なチェックとして表現

ユーザーはCitrix Gateway の仮想 IP アドレスに接続しようとしています。ユーザー名とパスワードのフィールドを含むシンプルなログインページがユーザーにレンダリングされ、ログイン認証情報が提供されます。これらの認証情報を使用して、LDAP または AD ベースの認証がバックエンドで実行されます。成功すると、EPA スキャンを承認するポップアップがユーザーに表示されます。ユーザーが承認すると、EPA スキャンが実行され、ユーザーのクライアント設定の成功または失敗に基づいてユーザーにアクセス権が提供されます。

スキャンが成功すると、EPA スキャンを定期的に実行して、設定されたセキュリティ要件が満たされていることを確認します。このようなチェック中に EPA スキャンが失敗すると、セッションは終了します。

前提条件

以下の設定が行われていることを前提としています。

  • VPN 仮想サーバ/ゲートウェイおよび認証仮想サーバの設定
  • LDAPサーバー構成と関連ポリシー

このトピックでは、必要なポリシーとポリシーラベル構成が表示され、認証プロファイルに関連付けられています。

次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左に順です。

この例で使用されているポリシーとポリシーラベルのマッピング

CLI を使用して、次の操作を実行します

  1. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    <!--NeedCopy-->
    

    上記の式は、プロセス ‘Firefox’ が実行中かどうかをスキャンします。EPA プラグインは、スキャン式の数字「2」で表される 2 分ごとにプロセスの存在をチェックします。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  2. EPA スキャンのポリシーをホストするポリシーラベルを ldap-epa-scan 後に設定します。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    注: LSCHEMA_INT はスキーマのない組み込みスキーマです。つまり、このステップでは追加の Web ページはユーザーに表示されません。

  3. ステップ 1 で設定したポリシーを、ステップ 2 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    このコマンドでは、END は認証メカニズムの終了を示します。

  4. ldap-auth ポリシーを設定して、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けます。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    ここで、ldap_server1 は LDAP ポリシーで、ldap-auth はポリシー名です。

  5. ldap-auth ポリシーを認証、承認、および監査仮想サーバに関連付け、次のステップは ldap-epa-scan 後のポリシーラベルを指して EPA スキャンを実行します。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

GUI の nFactor ビジュアライザーを使用した設定

前述の設定は、ファームウェア 13.0 以降で使用できる機能である nFactor Visualizer を使用して実行することもできます。

ビジュアライザーでの nFactor フローの表現

  1. [ セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加]をクリックします 。

  2. + をクリックして nFactor フローを追加します。

    クリックしてフローを追加

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    nFactor フローの名前を追加します

  4. [ スキーマの追加 ] をクリックして最初の要素のスキーマを追加し、[ 追加] をクリックします。

    クリックしてスキーマを追加

  5. [ ポリシーの追加 ] をクリックして LDAP ポリシーを追加します。LDAP ポリシーがすでに作成されている場合は、同じポリシーを選択できます。

    クリックしてポリシーを追加します

    注:

    LDAP ポリシーを作成するには、「 追加 」をクリックし、「 アクション 」フィールドで「 LDAP」を選択します。LDAP サーバーの追加の詳細については、https://support.citrix.com/article/CTX123782を参照してください。

  6. + をクリックして EPA ファクターを追加します。

    クリックして EPA ファクターを追加

  7. スキーマの追加 」セクションを空白のままにすると、デフォルトではこのファクターにスキーマが適用されません。「 ポリシーを追加 」をクリックして、認証後の EPA ポリシーとアクションを追加します。

    EPA アクション:

    EPA アクションの作成

    環境保護庁 (EPA) ポリシー:

    EPA ポリシーの作成

    [作成] をクリックします。

  8. nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。

    フローを認証仮想サーバーにバインド

    ​​​​注意:定期EPAが複数の要素として設定されている場合は、定期EPA構成の最新の要素が考慮されます。

    例:

    設定の例

    この例では、スキャンでプロセス「Firefox」を検索する最初の要素は EPA です。EPA スキャンが成功すると LDAP 認証が行われ、続いて次の EPA スキャンが行われ、プロセス「Chrome」を検索します。複数の定期スキャンが異なるファクターとして設定されている場合は、最新のスキャンが優先されます。この場合、EPA プラグインは、ログイン成功後 3 分ごとにプロセス「Chrome」をスキャンします。

定期的なエンドポイント分析スキャンを nFactor 認証の要素として構成する