ADC

ユーザーおよびグループ

認証、承認、および監査の基本設定を構成したら、ユーザーとグループを作成します。最初に、Citrix ADCアプライアンスを介して認証する各ユーザーのユーザーアカウントを作成します。Citrix ADCアプライアンス自体によって制御されるローカル認証を使用している場合は、ローカルユーザーアカウントを作成し、それらの各アカウントにパスワードを割り当てます。

また、外部認証サーバーを使用している場合は、Citrix ADCアプライアンスにユーザーアカウントを作成します。ただし、この場合、各ユーザーアカウントは外部認証サーバー上のそのユーザーのアカウントと正確に一致する必要があります。また、Citrix ADCで作成したユーザーアカウントにはパスワードを割り当てないでください。外部認証サーバは、外部認証サーバで認証するユーザのパスワードを管理します。

外部認証サーバーを使用している場合は、一時的なユーザー(訪問者など)のログインを許可するが、認証サーバー上にそれらのユーザーのエントリを作成したくない場合など、Citrix ADCアプライアンスにローカルユーザーアカウントを作成できます。すべてのユーザーアカウントにローカル認証を使用する場合と同様に、各ローカルユーザーアカウントにパスワードを割り当てます。

各ユーザーアカウントは、認証と承認のポリシーにバインドする必要があります。このタスクを簡略化するために、1 つ以上のグループを作成し、それらにユーザーアカウントを割り当てることができます。その後、個々のユーザーアカウントではなくグループにポリシーをバインドできます。

グループでポリシーを構成する

グループを構成した後、[ グループ ]ダイアログボックスを使用して、ユーザーアクセスを指定するポリシーと設定を適用できます。ローカル認証を使用している場合は、ユーザーを作成し、Citrix Gatewayで構成されているグループに追加します。その後、ユーザーはそのグループの設定を継承します。

[ グループ ]ダイアログボックスで、ユーザーのグループに対して次のポリシーまたは設定を構成できます。

  • ユーザー
  • 承認ポリシー
  • 監査ポリシー
  • セッション・ポリシー
  • トラフィックポリシー
  • ブックマーク
  • イントラネットアプリケーション
  • イントラネットIPアドレス

構成では、複数のグループに属するユーザーがいる場合があります。さらに、各グループには、異なるパラメータが設定された1つ以上のバインドされたセッションポリシーがある場合があります。複数のグループに属するユーザーは、ユーザーが属するすべてのグループに割り当てられたセッションポリシーを継承します。どのセッションポリシー評価が他よりも優先されるようにするには、セッションポリシーの優先度を設定する必要があります。

たとえば、ホームページwww.homepage1.comで構成されたセッションポリシーにバインドされたgroup1があります。Group2は、ホームページwww.homepage2.comで構成されたセッションポリシーにバインドされています。これらのポリシーが優先順位番号なしまたは同じ優先順位番号を持つそれぞれのグループにバインドされている場合、両方のグループに属するユーザーに表示されるホームページは、どちらのポリシーが最初に処理されるかによって異なります。ホームページwww.homepage1.comとのセッションポリシーに低い優先順位を設定することで、両方のグループに属するユーザーがホームページwww.homepage1.comを確実に受信できるようになります。

セッションポリシーに優先順位番号が割り当てられていないか、同じ優先順位番号がある場合、優先順位は次の順序で評価されます。

  • ユーザー
  • グループ
  • 仮想サーバ
  • グローバル

ポリシーが優先順位番号なしで同じレベルにバインドされている場合、またはポリシーの優先順位番号が同じである場合、評価の順序はポリシーバインドの順序に従います。最初にレベルにバインドされたポリシーは、後でバインドされたポリシーよりも優先されます。

ユーザーが複数のグループにバインドされており、各グループにIIPがバインドされている場合、ユーザーはバインドされたグループのいずれかから無料のIPを取得できます。

ユーザーとグループを作成する

GUIを使用して、ローカルユーザーの認証、承認、および監査を構成します

  1. Security > AAA - Application Traffic > Usersに移動します Citrix Gatewayから、Citrix Gateway> User Administrationを展開し、AAA Usersをクリックします。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。

    • 新しいユーザーアカウントを作成するには、[追加] をクリックします。
    • 既存のユーザーアカウントを変更するには、ユーザーアカウントを選択し、[開く] をクリックします。
  3. [AAA User] ダイアログボックスの [User Name] テキストボックスに、ユーザの名前を入力します。
  4. ローカル認証されたユーザーアカウントを作成する場合は、[ 外部認証] チェックボックスをオフにして、ユーザーがログオンに使用するローカルパスワードを入力します。
  5. 作成」または「OK」をクリックし、「閉じる」をクリックします。ステータスバーに、ユーザーが正常に構成されたことを示すメッセージが表示されます。

認証、承認、および監査のローカルグループを構成し、構成ユーティリティを使用してそれらにユーザーを追加します

  1. Security > AAA - Application Traffic > Groupsに移動します Citrix Gatewayから、Citrix Gateway> User Administrationを展開し、AAA Groupsをクリックします。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • 新しいグループを作成するには、[追加] をクリックします。
    • 既存のグループを変更するには、グループを選択し、[編集] をクリックします。
  3. 新しいグループを作成する場合は、[Create AAA Group] ダイアログボックスの [Group Name] テキストボックスに、グループの名前を入力します。
  4. 右側の [詳細] 領域で、[AAA Users] をクリックします。

    • グループにユーザーを追加するには、ユーザーを選択し、[追加] をクリックします。
    • グループからユーザーを削除するには、ユーザーを選択し、[削除] をクリックします。
    • 新しいユーザーアカウントを作成してグループに追加するには、[プラス] アイコンをクリックし、「構成ユーティリティを使用してローカルユーザーの認証、承認、および監査を構成するには」の手順に従います。
  5. [ 作成]または[ OK]をクリックします。作成したグループが [AAA Groups] ページに表示されます。

GUIを使用してグループを削除する

Citrix Gatewayからユーザーグループを削除することもできます。

  1. Security > AAA - Application Traffic > Groupsに移動します Citrix Gatewayから、Citrix Gateway> User Administrationを展開し、AAA Groupsをクリックします。 詳細ペインでグループを選択し、[削除]をクリックします。

CLIを使用して、ローカルユーザーの認証、承認、および監査を構成します

コマンドプロンプトで、次のコマンドを入力します。

add aaa group <groupname>

bind aaa group <groupname> -username <username>
<!--NeedCopy-->

例:

add aaa group group-2

bind aaa group group-2 -username user-2
<!--NeedCopy-->

コマンドラインインターフェイスを使用して、認証、承認、および監査グループからユーザーを削除します

コマンドプロンプトで、グループにバインドされているユーザーアカウントごとに、次のコマンドを 1 回入力して、グループからユーザーをバインド解除します。

unbind aaa group <groupname> -username <username><!--NeedCopy-->

**例:**

<!--NeedCopy-->

unbind aaa group group-hr -username user-hr-1


### コマンドラインインターフェイスを使用して、認証、承認、および監査グループを削除します

まず、グループからすべてのユーザーを削除します。次に、コマンドプロンプトで次のコマンドを入力して、Citrix ADC AAAグループを削除し、構成を確認します。

<!--NeedCopy-->

rm aaa group


**例:**

<!--NeedCopy-->

rm aaa group group-hr


> **注:**
>
>ドメインなしでユーザー名がすでに追加されている場合、ドメインを使用してユーザー名を追加することはできません。ドメインのあるユーザー名が最初に追加され、次にドメインのない同じユーザー名が追加された場合、Citrix ADCアプライアンスはユーザー名をユーザーリストに追加します。

次の例は、ドメインなしで同じユーザー名を追加した場合、ドメインを使用したユーザー名の追加が許可されないことを示しています。

<!--NeedCopy-->

add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```

次の例は、ドメインのあるユーザー名が最初に追加され、その後にドメインのない同じユーザー名が追加され、Citrix ADCアプライアンスがユーザーリストに追加されます。

> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1)   UserName: u47985@domain.com
2)   UserName: u47985

```

ユーザーおよびグループ