基本認証、ダイジェスト認証、NTLM 認証用の SSO
Citrix ADCおよびCitrix Gateway のシングルサインオン(SSO)構成は、グローバルレベルでもトラフィックレベルでも有効にできます。デフォルトでは SSO 設定は OFF で、管理者はトラフィックごとに SSO を有効にすることも、グローバルに有効にすることもできます。セキュリティの観点から、 Citrix では管理者にSSOをグローバルにオフにし 、トラフィックごとに有効にすることを推奨しています。この機能強化は、特定の種類の SSO メソッドをグローバルに適用しないことで、SSO 構成をより安全にするためです。
注:
Citrix ADC機能リリース13.0ビルド64.35以降では、以下のSSOタイプはグローバルに無視されています。
- ベーシック認証
- ダイジェストアクセス認証
- ネゴシエート NTLM2 キーまたはネゴシエートサインなしの NTLM
影響を受けない SSO タイプ
次の SSO タイプは、この機能強化の影響を受けません。
- Kerberos 認証
- SAML認証
- フォームベース認証
- OAuth ベアラ認証
- ネゴシエート NTLM2 キーまたはネゴシエートサイン付き NTLM
影響を受けるSSO構成
影響を受ける(不適切な)SSO構成は次のとおりです。
グローバル構成
set tmsessionparam -SSO ON
set vpnparameter -SSO ON
add tmsessionaction tm_act -SSO ON
add vpn sessionaction tm_act -SSO ON
<!--NeedCopy-->
トラフィックごとの設定
add vpn trafficaction tf_act http -SSO ON
add tm trafficaction tf_act -SSO ON
<!--NeedCopy-->
あなたはできる enable/disable SSO全体であり、個々のSSOタイプを変更することはできません。
適用すべきセキュリティ対策
セキュリティ対策の一環として、セキュリティに敏感な SSO タイプはグローバル設定では無視されますが、トラフィックアクション設定でのみ許可されます。 そのため、バックエンドサーバーがネゴシエートNTLM2キーやネゴシエートサインなしでベーシック、ダイジェスト、またはNTLMを想定している場合、管理者は次の構成でのみSSOを許可できます。
トラフィックアクション
add vpn trafficaction tf_act http -SSO ON
add tm trafficaction tf_act -SSO ON
<!--NeedCopy-->
交通政策
add tm trafficpolicy <name> <rule> tf_act
add vpn trafficpolicy <name> <rule> tf-act
<!--NeedCopy-->
信頼できるバックエンドサーバーでのみSSOが有効になるように、管理者はトラフィックポリシーに適切なルールを設定する必要があります。
AAA-TM
グローバル構成に基づくシナリオ:
set tmsessionparam -SSO ON
<!--NeedCopy-->
回避策:
add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol true tf_act
<!--NeedCopy-->
SSO が必要なすべての LB 仮想サーバーに次のトラフィックポリシーをバインドします。
bind lb vserver <LB VS Name> -policy tf_pol -priority 65345
<!--NeedCopy-->
セッションポリシー構成に基づくシナリオ:
add tmsessionaction tm_act -SSO ON
add tmsession policy <name> <rule> tm_act
add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol <same rule as session Policy> tf_act
<!--NeedCopy-->
注意点:
-
前のセッションポリシーのCitrix ADC AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。
-
次のポリシーを、前のセッションポリシーの負荷分散仮想サーバーにバインドします。
bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
<!--NeedCopy-->
- 他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。
次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。
特定の TM トラフィックには、1 つの TM トラフィックポリシーだけが適用されます。SSO 機能変更のグローバル設定のため、優先度が高い(SSO 設定が必要ない)TM トラフィックポリシーがすでに適用されている場合は、優先度の低い TM トラフィックポリシーを追加で適用できない場合があります。次のセクションでは、このようなケースを確実に処理する方法について説明します。
負荷分散(LB)仮想サーバーには、優先順位の高い次の 3 つのトラフィックポリシーが適用されているとします。
add tm trafficaction tf_act1 <Addition config>
add tm trafficaction tf_act2 <Addition config>
add tm trafficaction tf_act3 <Addition config>
add tm trafficpolicy tf_pol1 <rule1> tf_act1
add tm trafficpolicy tf_pol2 <rule2> tf_act2
add tm trafficpolicy tf_pol3 <rule3> tf_act3
bind lb vserver <LB VS Name> -policy tf_pol1 -priority 100
bind lb vserver <LB VS Name> -policy tf_pol2 -priority 200
bind lb vserver <LB VS Name> -policy tf_pol3 -priority 300
<!--NeedCopy-->
エラーが発生しやすい方法-グローバルSSO構成を解決するには、次の構成を追加します。
add tm trafficaction tf_act_default -SSO ON
add tm trafficpolicy tf_pol_default true tf_act_default
bind lb vserver <LB VS Name> -policy tf_pol_default -priority 65345
<!--NeedCopy-->
注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。
正しい方法-これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。
たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.
add tm trafficaction tf_act1 <Addition config> -SSO ON
add tm trafficaction tf_act3 <Addition config> -SSO ON
<!--NeedCopy-->
Citrix Gatewayのケース
グローバル構成に基づくシナリオ:
set vpnparameter -SSO ON
<!--NeedCopy-->
回避策:
add vpn trafficaction vpn_tf_act http -SSO ON
add vpn trafficpolicy vpn_tf_pol true vpn_tf_act
bind the following traffic policy to all VPN virtual server where SSO is expected:
bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345
<!--NeedCopy-->
セッションポリシー構成に基づくシナリオ:
add vpn sessionaction vpn_sess_act -SSO ON
add vpnsession policy <name> <rule> vpn_sess_act
<!--NeedCopy-->
注意事項:
-
前のセッションポリシーのCitrix ADC AAAユーザー/グループは、トラフィックポリシーに置き換える必要があります。
-
次のポリシーを、前のセッションポリシー
bind lb virtual server [LB VS Name] -policy tf_pol -priority 65345
の LB 仮想サーバーにバインドします。 -
他の優先順位のトラフィックポリシーが設定されている場合、前述のコマンドは正しく機能しません。次のセクションでは、トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。
トラフィックに関連する複数のトラフィックポリシーとの競合に基づく機能シナリオ:
特定のCitrix Gateway トラフィックには、1つのVPNトラフィックポリシーのみが適用されます。SSO 機能変更のグローバル設定のため、必要な SSO 設定がない優先度の高い VPN トラフィックポリシーが他にある場合は、優先度の低い VPN トラフィックポリシーを追加して適用できない場合があります。
次のセクションでは、このようなケースを確実に処理する方法について説明します。
VPN 仮想サーバには、優先順位の高いトラフィックポリシーが 3 つ適用されているとします。
add vpn trafficaction tf_act1 <Addition config>
add vpn trafficaction tf_act2 <Addition config>
add vpn trafficaction tf_act3 <Addition config>
add vpn trafficpolicy tf_pol1 <rule1> tf_act1
add vpn trafficpolicy tf_pol2 <rule2> tf_act2
add vpn trafficpolicy tf_pol3 <rule3> tf_act3
bind vpn vserver <VPN VS Name> -policy tf_pol1 -priority 100
bind vpn vserver <VPN VS Name> -policy tf_pol2 -priority 200
bind vpn vserver <VPN VS Name> -policy tf_pol3 -priority 300
<!--NeedCopy-->
エラーが発生しやすい方法: グローバルSSO構成を解決するには、次の構成を追加します。
add vpn trafficaction tf_act_default -SSO ON
add vpn trafficpolicy tf_pol_default true tf_act_default
bind vpn vserver <VPN VS Name> -policy tf_pol_default -priority 65345
<!--NeedCopy-->
注: 上記の変更により、<tf_pol1/tf_pol2/tf_pol3> トラフィックポリシーとしてヒットするトラフィックの SSO が壊れる可能性があります。 < tf_pol_default> は適用されません。
正しい方法: これを軽減するには、対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。
たとえば、前述のシナリオでは、tf_pol1/tf_pol3 に到達するトラフィックに対して SSO が発生するには、次の設定を < tf_pol_default>.
add vpn trafficaction tf_act1 [Additional config] -SSO ON
add vpn trafficaction tf_act3 [Additional config] -SSO ON
<!--NeedCopy-->