ADC

アプリケーショントラフィックの認証、承認、監査

多くの企業は、Webサイトへのアクセスを有効なユーザーのみに制限し、各ユーザーに許可されるアクセスのレベルを制御しています。認証、承認、および監査機能により、サイト管理者はアプリケーションごとにアクセス制御を個別に管理する代わりに、NetScalerアプライアンスを使用してアクセス制御を管理できます。アプライアンスで認証を行うと、アプライアンスによって保護されている同じドメイン内のすべてのWebサイト間で、この情報を共有することもできます。

認証、認可、および監査を使用するには、認証プロセスを処理するように認証仮想サーバを設定し、認証を必要とする Web アプリケーションへのトラフィックを処理するトラフィック管理仮想サーバを設定する必要があります。また、各仮想サーバーにFQDNを割り当てるようにDNSを構成します。仮想サーバーを構成したら、NetScalerアプライアンスを介して認証する各ユーザーのユーザーアカウントを構成します。オプションでグループを作成し、ユーザーアカウントをグループに割り当てます。ユーザーアカウントとグループを作成した後、ユーザーを認証する方法、ユーザーにアクセスを許可するリソース、およびユーザーセッションをログに記録する方法をアプライアンスに指示するポリシーを構成します。ポリシーを有効にするには、各ポリシーをグローバル、特定の仮想サーバー、または適切なユーザーアカウントまたはグループにバインドします。ポリシーを構成したら、セッション設定を構成し、セッションポリシーをトラフィック管理仮想サーバーにバインドして、ユーザーセッションをカスタマイズします。最後に、イントラネットでクライアント証明書を使用する場合は、クライアント証明書の設定をセットアップします。

認証、承認、および監査が分散環境でどのように機能するかを理解するために、従業員がオフィス、自宅、および旅行中にアクセスするイントラネットを持つ組織を考えてみましょう。イントラネット上のコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADC は次のことを行います。

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集して認証サーバーに配信し、ライトウェイトディレクトリアクセスプロトコル(LDAP)を介してアクセスできるディレクトリにキャッシュします。詳細については、 LDAP ディレクトリ内の属性の決定を参照してください

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
  • セッションタイムアウトを維持します。このタイムアウトを過ぎた後、イントラネットへのアクセスを回復するには、ユーザーが再度認証を受ける必要があります。(タイムアウトは設定できます)。
  • 無効なログイン試行を含め、ユーザーのアクセスを監査ログに記録します。

サポートされている認証タイプ

  • ローカル
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • クライアント証明書認証(スマートカード認証を含む)
  • Web
  • 高度な認証
  • フォームベースの認証
  • 401ベースの認証
  • ネイティブOTP
  • プッシュ通知
  • メールOTP
  • reCaptcha

NetScaler Gatewayは、RSA SecurID、ジェムアルト・プロティバ、SafeWord もサポートしています。これらの認証の種類を構成するには、RADIUSサーバーを使用します。

認証、承認、および監査を構成する前に、NetScalerアプライアンスでの負荷分散、コンテンツスイッチング、およびSSLの設定方法に精通し、理解しておく必要があります。

承認なしの認証

承認は、ユーザーがアプライアンスにログオンしたときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定では、すべてのネットワークリソースへのアクセスを拒否します。デフォルトのグローバル設定を使用し、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

アプライアンスで認可を設定するには、認可ポリシーと式を使用します。承認ポリシーを作成したら、アプライアンスで構成したユーザーまたはグループに承認ポリシーをバインドできます。

アプライアンスは、許可なしで認証のみを使用するように設定できます。許可なしで認証を設定すると、アプライアンスはグループ認可チェックを実行しません。ユーザーまたはグループに設定したポリシーは、ユーザーに割り当てられます。

認証、承認、監査の有効化

認証、認可、および監査機能を使用するには、この機能を有効にする必要があります。認証、認可、および監査機能を有効にする前に、認証、認可、および監査エンティティ(認証およびトラフィック管理仮想サーバなど)を設定できますが、エンティティは機能が有効になるまで機能しません。

CLI を使用して認証、承認、および監査を有効にするには

コマンドプロンプトで次のコマンドを入力して、認証、承認、および監査を有効にし、構成を確認します。

enable ns feature AAA
<!--NeedCopy-->

GUI を使用して認証、承認、および監査を有効にするには

  1. [System]>[Settings] に移動します。
  2. 詳細ウィンドウの [ モードと機能] で、[ 基本機能の変更] をクリックします。
  3. [ 基本機能の構成 ] ダイアログボックスで、[ 認証、承認、監査 ] チェックボックスをオンにします。
  4. [OK] をクリックします。

認証の無効化

展開で認証が不要な場合は、認証を無効にできます。認証を必要としない仮想サーバーごとに、認証を無効にできます。

重要:

重要: 認証は慎重に無効にすることをお勧めします。外部認証サーバを使用していない場合は、アプライアンスがユーザを認証できるようにローカルユーザおよびグループを作成します。認証を無効にすると、アプライアンスへの接続を制御およびモニタする認証、認可、およびアカウンティング機能の使用が停止します。ユーザーが Web アドレスを入力してアプライアンスに接続すると、ログオンページは表示されません。

認証を無効にするには

  1. 構成 > NetScaler Gateway > 仮想サーバーに移動します
  2. 詳細ペインで仮想サーバーを選択して、[Open] をクリックします。
  3. [ 基本設定] ページで、[ 認証を有効にする ] チェックボックスをオフにします。
アプリケーショントラフィックの認証、承認、監査