ADC

多要素(nFactor)認証の構成

nFactor 設定を使用して、複数の認証要素を設定できます。nFactor構成は、NetScaler Advancedエディションとプレミアムエディションでのみサポートされています。

nFactor を設定するメソッド

nFactor 認証は、次のいずれかの方法で設定できます。

  • nFactor ビジュアライザー: nFactor ビジュアライザーを使用すると、単一のペインでファクターまたはポリシーラベルを簡単にリンクでき、同じペインでファクターのリンクを変更することもできます。ビジュアライザーを使用して nFactor フローを作成し、そのフローを認証、承認、および監査仮想サーバーにバインドできます。nFactor Visualizer の詳細と、ビジュアライザーを使用した nFactor の設定例については、 nFactor ビジュアライザーの簡単な設定を参照してください

  • NetScaler GUI: 詳細については、「 nFactor構成に関連する構成要素」セクションを参照してください。

  • NetScaler CLI: NetScaler CLIを使用したnFactor構成のサンプルスニペットについては、「NetScaler CLIを使用したnFactor構成のサンプルスニペット」を参照してください。

重要: このトピックには、NetScaler GUIを使用してnFactorを構成する方法の詳細が含まれています。

nFactor の設定に関係する設定要素

nFactor の設定には、次の要素が含まれます。詳細な手順については、このトピックの該当するセクションを参照してください。

構成要素 実行するタスク
AAA 仮想サーバ AAA 仮想サーバを作成する
ログインスキーマ ログインスキーマプロファイルの設定
高度な認証ポリシー 高度な認証ポリシーの作成
認証ポリシーラベル 認証ポリシーラベルの作成
NetScaler Gateway 用nファクター NetScaler AAA仮想サーバーをNetScaler Gateway仮想サーバーとリンクするための認証プロファイルの作成

nFactorのしくみ

ユーザーが認証、承認、監査またはNetScaler Gateway仮想サーバーに接続すると、発生するイベントの順序は次のとおりです。

  1. フォームベース認証を使用すると、認証、承認、および監査仮想サーバーにバインドされたログインスキーマが表示されます。

  2. 認証、承認、および監査仮想サーバーにバインドされた高度な認証ポリシーが評価されます。
    • 高度な認証ポリシーが成功し、次の要素 (認証ポリシーラベル) が構成されると、次の要素が評価されます。Next Factor が設定されていない場合、認証は完了し、成功します。
    • 高度な認証ポリシーが失敗し、[式に移動] が [次へ] に設定されている場合、次にバインドされた高度な認証ポリシーが評価されます。いずれの高度な認証ポリシーも成功しない場合、認証は失敗します。
  3. ネクストファクタ認証ポリシーラベルにログインスキーマがバインドされている場合は、ユーザーに表示されます。
  4. 次の要素認証ポリシーラベルにバインドされた高度な認証ポリシーが評価されます。
    • 詳細認証ポリシーが成功し、次の要素 (認証ポリシーラベル) が構成されると、次の要素が評価されます。
    • Next Factor が設定されていない場合、認証は完了し、成功します。
  5. 詳細認証ポリシーが失敗し、[式に移行] が [次へ] の場合、次にバインドされた高度な認証ポリシーが評価されます。

  6. ポリシーが成功すると、認証は失敗します。

仮想サーバの認証、承認、監査

NetScaler GatewayでnFactorを使用するには、まず認証、承認、および監査仮想サーバーでnFactorを構成します。その後、認証、承認、監査の仮想サーバーをNetScaler Gateway仮想サーバーにリンクします。

認証、承認、監査用仮想サーバーの作成

  1. 認証、認可、および監査機能がまだ有効になっていない場合は、[ セキュリティ] > [AAA — アプリケーショントラフィック] に移動し、右クリックしてこの機能を有効にします。

    機能を有効にする

  2. 設定 > セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバにナビゲートして下さい

  3. [ 追加 ] をクリックして、認証仮想サーバーを作成します。

  4. 次の情報を入力し、「 OK」をクリックします。

    パラメーター名 パラメータの説明
    Name 認証、承認、および監査仮想サーバーの名前。
    IP アドレスタイプ この仮想サーバーをNetScaler Gateway でのみ使用する場合は、[IPアドレスの種類]を[ アドレス指定不可 ]に変更します。

    仮想サーバの構成

  5. [証明書] で、[ サーバー証明書なし] を選択します。

    サーバー証明書

  6. [ クリックして選択] というテキストをクリックし 、サーバー証明書を選択します。

  7. 認証、承認、および監査用の仮想サーバーの証明書の横にあるラジオボタンをクリックし、[ 選択] をクリックします。このサーバーには直接アクセスできないため、選択した証明書は関係ありません。

    サーバー証明書の選択2

  8. [Bind] をクリックします。

  9. [ 続行 ] をクリックして、[ 証明書 ] セクションを閉じます。

    証明書の詳細を完成させる

  10. [続行] をクリックします。

    証明書の詳細を完了する2

ポータル・テーマを認証、承認、監査用仮想サーバーにバインドする

  1. NetScaler Gateway > ポータルテーマに移動し、テーマを追加します。NetScaler Gatewayでテーマを作成し、後で認証、承認、および監査仮想サーバーにバインドします。

  2. rfWebUI テンプレートテーマに基づいてテーマを作成します。

    ポータルテーマを作成する

  3. 必要に応じてテーマを調整した後、ポータル・テーマ編集ページの上部で、[ クリックしてバインドして構成済みテーマを表示] をクリックします。

    ポータルテーマのバインド

  4. 選択を [認証] に変更します。[ 認証仮想サーバ名 ] ドロップダウンメニューから、認証、承認、および監査仮想サーバを選択し、[ バインドとプレビュー ] をクリックしてプレビューウィンドウを閉じます。

    バインドをプレビューする

クライアント証明書認証を有効にする

認証要素の 1 つがクライアント証明書である場合は、認証、承認、および監査仮想サーバーで SSL 構成を実行する必要があります。

  1. [ トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。ルート証明書にはキーファイルがありません。

    CA 証明書1

    CA 証明書2

  2. [ トラフィック管理] > [SSL] > [高度な SSL 設定の変更] に移動します。

    SSL設定

    1. 下にスクロールして、[ デフォルトプロファイル ] が [ 有効] になっているかどうかを確認します。「はい」の場合は、SSL プロファイルを使用してクライアント証明書認証を有効にする必要があります。それ以外の場合は、[SSL パラメーター] セクションの認証、承認、および監査仮想サーバーでクライアント証明書認証を直接有効にできます。
  3. デフォルトの SSL プロファイルが有効になっていない場合は、次の手順を実行します。

    1. [ セキュリティ] > [AAA-アプリケーション] > [仮想サーバ] に移動し、既存の認証、認可、および監査仮想サーバを編集します。

    2. SSL パラメータ 」セクションで、鉛筆アイコンをクリックします。

    SSL プロファイルの編集

    1. クライアント認証オプションを有効にします

    2. クライアント証明書 」を「 オプション 」に設定し、「 OK」をクリックします。

    クライアント証明書 (オプション)

  4. デフォルト SSL プロファイルが有効な場合は、クライアント認証を有効にして SSL プロファイルを作成します。

    1. 左側のメニューで、[システム] を展開し、[プロファイル] をクリックします。

    2. 右上の [SSL プロファイル] タブに切り替えます。

    3. ns_default_ssl_profile_frontend プロファイルを右クリックし、[追加] をクリックします。これにより、デフォルトプロファイルから設定がコピーされます。

    4. プロファイルに名前を付けます。このプロファイルの目的は、クライアント証明書を有効にすることです。

    5. 下にスクロールして、[クライアント認証] チェックボックスを見つけます。ボックスにチェックを入れます。

    6. [クライアント証明書] ドロップダウンメニューを [オプション] に変更します。

    7. デフォルトの SSL プロファイルをコピーしても、SSL 暗号はコピーされません。やり直す必要があります。

    8. SSL プロファイルの作成が完了したら、[完了] をクリックします。

    9. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、認証、認可、および監査仮想サーバを編集します。

    10. [SSL プロファイル] セクションまでスクロールし、鉛筆をクリックします。

    11. [SSL プロファイル] ドロップダウンメニューを、クライアント証明書が有効になっているプロファイルに変更します。[OK] をクリックします。

    12. CA 証明書をバインドする手順が表示されるまで、この記事を下にスクロールします。

  5. 左側の [ 証明書 ] セクションで、[ CA 証明書なし] をクリックします。

    CA 証明書なし

  6. テキストをクリックし、 クリックして選択します

    CA 証明書の選択

  7. クライアント証明書の発行者のルート証明書の隣にあるオプションボタンをクリックし、[選択( Select)] をクリックします。

    ルート証明書

  8. [Bind] をクリックします。

    証明書をバインドする

ログインスキーマ XML ファイル

ログインスキーマは、フォームベース認証ログオンページの構造を提供する XML ファイルです。

nFactor は、複数の認証要素が連鎖していることを意味します。各ファクタは、異なるログインスキーマページ/ファイルを持つことができます。一部の認証シナリオでは、ユーザーに複数のログオン画面を表示することができます。

ログインスキーマプロファイルの設定

ログインスキーマプロファイルを設定するには、次の手順を実行します。

  1. nFactor の設計に基づいて、ログインスキーマの.XML ファイルを作成または編集します。
  2. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

  3. 右側の [ プロファイル ] タブに切り替えて、[ 追加] をクリックします。

  4. [ 認証スキーマ ] フィールドで、鉛筆アイコンをクリックします。

    スキーマの編集

  5. LoginSchema フォルダをクリックすると、その中のファイルが表示されます。

    ログインスキーマリスト

  6. ファイルの 1 つを選択します。右側にプレビューが表示されます。ラベルは、右上の [ 編集 ] ボタンをクリックして変更できます。

    スキーマの編集

  7. 変更を保存すると、/nsConfig/loginSchema の下に新しいファイルが作成されます。

  8. 右上の [ 選択] をクリックします。

    スキーマの選択

  9. ログインスキーマに名前を付けて、[ More] をクリックします。

    名前スキーマ

  10. StoreFrontなどのバックエンドサービスへのシングルサインオン(SSO)のログインスキーマに入力したユーザー名とパスワードを使用します。

    ログインスキーマに入力された資格情報をシングルサインオンの認証情報として使用するには、次のいずれかの方法を使用します。

    • [ 認証ログインスキーマの作成 ] ページの下部にある [ 詳細 ] をクリックし、[ シングルサインオン資格情報の有効化] を選択します。

    • [ 認証ログインスキーマの作成 ] ページの下部にある [ 詳細 ] をクリックし、ユーザクレデンシャルインデックスとパスワードクレデンシャルインデックスに一意の値を入力します。これらの値は1 ~ 16の範囲です。後で AAA.USER.ATTRIBUTE (#) 式を使用して、トラフィックポリシー/プロファイルでこれらのインデックス値を参照します。

    認証ログインスキーマの作成

  11. [ Create ] をクリックして、ログインスキーマプロファイルを作成します。

    注: ログインスキーマファイル (.xml) を後で編集する場合、変更を反映させるには、ログインスキーマプロファイルを編集して、ログインスキーマ (.xml) ファイルを再度選択する必要があります。

ログインスキーマポリシーの作成とバインド

ログインスキーマプロファイルを認証、承認、および監査仮想サーバーにバインドするには、最初にログインスキーマポリシーを作成する必要があります。後で詳述するように、ログインスキーマプロファイルを認証ポリシーラベルにバインドする場合は、ログインスキーマポリシーは必要ありません。

ログインスキーマポリシーを作成してバインドするには、次の手順を実行します。

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[ログインスキーマ] に移動します。

  2. [Policies] タブで [Add] をクリックします。

  3. [ Profile ] ドロップダウンメニューを使用して、すでに作成したログインスキーマプロファイルを選択します。

  4. [ Rule ] ボックスに高度なポリシー式を入力し、[ Create] をクリックします。

  5. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、[編集] をクリックして既存の認証、承認、および監査仮想サーバを編集します。

  6. [詳細設定] 列で、[ ログインスキーマ] をクリックします。

  7. 「ログインスキーマ」セクションで、「 ログインスキーマなし」をクリックします。

  8. 「ポリシーの選択」 ドロップダウンリストから認証ポリシーを選択します

    [ログインスキーマなし] を選択します。

  9. 認証ポリシー 」ページで、認証ポリシーの横にあるラジオボタンをクリックし、「 選択」をクリックします。このリストには、ログインスキーマポリシーのみが表示されます。ログインスキーマプロファイル (ポリシーなし) は表示されません。

    bin ログインスキーマ

  10. [Bind] をクリックします。

高度な認証ポリシー

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

高度な認証ポリシーの作成

認証ポリシーは、ポリシー式とポリシーアクションの組み合わせです。式がtrueの場合は、認証アクションを評価します。

認証アクション/サーバー (LDAP、RADIUS、CERT、SAML など) が必要です。 高度な認証ポリシーを作成する場合、認証アクション/サーバーを作成するためのプラス (Add) アイコンが表示されます。

または、高度な認証ポリシーを作成する前に認証アクション (サーバー) を作成することもできます。認証サーバーは、[ 認証] > [ダッシュボード] の下にあります。右側の [追加] をクリックし、[サーバーの種類] を選択します。これらの認証サーバの作成手順については、ここでは詳しく説明しません。認証 — NetScaler 12/NetScaler 12.1の手順を参照してください。

高度な認証ポリシーを作成するには、次の手順を実行します。

  1. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > 認証 > 高度なポリシー > ポリシーへのナビゲート

    上級政策 1

  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • ポリシーを作成するには、[ Add] をクリックします。
    • 既存のポリシーを変更するには、ポリシーを選択し、[ 編集] をクリックします。
  3. [ 認証ポリシーの作成 ] または [ 認証ポリシーの構成 ] ダイアログボックスで、パラメータの値を入力または選択します。

    高度なポリシーを作成する

    • 名前 -ポリシー名。以前に設定したポリシーでは変更できません。
    • アクションタイプ -ポリシータイプ:証明書、ネゴシエート、LDAP、RADIUS、SAML、SAMLIDP、TACACS、または WEBAUTH。
    • アクション -ポリシーに関連付ける認証アクション (プロファイル)。既存の認証アクションを選択するか、プラス記号をクリックして適切なタイプのアクションを作成できます。
    • ログアクション -ポリシーに関連付ける監査アクション。既存の監査アクションを選択するか、プラス記号をクリックしてアクションを作成できます。 アクションが設定されていません。アクションを作成するには、[ Add ] をクリックして手順を完了します。
    • -指定したアクションを適用する接続を選択するルール。ルールは、シンプル (「true」はすべてのトラフィックを選択) または複雑にすることができます。式を入力するには、まず [式] ウィンドウの下にある左端のドロップダウンリストで式の種類を選択し、次に式テキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式。)
    • [Comment ]:この認証ポリシーが適用されるトラフィックのタイプを説明するコメントを入力できます。オプションです。
  4. [Create] をクリックしてから、[Close] をクリックします。ポリシーを作成した場合、そのポリシーは [認証ポリシーおよびサーバ] ページに表示されます。

nFactor の設計に基づいて、必要に応じて追加の高度な認証ポリシーを作成します。

第 1 要素の高度な認証ポリシーを認証、承認、および監査にバインドする

最初の要素である認証、承認、および監査仮想サーバーに対して、高度な認証ポリシーを直接バインドできます。次の要素については、高度な認証ポリシーを認証ポリシーラベルにバインドする必要があります。

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[仮想サーバ]に移動します。既存の仮想サーバーを編集します。

  2. 左側の [高度な認証ポリシー] セクションで、[ 認証ポリシーなし] をクリックします。

    認証ポリシーなし

  3. [ポリシーの選択] で、[ クリックして選択] というテキストをクリックします

    [認証なし] を選択する

  4. [ 高度な認証ポリシー] の横にあるオプションボタンをクリックし、[ 選択] をクリックします。

    lSelect オプション

  5. [バインドの詳細] セクションの [ Goto 式 ] は、この高度な認証ポリシーが失敗した場合に次に何が起こるかを決定します。
    • Goto ExpressionNEXTに設定されている場合、この認証、承認、および監査仮想サーバーにバインドされた次の高度な認証ポリシーが評価されます。
    • Goto ExpressionENDに設定されている場合、またはこの認証、承認、および監査仮想サーバーにバインドされた高度な認証ポリシーがこれ以上存在しない場合、認証は完了し、失敗としてマークされます。

    バインドポリシー

  6. [次の要素を選択]で、認証ポリシーラベルをポイントできるかを選択できます。次の要素は、高度な認証ポリシーが成功した場合にのみ評価されます。最後に、[ バインド] をクリックします。

    バインドポリシー 2

抽出された LDAP グループを使用して、次の認証要素を選択する

抽出された LDAP グループを使用して、実際に LDAP による認証を行わずに、次の認証要素を選択できます。

  1. LDAP サーバーまたは LDAP アクションを作成または編集するときは、[ 認証 ] チェックボックスをオフにします。
  2. [ その他の設定] で、[ グループ属性] と [ **サブ属性名**] で適切な値を選択します。

ポリシーラベルを認証する

高度な認証ポリシーを認証、承認、および監査仮想サーバーにバインドし、次の要素を選択すると、高度な認証ポリシーが成功した場合にのみ次の要素が評価されます。次に評価される要素は、認証ポリシーラベルです。

認証ポリシーラベルは、特定の要素に対する認証ポリシーのコレクションを指定します。各ポリシーラベルは 1 つの要素に対応します。また、ユーザーに提示する必要があるログインフォームも指定します。認証ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。

:すべての要素にログインスキーマは必要ありません。ログインスキーマプロファイルは、ログインスキーマを認証ポリシーラベルにバインドする場合にのみ必要です。

認証ポリシーラベルを作成する

ポリシーラベルは、特定のファクタの認証ポリシーを指定します。各ポリシーラベルは 1 つの要素に対応します。ポリシーラベルは、ユーザーに提示する必要があるログインフォームを指定します。ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。通常、ポリシーラベルには、特定の認証メカニズムの認証ポリシーが含まれます。ただし、異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使用することもできます。

  1. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [ポリシーラベル] に移動します。

    ポリシーラベル1

  2. [追加] をクリックします。

    ポリシー label1 の追加

  3. 次のフィールドに入力して、認証ポリシーラベルを作成します。

    a) 新しい認証ポリシーラベルの名前を入力します

    b) 認証ポリシーラベルに関連付けられたログインスキーマを選択します 。ユーザーに対して何も表示しない場合は、スキーマなし (LSCHEMA_INT) に設定されたログインスキーマプロファイルを選択できます。

    c) [ 続行] をクリックします。

    Continue

  4. [ ポリシーバインド ] セクションで、[ クリックして選択] と表示されている場所をクリックします

  5. この要素を評価する認証ポリシーを選択します。

    バインドポリシーラベル

  6. 次のフィールドに入力します。

    a) ポリシーバインディングの優先度を入力します

    b) [ 式に移行 ] で、より高度な認証ポリシーをこの要素にバインドする場合は [ 次へ ] を選択するか、[ 終了] を選択します。

    Expression

  7. 別の要素を追加する場合は、[次の要素の選択] で、次の認証ポリシーラベル (次の要素) をクリックして選択し、バインドします。 次の要素を選択せず、この高度な認証ポリシーが成功すると、認証は成功し、完了します。
  8. [Bind] をクリックします。

  9. [ Add Binding ] をクリックすると、このポリシーラベル (ファクタ) に高度な認証ポリシーを追加できます。完了したら [完了 ] をクリックします。

    バインドの追加

認証ポリシーラベルのバインド

ポリシーラベルを作成したら、既存の高度な認証ポリシーバインディングにポリシーラベルをバインドして、要素を連鎖させます。

高度な認証ポリシーがバインドされている既存の認証、承認、および監査仮想サーバーを編集する場合、または別のポリシーラベルを編集して次の要素を含める場合は、次の要素を選択できます。

高度な認証ポリシーが既にバインドされている既存の認証、承認、および監査仮想サーバーを編集するには

  1. [ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動します仮想サーバを選択し、[ 編集(Edit)] をクリックします。

  2. 左側の [ 高度な認証ポリシー ] セクションで、既存の認証ポリシーバインドをクリックします。

  3. 「アクションを選択」で、「 バインドの編集」をクリックします。

    操作の選択

  4. 次の要素を選択 」をクリックし、既存の認証ポリシーラベル (次の要素) を選択します。

    次の因子を選択

  5. ポリシーバインディングページのバインド 」をクリックします。右端に「 NEXT FACTOR」列が表示され、次のファクターの詳細が表示されます。

    次の因子をバインド

ポリシーラベルネクストファクタを別のポリシーラベルに追加するには

  1. セキュリティ > AAA —アプリケーショントラフィック > ポリシー > 認証 > 高度ポリシー > ポリシーラベルにナビゲートして下さい

  2. 認証ポリシーラベル 」ページで、認証ポリシーラベルを選択し、「 編集」をクリックします。

  3. 認証ポリシー 」ページで認証ポリシーラベルを選択し、「 アクションの選択」で「バインドの編集」をクリックします。

    アクションの編集

  4. バインドの詳細」>「次のファクタを選択」で、次のファクタをクリックして選択します。
  5. 次のファクタのポリシーラベルを選択し、[ Select ] ボタンをクリックします。

  6. ポリシーバインディングページのバインド 」をクリックします。「 認証ポリシーラベル 」ページには、「 次の要素 」列があり、右端に次の要素の詳細が表示されます。

    Bind

NetScaler Gateway 用nファクター

NetScaler GatewayでnFactorを有効にするには、認証プロファイルを認証、承認、および監査仮想サーバーにリンクする必要があります。

認証、承認、監査の仮想サーバーをNetScaler Gateway仮想サーバーにリンクする認証プロファイルの作成

  1. [ NetScaler Gateway] > [仮想サーバー ] に移動し、編集する既存のゲートウェイ仮想サーバーを選択します。

  2. [ 詳細設定] で、[ 認証プロファイル] をクリックします。

  3. [ 認証プロファイル ] の [ 追加] をクリックします

    認証プロファイルの追加

  4. 認証プロファイルの名前を入力し、[ クリックして選択] と表示されている場所をクリックします

    名前認証プロファイル

  5. [ 認証仮想サーバー] で、ログインスキーマ、高度な認証ポリシー、および認証ポリシーのラベルが構成されている既存のサーバーを選択します。認証仮想サーバーを作成することもできます。認証、承認、および監査仮想サーバーには IP アドレスは必要ありません。[Select] をクリックします。

  6. [作成]をクリックします。

    プロファイルの作成

  7. OK]をクリックして、[ 認証プロファイル]セクションを閉じます。

注: ファクタの 1 つをクライアント証明書として設定した場合は、SSL パラメータと CA 証明書を設定する必要があります。

認証プロファイルの認証、承認、および監査仮想サーバーへのリンクが完了し、NetScaler Gatewayを参照すると、nFactor認証画面が表示されます。

SSL パラメータと CA 証明書の設定

認証要素の1つが証明書である場合は、NetScaler Gateway仮想サーバーで何らかのSSL構成を実行する必要があります。

  1. [ トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動し、クライアント証明書の発行者のルート証明書をインストールします。認証局の証明書にはキーファイルは必要ありません。

    デフォルトの SSL プロファイルが有効な場合は、クライアント認証が有効になっている SSL プロファイルが既に作成されています。

  2. NetScaler Gateway > 仮想サーバーに移動し、nFactor が有効になっている既存のNetScaler Gateway 仮想サーバーを編集します。

    • デフォルトの SSL プロファイルが有効になっている場合は、[編集(Edit)] アイコンをクリックします。
    • [SSL プロファイル] リストで、[クライアント認証] が有効で [オプション] に設定されている SSL プロファイルを選択します。

    • デフォルトの SSL プロファイルが有効でない場合は、[編集(Edit)] アイコンをクリックします。
    • [クライアント認証] チェックボックスをオンにします。
    • [クライアント証明書] が [任意] に設定されていることを確認します。
  3. [OK] をクリックします。

  4. [証明書] セクションで、[ CA 証明書なし] をクリックします。

  5. [CA 証明書の選択] で、クライアント証明書の発行元のルート証明書をクリックして選択します。

  6. [Bind] をクリックします。

注:クライアント証明書を発行した中間 CA 証明書もバインドする必要がある場合があります。

StoreFront へのnFactorシングルサインオン用のNetScaler Gateway トラフィックポリシーを構成する

StoreFront へのシングルサインオンでは、nFactorはデフォルトで最後に入力したパスワードを使用します。LDAP が最後に入力されたパスワードでない場合は、トラフィックポリシー/プロファイルを作成して、デフォルトの nFactor 動作を上書きする必要があります。

  1. NetScaler Gateway > ポリシー > トラフィックに移動します

  2. [ トラフィックプロファイル ] タブで、[ 追加] をクリックします。

  3. トラフィックプロファイルの名前を入力します。HTTP プロトコルを選択します。 [ シングルサインオン] で、[ オン] を選択します。

    トラフィックポリシーの追加2

  4. [ SSO 式] で、ログインスキーマで指定されたインデックスと一致する AAA.USER.ATTRIBUTE (#) 式を入力し、[ 作成] をクリックします。

    AAA.USER 式は、非推奨の HTTP.REQ.USER 式を置き換えるように実装されるようになりました。

    トラフィックポリシーの追加3

  5. [ トラフィックポリシー ] タブをクリックし、[ 追加] をクリックします。

  6. ポリシーの名前を入力します。前の手順で作成したトラフィックプロファイルを選択します。「 エクスプレッション」に詳細なエクスプレッションを入力し、「 作成」をクリックします。

    トラフィックポリシーの追加5

  7. NetScaler Gateway> NetScaler Gateway 仮想サーバーに移動します。

    • 既存の仮想サーバを選択し、[ 編集] をクリックします。
    • [ ポリシー ] セクションで、[ + ] 記号をクリックします。
    • [ポリシーの選択] で [ トラフィック] を選択します
    • 「タイプの選択」で、「 要求」を選択します。
    • 作成したトラフィックポリシーを選択し、[ Bind] をクリックします。

CLI を使用した nFactor 設定のサンプルスニペット

nFactor 認証の段階的な設定を理解するために、最初の要素が LDAP 認証で、2 番目の要素が RADIUS 認証である 2 要素認証の展開について考えてみましょう。

このサンプル展開では、ユーザーは単一のログインフォームを使用して両方の要素にログインする必要があります。したがって、2 つのパスワードを受け入れる単一のログインフォームを定義します。最初のパスワードは LDAP 認証に使用され、もう 1 つは RADIUS 認証に使用されます。 実行される設定は次のとおりです。

  1. 認証用の負荷分散仮想サーバーの構成

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON

  2. 認証仮想サーバを設定します。

    add authentication vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. ログインフォームのログインスキーマを設定し、ログインスキーマポリシーにバインドします。

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    注:

    StoreFrontなどのバックエンドサービスへのシングルサインオン(SSO)には、ログインスキーマに入力したユーザー名とパスワードのいずれかを使用します。AAA.USER.ATTRIBUTE (#) 式を使用して、トラフィックアクションでこれらのインデックス値を参照できます。値は 1 から 16 の範囲で指定できます。

    または、次のコマンドを使用して、ログインスキーマに入力された資格情報をシングルサインオンの認証情報として使用できます。

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES
    
     add authentication loginSchemaPolicy login1 -rule true -action login1
    <!--NeedCopy-->
    
  4. パススルーのログインスキーマを構成し、ポリシーラベルにバインドします。

    add authentication loginSchema login2 -authenticationSchema noschema
    
    add authentication policylabel label1 -loginSchema login2
    <!--NeedCopy-->
    
  5. LDAP ポリシーと RADIUS ポリシーを設定します。

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    
    add authentication Policy ldap -rule true -action ldapAct1
    
    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    
    add authentication Policy radius -rule true -action radius
    <!--NeedCopy-->
    
  6. ログインスキーマポリシーを認証仮想サーバーにバインドします。

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  7. LDAP ポリシー (第 1 要素) を認証仮想サーバーにバインドします。

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    <!--NeedCopy-->
    
  8. RADIUS ポリシー(第 2 要素)を認証ポリシーラベルにバインドします。

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end
    <!--NeedCopy-->
    
多要素(nFactor)認証の構成