nFactor 認証の設定を再キャプチャする
NetScaler Gatewayは、 captchaAction 再キャプチャ構成を簡素化する新しいファーストクラスアクションをサポートしています。再キャプチャはファーストクラスのアクションなので、それ自体が要因になる可能性があります。再キャプチャは nFactor フローのどこにでも注入できます。
以前は、RfWebUI に変更を加えたカスタム WebAuth ポリシーも作成する必要がありました。captchaActionの導入により、JavaScript を変更する必要がなくなりました。
重要:
スキーマ内のユーザー名またはパスワードフィールドとともに Re-CAPTCHA が使用されている場合、再キャプチャが満たされるまで [ 送信 ] ボタンは無効になります。
設定を再キャプチャ
再キャプチャの設定には 2 つの部分が含まれます。
- 再キャプチャを登録するためのGoogleでの設定。
- ログインフローの一部として再キャプチャを使用するようにNetScalerアプライアンスを構成します。
Google の設定を再キャプチャ
https://www.google.com/recaptcha/admin#llistで再キャプチャするドメインを登録します。
-
このページに移動すると、次の画面が表示されます。
注
reCAPTCHA v2 のみを使用してください。見えない再キャプチャはまだプレビュー中です。
-
ドメインが登録されると、「SiteKey」と「SecretKey」が表示されます。
注
セキュリティ上の理由から、「siteKey」と「SecretKey」はグレー表示されています。「SecretKey」は安全に保管する必要があります。
NetScalerアプライアンスでの構成の再キャプチャ
NetScalerアプライアンスのRe-CAPTCHA構成は、次の3つの部分に分けることができます。
- 再キャプチャ画面を表示する
- 再キャプチャレスポンスを Google サーバに投稿する
- LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)
再キャプチャ画面を表示する
ログインフォームのカスタマイズは、SingleAuthCaptcha.xml ログインスキーマを介して行われます。このカスタマイズは認証仮想サーバーで指定され、ログインフォームをレンダリングするために UI に送信されます。組み込みのログインスキーマである SingleAuthCaptcha.xml は、 /nsconfig/loginSchema/LoginSchema NetScalerアプライアンスのディレクトリにあります。
重要
- SingleAuthCaptcha.xml ログインスキーマは、LDAP が第 1 要素として構成されている場合に使用できます。
- ユースケースと異なるスキーマに基づいて、既存のスキーマを変更できます。たとえば、再キャプチャ要素(ユーザー名またはパスワードなし)または再キャプチャによる二重認証のみが必要な場合などです。
- カスタム変更が行われた場合、またはファイルの名前が変更された場合は、すべてのLoginSchemasを
/nsconfig/loginschema/LoginSchemaディレクトリから親ディレクトリ/nsconfig/loginschemaにコピーすることをお勧めします 。
CLI を使用して Re-CAPTCHA の表示を設定するには
add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
add authentication vserver auth SSL <IP> <Port>
add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
bind ssl vserver auth -certkey vserver-cert
bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->
再キャプチャレスポンスを Google サーバに投稿する
ユーザーに表示する必要のある再キャプチャを設定したら、管理者はその構成をGoogleサーバーに追加して、ブラウザからの再キャプチャ応答を確認します。
ブラウザからの re-Captcha応答を確認するには
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
add authentication policy myrecaptcha -rule true -action myrecaptcha
bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->
NetScalerがキャプチャ情報を検証するためにhttps://www.google.com/recaptcha/api/siteverifyに問い合わせます。そのため、NetScalerからサイトにアクセスできることを確認してください。
Google サイトにアクセスできるかどうかを確認するには、スクリプトcurl -vvv https://www.google.com/recaptcha/api/siteverifyを実行します。
AD 認証が必要かどうかを設定するには、次のコマンドが必要です。それ以外の場合は、この手順は無視してかまいません。
add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->
LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)
LDAP認証は再キャプチャ後に行われ、2番目の要素に追加します。
add authentication policylabel second-factor
bind authentication policylabel second-factor -policy ldap-new -priority 10
bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->
管理者は、アクセスに負荷分散仮想サーバーとNetScaler Gatewayアプライアンスのどちらを使用するかに応じて、適切な仮想サーバーを追加する必要があります。負荷分散仮想サーバーが必要な場合は、管理者が次のコマンドを構成する必要があります。
add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com
<!--NeedCopy-->
**nssp.aaatm.com** — 認証仮想サーバに解決します。
再キャプチャのユーザー検証
前のセクションで説明したすべての手順を構成したら、次の UI が表示されるはずです。
-
認証仮想サーバーがログインページをロードすると、ログオン画面が表示されます。再キャプチャが完了するまで、ログオンは無効になります 。
-
[ロボットではありません] オプションを選択します。Re-Captcha ウィジェットが表示されます。
- 完了ページが表示される前に、一連の再キャプチャ画像をナビゲートします。
-
AD 資格情報を入力し、[ ロボットではありません] チェックボックスをオンにして、 [ ログオン] をクリックします。認証が成功すると、目的のリソースにリダイレクトされます。
メモ:
- 再キャプチャが AD 認証で使用されている場合、再キャプチャが完了するまで、資格情報の [ 送信 ] ボタンは無効になります。
- 再キャプチャは独自の要因で発生します。したがって、ADのような後続の検証は、re-captchaの
nextfactorで行う必要があります。