定期的なエンドポイント分析スキャンを nFactor 認証の要素として構成する
NetScaler Gatewayでは、エンドポイント分析(EPA)を構成して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーが内部リソースにアクセスできるようにすることができます。Endpoint Analysisプラグインは、ユーザーがNetScaler Gatewayに初めてログオンしたときにユーザーデバイスにダウンロードおよびインストールされます。ユーザーがEndpoint Analysisプラグインをユーザーデバイスにインストールしない場合、ユーザーはNetScaler Gatewayプラグインでログオンできません。
nFactorのEPAの概念については、 NetScaler によるnFactor認証におけるEPAに使用される概念およびエンティティを参照してください。
クラシックポリシーでは、定期的な EPA がvpn session actionのセッションポリシーの一部として設定されました。 高度なポリシーインフラストラクチャでは、nFactorにリンクできます。
このトピックでは、EPA スキャンを nFactor 認証または多要素認証の継続的なチェックとして使用します。
ユーザーがNetScaler Gatewayの仮想IPアドレスに接続しようとします。ユーザー名とパスワードのフィールドを含むシンプルなログインページがユーザーにレンダリングされ、ログイン認証情報が提供されます。これらの認証情報を使用して、LDAP または AD ベースの認証がバックエンドで実行されます。成功すると、EPA スキャンを承認するポップアップがユーザーに表示されます。ユーザーが承認すると、EPA スキャンが実行され、ユーザーのクライアント設定の成功または失敗に基づいてユーザーにアクセス権が提供されます。
スキャンが成功すると、EPA スキャンを定期的に実行して、設定されたセキュリティ要件が満たされていることを確認します。このようなチェック中に EPA スキャンが失敗すると、セッションは終了します。
前提条件
以下の設定が行われていることを前提としています。
- VPN 仮想サーバ/ゲートウェイおよび認証仮想サーバの設定
- LDAPサーバー構成と関連ポリシー
このトピックでは、必要なポリシーとポリシーラベル構成が表示され、認証プロファイルに関連付けられています。
次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左に順です。
CLI を使用して、次の操作を実行します
-
EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->上記の式は、プロセス ‘Firefox’ が実行中かどうかをスキャンします。EPA プラグインは、スキャン式の数字「2」で表される 2 分ごとにプロセスの存在をチェックします。
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy--> -
EPA スキャンのポリシーをホストするポリシーラベルを ldap-epa-scan 後に設定します。
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->注: LSCHEMA_INT はスキーマのない組み込みスキーマです。つまり、このステップでは追加の Web ページはユーザーに表示されません。
-
ステップ 1 で設定したポリシーを、ステップ 2 で設定したポリシーラベルに関連付けます。
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END <!--NeedCopy-->このコマンドでは、END は認証メカニズムの終了を示します。
-
ldap-auth ポリシーを設定して、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けます。
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->ここで、ldap_server1 は LDAP ポリシーで、ldap-auth はポリシー名です。
-
ldap-auth ポリシーを認証、承認、および監査仮想サーバに関連付け、次のステップは ldap-epa-scan 後のポリシーラベルを指して EPA スキャンを実行します。
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->
GUI の nFactor ビジュアライザーを使用した設定
前述の設定は、ファームウェア 13.0 以降で使用できる機能である nFactor Visualizer を使用して実行することもできます。
-
[ セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加]をクリックします 。
-
+ をクリックして nFactor フローを追加します。
-
係数を追加します。入力する名前は nFactor フローの名前です。
-
[ スキーマの追加 ] をクリックして最初の要素のスキーマを追加し、[ 追加] をクリックします。
-
[ ポリシーの追加 ] をクリックして LDAP ポリシーを追加します。LDAP ポリシーがすでに作成されている場合は、同じポリシーを選択できます。
注:
LDAP ポリシーを作成するには、「 追加 」をクリックし、「 アクション 」フィールドで「 LDAP」を選択します。LDAP サーバーの追加の詳細については、https://support.citrix.com/article/CTX123782を参照してください。
-
+ をクリックして EPA ファクターを追加します。
-
「 スキーマの追加 」セクションを空白のままにすると、デフォルトではこのファクターにスキーマが適用されません。「 ポリシーを追加 」をクリックして、認証後の EPA ポリシーとアクションを追加します。
EPA アクション:
環境保護庁 (EPA) ポリシー:
[作成] をクリックします。
-
nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。
注意:定期EPAが複数の要素として設定されている場合は、定期EPA構成の最新の要素が考慮されます。
例:
この例では、スキャンでプロセス「Firefox」を検索する最初の要素は EPA です。EPA スキャンが成功すると LDAP 認証が行われ、続いて次の EPA スキャンが行われ、プロセス「Chrome」を検索します。複数の定期スキャンが異なるファクターとして設定されている場合は、最新のスキャンが優先されます。この場合、EPA プラグインは、ログイン成功後 3 分ごとにプロセス「Chrome」をスキャンします。