ユーザーおよびグループ
認証、承認、および監査の基本設定を構成したら、ユーザーとグループを作成します。まず、NetScalerアプライアンスを介して認証する各ユーザーのユーザーアカウントを作成します。NetScalerアプライアンス自体によって制御されるローカル認証を使用している場合は、ローカルユーザーアカウントを作成し、それらの各アカウントにパスワードを割り当てます。
外部認証サーバーを使用している場合は、NetScalerアプライアンスでユーザーアカウントを作成することもできます。ただし、この場合、各ユーザーアカウントは外部認証サーバー上のそのユーザーのアカウントと完全に一致する必要があり、NetScalerで作成したユーザーアカウントにはパスワードを割り当てません。外部認証サーバーは、外部認証サーバーで認証するユーザーのパスワードを管理します。
外部認証サーバーを使用している場合でも、たとえば一時的なユーザー(訪問者など)のログインを許可したいが、認証サーバーでそれらのユーザー用のエントリを作成したくない場合などに、NetScalerアプライアンスでローカルユーザーアカウントを作成できます。すべてのユーザーアカウントにローカル認証を使用する場合と同様に、各ローカルユーザーアカウントにパスワードを割り当てます。
各ユーザーアカウントは、認証と承認のポリシーにバインドされている必要があります。このタスクを簡単にするために、1 つ以上のグループを作成し、それらにユーザーアカウントを割り当てることができます。その後、ポリシーを個々のユーザーアカウントではなくグループにバインドできます。
グループによるポリシーの設定
グループを構成したら、 グループダイアログボックスを使用して 、ユーザーアクセスを指定するポリシーと設定を適用できます。ローカル認証を使用している場合は、ユーザーを作成し、NetScaler Gatewayで構成されているグループに追加します。その後、ユーザはそのグループの設定を継承します。
「グループ」ダイアログ・ボックスでは、ユーザー・グループに対して次のポリシーまたは設定を構成できます。
- ユーザー
- 承認ポリシー
- 監査ポリシー
- セッションポリシー
- トラフィックポリシー
- ブックマーク
- イントラネットアプリケーション
- イントラネット IP アドレス
構成では、複数のグループに属するユーザーがいる場合があります。さらに、各グループには、異なるパラメータが設定された 1 つ以上のバインドされたセッションポリシーがある場合があります。複数のグループに属するユーザーは、そのユーザーが属するすべてのグループに割り当てられたセッションポリシーを継承します。どのセッションポリシー評価が他方よりも優先されるかを確認するには、セッションポリシーの優先順位を設定する必要があります。
たとえば、group1 がホームページ www.homepage1.com で設定されたセッションポリシーにバインドされているとします。Group2 は、ホームページ www.homepage2.com で設定されたセッションポリシーにバインドされています。これらのポリシーが、優先度番号のない、または同じ優先度番号を持つ各グループにバインドされている場合、両方のグループに属するユーザーに表示されるホームページは、最初に処理されるポリシーによって異なります。ホームページ www.homepage1.com のセッションポリシーに低い優先度の番号を設定すると、両方のグループに属するユーザーがホームページ www.homepage1.com を受信できるようになります。
セッションポリシーにプライオリティ番号が割り当てられていない場合、またはプライオリティ番号が同じ場合、precedence は次の順序で評価されます。
- ユーザー
- グループ
- 仮想サーバー
- グローバル
ポリシーがプライオリティ番号なしで同じレベルにバインドされている場合、またはポリシーのプライオリティ番号が同じ場合、評価の順序はポリシーのバインド順序に従います。最初にレベルにバインドされたポリシーは、後でバインドされたポリシーよりも優先されます。
ユーザーが複数のグループにバインドされ、各グループに IIP がバインドされている場合、そのユーザーはバインドされたグループから自由な IP を取得できます。
ユーザーとグループの作成
GUI を使用してローカルユーザーの認証、承認、監査を設定します
- [ **セキュリティ] > [AAA-アプリケーショントラフィック] > [NetScaler Gatewayからのユーザー ] に移動し、[NetScaler Gateway] > [ユーザー管理] を展開して、[AAAユーザー] をクリックします。**
-
詳細ウィンドウで、次のいずれかの操作を行います。
- 新しいユーザーアカウントを作成するには、[ 追加] をクリックします。
- 既存のユーザーアカウントを変更するには、ユーザーアカウントを選択し、「 開く」をクリックします。
- 「 AAA ユーザーの作成 」ダイアログ・ボックスの「 ユーザー名 」テキスト・ボックスに、ユーザーの名前を入力します。
- ローカル認証ユーザーアカウントを作成する場合は、「 外部認証 」チェックボックスをオフにして、ユーザーがログオンに使用するローカルパスワードを指定します。
- 「 作成」または「OK」をクリックし、「閉じる」をクリックします。ステータスバーに、ユーザーが正常に構成されたことを示すメッセージが表示されます。
構成ユーティリティを使用して、認証、承認、および監査のローカルグループを設定し、それらにユーザーを追加します
- [ **セキュリティ] > [AAA-アプリケーショントラフィック] > [NetScaler Gatewayからのグループ ] に移動し、[NetScaler Gateway] > [ユーザー管理] を展開して、[AAAグループ] をクリックします。**
- 詳細ウィンドウで、次のいずれかの操作を行います。
- 新しいグループを作成するには、[ 追加] をクリックします。
- 既存のグループを変更するには、グループを選択し、[ 編集] をクリックします。
- 新しいグループを作成する場合は、 Create AAA Group ダイアログボックスの「GroupName 」テキストボックスに、グループの名前を入力します。
-
右側の「 詳細設定 」領域で、「 AAA ユーザ」をクリックします。
- グループにユーザーを追加するには、ユーザーを選択し、[ 追加] をクリックします。
- グループからユーザーを削除するには、ユーザーを選択し、[ 削除] をクリックします。
- 新しいユーザーアカウントを作成してグループに追加するには、 プラスアイコンをクリックし 、「構成ユーティリティを使用してローカルユーザーの認証、承認、および監査を設定するには」の指示に従ってください。
- [ 作成] または[ OK]をクリックします。作成したグループが AAA Groups ページに表示されます。
GUI を使用してグループを削除する
NetScaler Gatewayからユーザーグループを削除することもできます。
- [ **セキュリティ] > [AAA-アプリケーショントラフィック] > [NetScaler Gatewayからのグループ ] に移動し、[Citrix Gateway] > [ユーザー管理] を展開して、 [AAAグループ] をクリックします。** 詳細ペインでグループを選択し、[削除] をクリックします。
CLI を使用してローカルユーザーの認証、承認、および監査を設定します
コマンドプロンプトで、次のコマンドを入力します。
add aaa group <groupname>
bind aaa group <groupname> -username <username>
<!--NeedCopy-->
例:
add aaa group group-2
bind aaa group group-2 -username user-2
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、認証、承認、および監査グループからユーザーを削除する
コマンドプロンプトで、グループにバインドされているユーザーアカウントごとに次のコマンドを 1 回入力して、ユーザーをグループからバインド解除します。
unbind aaa group <groupname> -username <username><!--NeedCopy-->
**例:**
<!--NeedCopy-->
unbind aaa group group-hr -username user-hr-1
### コマンドラインインターフェイスを使用して認証、承認、および監査グループを削除する
まず、グループからすべてのユーザーを削除します。次に、コマンドプロンプトで次のコマンドを入力してNetScaler AAAグループを削除し、構成を確認します。
<!--NeedCopy-->
rm aaa group
**例:**
<!--NeedCopy-->
rm aaa group group-hr
> **注:**
>
>ドメインなしでユーザー名がすでに追加されている場合、ドメインを使用してユーザー名を追加することはできません。ドメイン付きのユーザー名が最初に追加され、その後にドメインなしの同じユーザー名が追加された場合、NetScalerアプライアンスはそのユーザー名をユーザーリストに追加します。
次の例は、ドメインなしで同じユーザー名を追加した場合、ドメインを使用したユーザー名の追加が許可されないことを示しています。
<!--NeedCopy-->
add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```
次の例は、ドメイン付きのユーザー名が最初に追加され、その後にドメインなしの同じユーザー名が追加された場合、NetScalerアプライアンスがそのユーザー名をユーザーリストに追加することを示しています。
> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1) UserName: u47985@domain.com
2) UserName: u47985
```