Citrix ADCのSSOを設定する
NetScaler SSOは、偽装または委任の2つの方法のいずれかで機能するように構成できます。偽装による SSO は、委任による SSO よりも簡単な設定であるため、設定で許可されている場合に適しています。なりすましによってNetScaler SSOを構成するには、ユーザーのユーザー名とパスワードが必要です。
委任によってNetScaler SSOを構成するには、ユーザーのユーザー名とパスワード、ユーザー名と暗号化されたパスワードを含むキータブ構成、または委任されたユーザー証明書と対応するCA証明書のいずれかの形式の委任ユーザーの資格情報が必要です。
NetScaler SSOを構成するための前提条件
NetScaler SSOを構成する前に、Webアプリケーションサーバーへのトラフィックと認証を管理するようにNetScalerアプライアンスを完全に構成する必要があります。したがって、これらの Web アプリケーションサーバーに対して負荷分散またはコンテンツスイッチを構成し、認証、承認、および監査を構成する必要があります。また、アプライアンス、LDAP サーバー、Kerberos サーバー間のルーティングを確認する必要があります。
ネットワークがこの方法でまだ設定されていない場合は、次の設定作業を実行します。
- Web アプリケーションサーバーごとにサーバーとサービスを構成します。
- Web アプリケーションサーバーとの間で送受信されるトラフィックを処理するようにトラフィック管理仮想サーバーを構成します。
NetScalerコマンドラインからこれらの各タスクを実行するための簡単な手順と例を以下に示します。詳細については、「 認証仮想サーバーのセットアップ」を参照してください。
注
NetScaler 13.1以降のリリースでは、NetScalerアプライアンスからのバックエンドサーバーのKerberos SSO認証中に、ルートドメインとツリードメイン間のトラバーサルがサポートされます。
CLIを使用してサーバーとサービスを作成するには
NetScaler SSOがサービスのTGS(サービスチケット)を取得するには、NetScalerアプライアンス上のサーバーエンティティに割り当てられたFQDNがWebアプリケーションサーバーのFQDNと一致するか、サーバーエンティティ名がWebアプリケーションサーバーのNetBIOS名と一致する必要があります。次のいずれかの方法を使用できます。
- WebアプリケーションサーバーのFQDNを指定して、NetScalerサーバーエンティティを構成します。
- WebアプリケーションサーバーのIPアドレスを指定してNetScalerサーバーエンティティを構成し、サーバーエンティティにWebアプリケーションサーバーのNetBIOS名と同じ名前を割り当てます。
コマンドプロンプトで、次のコマンドを入力します。
- add server name <serverFQDN>
- add service name serverName serviceType port
<!--NeedCopy-->
変数の場合は、次の値を置き換えます。
- サーバー名。このサーバーを参照するために使用するNetScalerアプライアンスの名前。
- serverFQDN。サーバーの FQDN。サーバにドメインが割り当てられていない場合は、サーバの IP アドレスを使用し、サーバエンティティ名が Web アプリケーションサーバの NetBIOS 名と一致することを確認します。
- サービス名。このサービスを指すために使用するNetScalerアプライアンスの名前。
- タイプ。サービスによって使用されるプロトコル(HTTP または MSSQLSVC)。
- ポート。サービスがリッスンするポート。HTTP サービスは通常、ポート 80 でリッスンします。セキュア HTTPS サービスは通常、ポート 443 でリッスンします。
例:
次の例では、Webアプリケーションサーバーwas1.example.comのNetScalerアプライアンスにサーバーとサービスのエントリを追加します。最初の例では Web アプリケーションサーバーの FQDN を使用し、2 番目の例では IP アドレスを使用します。
Web アプリケーションサーバーの FQDN である was1.example.com を使用してサーバーとサービスを追加するには、次のコマンドを入力します。
add server was1 was1.example.com
add service was1service was1 HTTP 80
<!--NeedCopy-->
Web アプリケーションサーバーの IP アドレスと NetBIOS 名 (Web アプリケーションサーバーの IP アドレスは 10.237.64.87、NetBIOS 名は WAS1) を使用してサーバーとサービスを追加するには、次のコマンドを入力します。
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 80
<!--NeedCopy-->
CLI を使用してトラフィック管理仮想サーバーを作成するには
トラフィック管理仮想サーバは、クライアントと Web アプリケーションサーバ間のトラフィックを管理します。トラフィック管理サーバーとして、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。SSO 設定はどちらのタイプでも同じです。
負荷分散仮想サーバーを作成するには、コマンドプロンプトで次のコマンドを入力します。
add lb vserver <vserverName> <type> <IP> <port>
<!--NeedCopy-->
変数の場合は、次の値を置き換えます。
- vServerName—この仮想サーバーを参照するために使用するNetScalerアプライアンスの名前。
- type:サービスによって使用されるプロトコル(HTTP または MSSQLSVC)。
- [IP]:仮想サーバに割り当てられた IP アドレス。これは通常、LAN 上の IANA 予約済みの非パブリック IP アドレスです。
- port:サービスがリッスンするポート。HTTP サービスは通常、ポート 80 でリッスンします。セキュア HTTPS サービスは通常、ポート 443 でリッスンします。
例:
tmvserver1 という名前の負荷分散仮想サーバーを、ポート 80 の HTTP トラフィックを管理する構成に追加し、LAN IP アドレス 10.217.28.20 を割り当てて、負荷分散仮想サーバーを wasservice1 サービスにバインドするには、次のコマンドを入力します。
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
<!--NeedCopy-->
CLI を使用して認証仮想サーバーを作成するには
認証仮想サーバは、クライアントと認証(LDAP)サーバ間の認証トラフィックを管理します。認証仮想サーバーを作成するには、コマンドプロンプトで次のコマンドを入力します。
add authentication vserver <authvserverName> SSL <IP> 443
<!--NeedCopy-->
変数の場合は、次の値を置き換えます。
- AuthVServerName —この認証仮想サーバーを参照するために使用するNetScalerアプライアンスの名前。文字、数字、またはアンダースコア文字(_)で始まり、文字、数字、ハイフン(-)、ピリオド(.)ポンド(#)、スペース()、アットマーク(@)、等号(=)、コロン(:)、およびアンダースコア文字のみを含める必要があります。認証仮想サーバーを追加した後で rename authentication vserver コマンドを使用して変更できます。
- [IP]:認証仮想サーバに割り当てられた IP アドレス。トラフィック管理仮想サーバと同様に、このアドレスは通常、LAN 上の IANA 予約済みの非パブリック IP になります。
- domain:仮想サーバに割り当てられたドメイン。これは通常、ネットワークのドメインになります。認証仮想サーバーを構成するときは、必須ではありませんが、すべての大文字でドメインを入力するのが通例です。
例:
authverver1 という名前の認証仮想サーバーを構成に追加し、LAN IP 10.217.28.21 とドメイン EXAMPLE.COM を割り当てるには、次のコマンドを入力します。
add authentication vserver authvserver1 SSL 10.217.28.21 443
<!--NeedCopy-->
認証プロファイルを使用するようにトラフィック管理仮想サーバを構成するには
認証仮想サーバーは、単一ドメインまたは複数のドメインの認証を処理するように構成できます。複数のドメインの認証をサポートするように構成されている場合は、認証プロファイルを作成し、その認証プロファイルを使用するようにトラフィック管理仮想サーバーを構成して、NetScaler SSOのドメインも指定する必要があります。
注
トラフィック管理仮想サーバは、負荷分散(lb)仮想サーバまたはコンテンツスイッチング(cs)仮想サーバのいずれかになります。次の手順は、負荷分散仮想サーバーを使用していることを前提としています。コンテンツスイッチ仮想サーバーを構成するには、set lb vserver を set cs vserver に置き換えるだけです。それ以外の手順は同じです。
認証プロファイルを作成し、トラフィック管理仮想サーバーで認証プロファイルを構成するには、次のコマンドを入力します。
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver \<vserverName\> -authnProfile <authnprofileName>
<!--NeedCopy-->
変数の場合は、次の値を置き換えます。
- authnProfileName:認証プロファイルの名前。英字、数字、またはアンダースコア文字 (_) で始まり、1 ~ 31 の英数字またはハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字で構成する必要があります。
- authvServerName:このプロファイルが認証に使用する認証仮想サーバの名前。
- AuthenticationHost:認証仮想サーバのホスト名。
- 認証ドメイン — NetScalerSSOが認証を処理するドメイン。NetScalerアプライアンスがトラフィック管理仮想サーバーCookie を設定するときに正しいドメインが含まれるように、認証仮想サーバーが複数のドメインの認証を実行する場合に必要です。
例:
example.com ドメインの認証用に authnProfile1 という名前の認証プロファイルを作成し、認証プロファイル authnProfile1 を使用するように負荷分散仮想サーバー vserver1 を構成するには、次のコマンドを入力します。
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
<!--NeedCopy-->