ADC

パーシステンスを使用してRADIUS負荷分散を構成する

今日の複雑なネットワーク環境では、大容量の負荷分散構成と堅牢な認証と承認の調整が必要になることがよくあります。アプリケーションユーザーは、コンシューマグレードの DSL またはケーブル接続、WiFi、さらにはダイヤルアップノードなどのモバイルアクセスポイントを介して VPN に接続できます。これらの接続は、通常、接続中に変更される可能性がある動的 IP を使用します。

NetScalerアプライアンスでRADIUS認証サーバーへの永続的なクライアント接続をサポートするようにRADIUS負荷分散を構成すると、アプライアンスはクライアントIPの代わりにユーザーログオンまたは指定されたRADIUS属性をセッションIDとして使用し、そのユーザーセッションに関連するすべての接続とレコードを同じRADIUSサーバーに転送します。そのため、ユーザーは、クライアント IP または WiFi アクセスポイントが変更されても接続が切断されることなく、モバイルアクセスロケーションから VPN にログオンできます。

永続性を持つ RADIUS ロードバランシングを設定するには、まず VPN の RADIUS 認証を設定する必要があります。詳細および手順については、AAA アプリケーショントラフィックの「認証、認可、監査(AAA)」の章を参照してください。また、設定のベースとしてロードバランシング機能またはコンテンツスイッチング機能を選択し、選択した機能が有効になっていることを確認します。どちらの機能でも設定プロセスはほぼ同じです。

次に、2 つのロードバランシングまたは 2 つのコンテンツスイッチング仮想サーバーを構成します。1 台は RADIUS 認証トラフィックを処理し、もう 1 台は RADIUS アカウンティングトラフィックを処理します。次に、負荷分散仮想サーバーごとに1つずつ、合計2つのサービスを構成し、各負荷分散仮想サーバーをそのサービスにバインドします。最後に、負荷分散永続性グループを作成し、永続性タイプを RULE に設定します。

負荷分散またはコンテンツスイッチング機能の有効化

負荷分散機能またはコンテンツスイッチング機能を使用するには、まずその機能が有効になっていることを確認する必要があります。以前に構成されていない新しいCitrix ADCアプライアンスを構成する場合は、これらの機能の両方がすでに有効になっているため、次のセクションに進んでください。Citrix ADCアプライアンスを以前の構成で構成していて、使用する機能が有効になっていることを確認できない場合は、今すぐ実行する必要があります。

仮想サーバの構成

ロードバランシングまたはコンテンツスイッチング機能を有効にしたら、次に RADIUS 認証をサポートする 2 つの仮想サーバーを構成する必要があります。

  • RADIUS 認証仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへの認証トラフィックを処理します。認証トラフィックは、保護されたアプリケーションまたは仮想プライベートネットワーク(VPN)にログオンするユーザーに関連付けられた接続で構成されます。
  • RADIUS アカウンティング仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへのアカウンティング接続を処理します。アカウンティングトラフィックは、保護されたアプリケーションまたは VPN での認証済みユーザーのアクティビティを追跡する接続で構成されます。

重要:RADIUSパーシスタンス構成で使用するには、負荷分散仮想サーバーのペアまたはコンテンツスイッチング仮想サーバーのペアを作成する必要があります。仮想サーバーの種類を混在させることはできません。

コマンドラインインターフェイスを使用して負荷分散仮想サーバーを構成するには

コマンドプロンプトで次のコマンドを入力して、負荷分散仮想サーバーを作成し、構成を確認します。

add lb vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>

show lb vserver <name>
<!--NeedCopy-->

既存の負荷分散仮想サーバーを構成するには、前述のadd lb virtual serverコマンドを同じ引数を取るset lb vserverコマンドに置き換えます。

コマンドラインインターフェイスを使用してコンテンツスイッチ仮想サーバーを構成するには

コマンドプロンプトで次のコマンドを入力して、コンテンツスイッチング仮想サーバーを作成し、構成を確認します。

add cs vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>

show cs vserver <name>
<!--NeedCopy-->

既存のコンテンツスイッチング仮想サーバを設定するには、前述のadd cs vserverコマンドを同じ引数を取るset cs vserverコマンドに置き換えます。

例:

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

set lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

set lb vserver radius_auth_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
<!--NeedCopy-->

構成ユーティリティを使用して負荷分散またはコンテンツスイッチング仮想サーバーを構成するには

[ トラフィック管理] > [負荷分散] > [仮想サーバー ] に移動するか、[ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動し、仮想サーバーを設定します。

サービスの構成

仮想サーバーを構成したら、次に、作成した仮想サーバーごとに 1 つずつ、合計 2 つのサービスを構成する必要があります。

注:これらのサービスは、いったん構成されると、Citrix ADCアプライアンスがRADIUSサーバーの認証およびアカウンティングIPに接続してステータスを監視できるまで、DISABLED状態になります。手順については、「 サービスの設定」を参照してください。

サービスへの仮想サーバーのバインド

サービスを構成したら、作成した各仮想サーバーを適切なサービスにバインドする必要があります。手順については、 仮想サーバーへのサービスのバインドを参照してください

Radius の持続性グループの設定

負荷分散仮想サーバーを対応するサービスにバインドしたら、永続性をサポートするように RADIUS 負荷分散構成を設定する必要があります。そのためには、RADIUS 負荷分散仮想サーバーとサービスを含む負荷分散永続性グループを設定し、その負荷分散永続性グループがルールベースの永続性を使用するように構成します。認証とアカウンティングの仮想サーバが異なるため、永続性グループが必要です。また、1 人のユーザの認証とアカウンティングメッセージの両方が同じ RADIUS サーバに到達する必要があるためです。永続性グループを使用すると、両方の仮想サーバーで同じセッションを使用できます。手順については、 永続性グループの構成を参照してください

RADIUS 共有シークレットの設定

リリース12.0以降、NetScalerアプライアンスはRADIUS共有シークレットをサポートしています。RADIUS クライアントとサーバは、クライアントとサーバ上で構成された共有シークレットを使用して相互に通信します。RADIUS クライアントとサーバ間のトランザクションは、共有シークレットを使用して認証されます。このシークレットは、RADIUS パケット内の情報の一部を暗号化するためにも使用されます。

RADIUS 共有秘密鍵検証シナリオ

RADIUS 共有秘密キーの検証は 、次のシナリオで行われます。

  • RADIUS共有秘密鍵は、RADIUSクライアントとRADIUSサーバーの両方に設定されます 。NetScalerアプライアンスは、クライアント側とサーバー側の両方でRADIUS秘密鍵を使用します。検証が成功すると、アプライアンスは RADIUS メッセージの送信を許可します。それ以外の場合は、RADIUS メッセージはドロップされます。
  • RADIUS共有秘密鍵がRADIUSクライアントとRADIUSサーバーのどちらにも構成されていません。RADKYが設定されていないノードでは共有秘密鍵の検証を実行できないため 、NetScalerアプライアンスはRADIUSメッセージをドロップします。
  • RADIUS共有秘密鍵はRADIUSクライアントとRADIUSサーバーの両方に設定されていません。NetScalerアプライアンスはRADIUS秘密鍵の検証をバイパスし 、RADIUSメッセージを通過させます。

デフォルトの RADIUS 共有シークレットを設定することも、クライアント単位またはサブネット単位で設定することもできます。RADIUS ポリシーが設定されたすべての導入環境に RADIUS 共有秘密鍵を追加することを推奨します。アプライアンスは、RADIUS パケットの送信元 IP アドレスを使用して、使用する共有シークレットを決定します。RADIUS クライアントとサーバ、および対応する共有シークレットを次のように構成できます。

CLI プロンプトで、次のように入力します。

add radiusNode <clientPrefix/Subnet> -radKey <Shared_secret_key>
<!--NeedCopy-->

引数

IPaddress

CIDR 形式の RADIUS クライアントの IP アドレスまたはサブネット。アプライアンスは、着信要求パケットの送信元 IP アドレスを使用してクライアント IP アドレスと一致させます。クライアント IP アドレスを設定する代わりに、クライアントネットワークアドレスを設定できます。一番長いプレフィックスと照合して、受信したクライアントリクエストの共有シークレットを識別します。

Radkey

クライアント、NetScalerアプライアンス、およびサーバー間の共有シークレット。最大長:31。

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

add service radius_auth_service1 192.168.41.68 RADIUS 1812

add service radius_acct_service1 192.168.41.70 RADIUS 1813

bind lb vserver radius_auth_vs1 radius_auth_service1

bind lb vserver radius_acct_vs1 radius_acct_service[1-3]

add radiusNode 192.168.41.0/24 -radKey  serverkey123

add radiusNode 203.0.113.0/24 -radkey clientkey123
<!--NeedCopy-->

共有シークレットは、RADIUS クライアントとサーバの両方に設定する必要があります。コマンドは同じです。サブネットは、共有シークレットがクライアント用かサーバー用かを決定します。

たとえば、指定したサブネットがクライアントサブネットの場合、共有シークレットはクライアント用です。指定されたサブネットがサーバー・サブネット(前の例では 192.168.41.0/24)である場合、共有秘密はサーバー用です。

0.0.0.0/0 のサブネットは、すべてのクライアントとサーバーのデフォルトの共有シークレットであることを意味します。

注:

RADIUS 共有シークレットでは、PAP と CHAP の認証方法のみがサポートされます。

パーシステンスを使用してRADIUS負荷分散を構成する