ユーザー ID 管理
セキュリティ侵害が増え、モバイルデバイスの人気が高まるにつれて、外部インターネットの使用が企業ポリシーに準拠し、許可されたユーザーのみが企業の従業員によってプロビジョニングされた外部リソースにアクセスできるようにする必要性が強調されています。ID 管理では、個人またはデバイスの ID を検証することによって、これを実現できます。これは、個人が取ることができるタスクや個人が参照できるファイルを決定するものではありません。
Secure Web Gateway(SWG)展開では、インターネットへのアクセスを許可する前にユーザーを識別します。ユーザーからのすべての要求と応答が検査されます。ユーザーアクティビティがログに記録され、レポート用にCitrix Application Delivery Management(ADM)にレコードがエクスポートされます。Citrix ADMでは、ユーザーのアクティビティ、トランザクション、帯域幅消費に関する統計を表示できます。
デフォルトでは、ユーザーのIPアドレスのみが保存されますが、ユーザーの詳細を記録するようにCitrix SWGアプライアンスを構成し、このID情報を使用して特定のユーザーに対してより豊富なインターネット使用ポリシーを作成できます。
Citrix ADCアプライアンスは、明示的なプロキシ構成に対して次の認証モードをサポートしています。
- ライトウェイトディレクトリアクセスプロトコル (LDAP)。外部 LDAP 認証サーバーを介してユーザーを認証します。詳しくは、「LDAP 認証ポリシー」を参照してください。
- RADIUS。外部 RADIUS サーバーを介してユーザを認証します。詳しくは、「RADIUS 認証ポリシー」を参照してください。
- TACACS+. 外部ターミナルアクセスコントローラアクセスコントロールシステム (TACACS) 認証サーバを介してユーザを認証します。詳しくは、「認証ポリシー」を参照してください。
- Negotiate. Kerberos 認証サーバを使用してユーザを認証します。Kerberos認証にエラーがある場合、アプライアンスはNTLM認証を使用します。詳しくは、「認証ポリシーのネゴシエート」を参照してください。
透過プロキシの場合、現在 IP ベースの LDAP 認証だけがサポートされています。クライアント要求を受信すると、プロキシはアクティブディレクトリ内のクライアント IP アドレスのエントリをチェックすることによってユーザを認証し、ユーザ IP アドレスに基づいてセッションを作成します。ただし、LDAP アクションで ssoNameAttribute を構成すると、IP アドレスの代わりにユーザー名を使用してセッションが作成されます。トランスペアレントプロキシ設定では、従来のポリシーは認証ではサポートされません。
注
明示的なプロキシの場合は、LDAP ログイン名を
sAMAccountNameに設定する必要があります。透過プロキシの場合、LDAP ログイン名をnetworkAddressに設定し、attribute1をsAMAccountNameに設定する必要があります。
明示的なプロキシの例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
透過プロキシの例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
Citrix SWG CLIを使用してユーザー認証を設定する
コマンドプロンプトで次のように入力します。
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
引数:
仮想サーバ名:
ポリシーをバインドする認証仮想サーバの名前。
最大長:127
serviceType:
認証仮想サーバのプロトコルタイプ。Always SSL.
指定可能な値:SSL
デフォルト値:SSL
アクション名:
新しい LDAP アクションの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。LDAP アクションが追加された後は変更できません。次の要件は、CLI だけに適用されます。
名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証アクション」や「認証アクション」など)。
最大長:127
serverIP:
LDAP サーバに割り当てられた IP アドレス。
ldapBase:
LDAP 検索を開始するベース(ノード)。LDAP サーバがローカルで実行されている場合、base のデフォルト値は dc=netscaler、dc=com です。最大長:127
ldapBindDn:
LDAP サーバーへのバインドに使用される完全識別名 (DN)。
デフォルト: cn=Manager,dc=netscaler,dc=com
最大長:127
ldapBindDnPassword:
LDAP サーバへのバインドに使用するパスワード。
最大長:127
ldapLoginName:
LDAP ログイン名属性。Citrix ADCアプライアンスは、LDAPログイン名を使用して、外部LDAPサーバーまたはActive Directoryのクエリを実行します。最大長:127
ポリシー名:
事前認証ポリシーの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。次の要件は、CLI だけに適用されます。
名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「認証ポリシー」や「認証ポリシー」など)。
最大長:127
ruleを次のように設定します。
AUTHENTICATION サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用する規則の名前、またはデフォルトの構文式。
最大長さ:1499
action。
ポリシーが一致した場合に実行される認証アクションの名前。
最大長:127
priority:
ポリシーのプライオリティを指定する正の整数。数値が小さいほど、プライオリティが高くなります。ポリシーは優先度の順に評価され、要求に一致する最初のポリシーが適用されます。認証仮想サーバにバインドされたポリシーのリスト内で一意である必要があります。
最小値:0
最大値:4294967295
例:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
Citrix SWG CLIを使用してユーザー名ログを有効にする
コマンドプロンプトで、次のように入力します。
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
引数:
AAAUserName
AppFlow AAA ユーザー名のロギングを有効にします。
設定可能な値:ENABLED, DISABLED
デフォルト値: DISABLED
例:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->