ユーザーID管理
セキュリティ侵害の増加とモバイルデバイスの普及により、外部インターネットの利用が企業ポリシーに準拠し、許可されたユーザーのみが企業担当者によってプロビジョニングされた外部リソースにアクセスできるようにする必要性が強調されています。ID管理は、個人またはデバイスのIDを検証することでこれを可能にします。個人が実行できるタスクや、個人が見ることができるファイルを決定するものではありません。
Secure Web Gateway (SWG) の展開では、インターネットへのアクセスを許可する前にユーザーを識別します。ユーザーからのすべてのリクエストとレスポンスが検査されます。ユーザーアクティビティはログに記録され、レポートのためにCitrix® Application Delivery Management (ADM) にエクスポートされます。Citrix ADMでは、ユーザーアクティビティ、トランザクション、帯域幅消費に関する統計を表示できます。
デフォルトでは、ユーザーのIPアドレスのみが保存されますが、Citrix SWGアプライアンスを設定して、ユーザーに関する詳細情報を記録し、このID情報を使用して特定のユーザー向けに豊富なインターネット使用ポリシーを作成できます。
Citrix ADCアプライアンスは、明示的プロキシ構成に対して次の認証モードをサポートしています。
- Lightweight Directory Access Protocol (LDAP)。外部LDAP認証サーバーを介してユーザーを認証します。詳細については、LDAP認証ポリシーを参照してください。
- RADIUS。外部RADIUSサーバーを介してユーザーを認証します。詳細については、RADIUS認証ポリシーを参照してください。
- TACACS+。外部Terminal Access Controller Access-Control System (TACACS) 認証サーバーを介してユーザーを認証します。詳細については、認証ポリシーを参照してください。
- Negotiate。Kerberos認証サーバーを介してユーザーを認証します。Kerberos認証でエラーが発生した場合、アプライアンスはNTLM認証を使用します。詳細については、Negotiate認証ポリシーを参照してください。
透過型プロキシの場合、現在サポートされているのはIPベースのLDAP認証のみです。クライアントリクエストを受信すると、プロキシはActive Directory内のクライアントIPアドレスのエントリをチェックしてユーザーを認証し、ユーザーIPアドレスに基づいてセッションを作成します。ただし、LDAPアクションでssoNameAttributeを設定すると、IPアドレスの代わりにユーザー名を使用してセッションが作成されます。透過型プロキシ設定での認証には、従来のポリシーはサポートされていません。
注
明示的プロキシの場合、LDAPログイン名を
sAMAccountNameに設定する必要があります。透過型プロキシの場合、LDAPログイン名をnetworkAddressに、attribute1をsAMAccountNameに設定する必要があります。
明示的プロキシの例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
透過型プロキシの例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
Citrix SWG CLIを使用したユーザー認証の設定
コマンドプロンプトで次のように入力します。
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
引数:
Vserver name:
ポリシーをバインドする認証仮想サーバーの名前。
最大長: 127
serviceType:
認証仮想サーバーのプロトコルタイプ。常にSSL。
指定可能な値: SSL
デフォルト値: SSL
Action name:
新しいLDAPアクションの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ( )、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。LDAPアクションの追加後は変更できません。次の要件はCLIにのみ適用されます。
名前に1つ以上のスペースが含まれる場合は、二重引用符または単一引用符で囲みます (例: “my authentication action” または ‘my authentication action’)。
最大長: 127
serverIP:
LDAPサーバーに割り当てられたIPアドレス。
ldapBase:
LDAP検索を開始するベース (ノード)。LDAPサーバーがローカルで実行されている場合、ベースのデフォルト値はdc=netscaler®、dc=comです。最大長: 127
ldapBindDn:
LDAPサーバーへのバインドに使用される完全な識別名 (DN)。
デフォルト: cn=Manager,dc=netscaler,dc=com
最大長: 127
ldapBindDnPassword:
LDAPサーバーへのバインドに使用されるパスワード。
最大長: 127
ldapLoginName:
LDAPログイン名属性。Citrix ADCアプライアンスは、LDAPログイン名を使用して外部LDAPサーバーまたはActive Directoryを照会します。最大長: 127
Policy name:
高度な認証ポリシーの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ( )、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。次の要件はCLIにのみ適用されます。
名前に1つ以上のスペースが含まれる場合は、二重引用符または単一引用符で囲みます (例: “my authentication policy” または ‘my authentication policy’)。
最大長: 127
rule:
ポリシーが認証サーバーでユーザーを認証しようとするかどうかを決定するために使用するルール名、またはデフォルトの構文式。
最大長: 1499
action:
ポリシーが一致した場合に実行される認証アクションの名前。
最大長: 127
priority:
ポリシーの優先度を指定する正の整数。数値が小さいほど優先度が高くなります。ポリシーは優先度の順に評価され、リクエストに一致する最初のポリシーが適用されます。認証仮想サーバーにバインドされているポリシーのリスト内で一意である必要があります。
最小値: 0
最大値: 4294967295
例:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
Citrix SWG CLIを使用したユーザー名ログ記録の有効化
コマンドプロンプトで次のように入力します。
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
引数:
AAAUserName
AppFlow® AAAユーザー名ログ記録を有効にします。
指定可能な値: ENABLED, DISABLED
デフォルト値: DISABLED
例:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->