モバイル/タブレットデバイスでRADIUSおよびLDAP認証を使用するようにNetScaler Gateway を構成する
このセクションでは、モバイルデバイス/タブレットデバイスでRADIUS認証をプライマリとして使用し、LDAP認証をセカンダリとして使用するようにNetScaler Gateway アプライアンスを構成する方法について説明します。
の項で説明した設定でも、他のすべての接続で LDAP を最初に使用し、次に RADIUS を使用できます。
モバイル/タブレットデバイスで使用するためにCitrix Workspace アプリで2要素認証を構成する場合は、プライマリ認証としてRSA SecureID(RADIUS認証)を追加する必要があります。ただし、Receiverでユーザー名とパスワード、パスコードの入力を求めるプロンプトが表示された場合は、LDAPを最初に設定し、2番目の資格情報としてRADIUSを配置します。管理者の観点から見ると、モバイル以外の構成とは別の構成です。
モバイルデバイス/タブレットデバイスでRADIUS認証をプライマリとして使用し、LDAP認証をセカンダリとして使用するようにNetScaler Gateway アプライアンスを構成するには、次の手順を実行します。
-
構成ユーティリティで、[NetScaler Gateway]>[ポリシー] [認証]の順に選択し、モバイルデバイスおよび非モバイルデバイス用のLDAPおよびRSAの認証ポリシーを作成します。これは、ユーザが RADIUS 認証をバイパスできる論理条件を回避するために必要です。
-
LDAP の [サーバ] タブの下にある [ 追加 ] オプションをクリックした後、LDAP サーバの詳細を入力します 。
-
必要な LDAP サーバを選択して、モバイルデバイスの LDAP ポリシーを作成します。
このポリシーをモバイルデバイスのみにバインドするには、次の式を使用します:
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
対応する拡張式は以下のとおりです。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
-
[ 式エディタ ] をクリックしてポリシーを作成します:
-
モバイルデバイス用の RADIUS ポリシーと RADIUS サーバを作成します。
-
[ NetScaler Gateway]>[ポリシー]>[認証]>[RADIUS]の順に選択します。「サーバー」タブの「 追加 」をクリックします。
-
必要な詳細を追加します。RADIUS 認証のデフォルトポートは 1812 です。
- このポリシーをモバイルデバイスのみにバインドするには、次の式を使用します:
-
-
同じ手順に従って、モバイルデバイス以外の LDAP ポリシーを作成します。このポリシーを非モバイルデバイスのみにバインドするには、次の式を使用します:
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
対応する拡張式は以下のとおりです。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
モバイルデバイス以外の RADIUS ポリシーを作成します。このポリシーを非モバイルデバイスのみにバインドするには、次の式を使用します:
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
対応する拡張式は以下のとおりです。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
NetScaler Gateway 仮想サーバーの[プロパティ]に移動し、[ 認証 ]タブをクリックします。[プライマリ認証ポリシー] で、RSA_Mobile ポリシーを最優先として、LDAP_NonMobile ポリシーをセカンダリプライオリティとして追加します:
-
セカンダリ認証ポリシーで、LDAP_Mobile ポリシーを最優先として追加し、次に RSA_NonMobile ポリシーをセカンダリプライオリティとして追加します。
セッションポリシーには、正しいシングルサインオン資格情報インデックスが必要です。つまり、LDAP 資格情報である必要があります。モバイルデバイスの場合、[ セッションプロファイル] > [クライアントエクスペリエンス ] の [ 資格情報インデックス ] を [ セカンダリ ] に設定する必要があります。これは LDAP です。
したがって、モバイルデバイス用と非モバイルデバイス用の 2 つのセッションポリシーが必要です。
- モバイルデバイスの場合、セッションポリシーとセッションプロファイルは、次のスクリーンショットのように表示されます。 セッションポリシーを作成するには、目的の仮想サーバーに移動し、[ 編集] をクリックし、[ポリシー] セクションに移動して、[+] 記号をクリックします:
- メニューから [ セッション ] オプションを選択します。
- 目的のセッションポリシー名を入力し、[+] をクリックしてプロファイルを作成します。モバイルデバイスの場合、[ セッションプロファイル] > [クライアントエクスペリエンス ] の [ 資格情報インデックス ] を [ セカンダリ ] に設定する必要があります。これは LDAP です。
- モバイルデバイス以外の場合も、同じ手順に従います。[ セッションプロファイル] > [クライアントエクスペリエンス ]の資格情報インデックスは 、LDAP である [ プライマリ ] に設定する必要があります。
式を次のように変更する必要があります。
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
対応する拡張式は以下のとおりです。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
- モバイル以外のユーザーのプロファイルを作成するには、[+ 記号] をクリックします。
-
次の図は、必要な仮想サーバの下にあるポリシーとプロファイルを示します。
-
また、StoreFront では、NetScaler Gateway 構成で「ログオンの種類」=「ドメインとセキュリティトークン」を使用するように設定されています。