ゲートウェイ認証用の nFactor
nFactor 認証は、認証に関するまったく新しい可能性を可能にします。nFactor を使用する管理者は、仮想サーバーの認証要素を設定する際に、認証、承認、監査の柔軟性を享受できます。
2 つのポリシーバンクまたは 2 つの要因により、管理者は制限されなくなりました。政策銀行の数は、さまざまなニーズに合わせて拡張できます。以前の要素に基づいて、nFactor は認証方法を決定します。動的ログインフォームと障害発生時のアクションは、nFactor を使用することで可能です。
重要
- リリース13.0ビルド67.x以降、nFactor認証はゲートウェイ/VPN仮想サーバーでのみ標準ライセンスでサポートされ、認証仮想サーバーではサポートされません。Standard ライセンスでは、nFactor ビジュアライザー GUI を使用して nFactor フローで EPA を作成することはできません。また、ログインスキーマを編集することはできませんが、既成のログインスキーマをそのまま使用する必要があります。
- NetScaler ADCがnFactor認証をサポートするには、アドバンスドライセンスまたはプレミアムライセンスが必要です。NetScaler での nFactor 認証について詳しくは、「 nFactor 認証」を参照してください。
認証、認可、監査機能のライセンス要件
次の表に、使用可能な認証、承認、および監査機能のライセンス要件を示します。
標準ライセンス | 上級ライセンス | プレミアムライセンス | ||
---|---|---|---|---|
ローカル認証 | はい | はい | はい | |
LDAP認証 | はい | はい | はい | |
RADIUS認証 | はい | はい | はい | |
TACACS認証 | はい | はい | はい | |
Web認証 | はい | はい | はい | |
クライアント証明書認証 | はい | はい | はい | |
認証のネゴシエート | はい | はい | はい | |
SAML認証 | はい | はい | はい | |
OAuth認証 | いいえ | はい | はい | |
ネイティブOTP | いいえ | はい | はい | |
メールOTP | いいえ | はい | はい | |
OTPのプッシュ通知 | いいえ | いいえ | はい | |
ナレッジベースの質問と回答 (KBA 認証) | いいえ | はい | はい | |
セルフサービスパスワードリセット (SSPR) | いいえ | はい | はい | |
nFactor ビジュアライザー | はい | はい | はい |
注
- NetScaler 標準ライセンスで nFactor を構成する手順については、 NetScaler 標準ライセンスで nFactor 認証用のゲートウェイ仮想サーバーを作成するセクションを参照してください。
- NetScaler Standardライセンスのゲートウェイ/VPN仮想サーバーにバインドできるのは、アドレス指定できない認証、承認、および監査仮想サーバーのみです。
- NetScaler ADC標準ライセンスでは、ログインスキーマのカスタマイズは許可されていません。nFactor のサポートは基本で、アプライアンスに付属するデフォルトおよびすでに追加されているログインスキーマのみがあります。管理者は設定で使用できますが、ログインスキーマを追加することはできません。したがって、GUI オプションは無効になります。
使用例
nFactor 認証は、ユーザプロファイルに基づいてダイナミック認証フローを有効にします。場合によっては、フローがユーザーに対してシンプルで直感的になることがあります。それ以外の場合は、Active Directory または他の認証サーバのセキュリティ保護と組み合わせることができます。次に、Gateway に固有の要件をいくつか示します:
-
動的なユーザー名とパスワードの選択。従来、クライアント(ブラウザとレシーバを含む)は、Active Directory(AD)のパスワードを最初のパスワードフィールドとして使用していました。2 番目のパスワードは、ワンタイムパスワード (OTP) 用に予約されています。ただし、AD サーバーを保護するには、まず OTP を検証する必要があります。nFactor は、クライアントの変更を必要とせずにこれを実行できます。
-
マルチテナント認証エンドポイント。組織によっては、証明書ユーザーと証明書以外のユーザーに異なる Gateway サーバーを使用します。ユーザーが自分のデバイスを使用してログインする場合、ユーザーのアクセスレベルは使用するデバイスに応じてNetScaler ADCアプライアンスによって異なります。ゲートウェイは、さまざまな認証ニーズに対応できます。
-
グループメンバーシップに基づく認証。組織によっては、認証要件を決定するために AD サーバーからユーザープロパティを取得します。認証要件は、ユーザーごとに変更できます。
-
認証の副要因。場合によっては、異なる認証ポリシーのペアを使用して、異なるユーザーセットを認証することがあります。ペアポリシーを提供すると、効果的な認証が向上します。従属ポリシーは、1 つのフローから作成できます。このようにして、独立した一連のポリシーは、効率を高め、複雑さを軽減する独自のフローになります。
認証レスポンスの処理
NetScaler Gateway コールバックレジスタは、認証応答を処理します。AAAD (認証デーモン) 応答と成功/失敗/エラー/ダイアログコードは、コールバックハンドルに送られます。成功/失敗/エラー/ダイアログコードは、Gateway に適切なアクションを実行するように指示します。
クライアントサポート
次の表に、設定の詳細を示します。
Client | nFactorサポート | 認証ポリシーのバインドポイント | EPA |
---|---|---|---|
Webブラウザー | はい | 認証 | はい |
Citrix Workspaceアプリ | はい | VPN | はい |
ゲートウェイプラグイン | はい | VPN | はい |
注:
- Citrix Workspace アプリは、以下のバージョンのサポートされているオペレーティングシステムでnFactor認証をサポートしています。
- Windows 4.12
- Linux 13.10
- Mac 1808
- iOS 2007
- Android 1808
- HTML5: ストアウェブを通じてサポート
- Chrome: ストアウェブでサポート
コマンドライン設定
Gateway 仮想サーバには、属性として指定された認証仮想サーバが必要です。属性としての仮想サーバ名は、このモデルに必要な唯一の設定です。
add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->
authnVsNameは、認証仮想サーバーの名前です。AuthnvsName 仮想サーバーは、高度な認証ポリシーで構成する必要があり、nFactor 認証に使用されます。
add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->
ここで、authnProfile は以前に作成された認証プロファイルです。
相互運用性の課題
レガシー Gateway クライアントのほとんどは、RFWeb クライアントに加えて、Gateway によって送信される応答に基づいてモデル化されています。たとえば、/vpn/index.html に対する 302 応答は、多くのクライアントで想定されています。これらのクライアントは、「pwcount
」「NSC_CERT」などのさまざまなゲートウェイ Cookie にも依存しています。
エンドポイント分析 (EPA)
nFactorのEPAは、NetScaler 認証、承認、および監査モジュールではサポートされていません。したがって、NetScaler Gateway 仮想サーバーはEPAを実行します。EPA の後、ログイン資格情報は、前述の API を使用して認証仮想サーバーに送信されます。認証が完了すると、Gateway は認証後処理を続行し、ユーザーセッションを確立します。
設定ミスに関する考慮事項
Gateway クライアントは、ユーザクレデンシャルを 1 回だけ送信します。Gateway は、ログイン要求でクライアントから 1 つまたは 2 つのクレデンシャルを取得します。レガシーモードでは、最大 2 つの要素があります。取得したパスワードは、これらの要素に使用されます。ただし、nFactor では、設定できるファクタの数は実質的に無制限です。Gateway クライアントから取得したパスワードは、設定されたファクタに対して(設定に従って)再利用されます。ワンタイムパスワード (OTP) を複数回再利用しないように注意する必要があります。同様に、管理者は、ファクタで再使用されるパスワードが実際にそのファクタに適用可能であることを確認する必要があります。
クライアントの定義
この構成オプションは、NetScaler ADCがブラウザクライアントとReceiverなどのシッククライアントを判別するのに役立ちます。
管理者がすべてのクライアントのパターンを構成できるように、ns_vpn_client_useragentsというパターンセットが提供されています。
同様に、「Citrix Receiver」文字列を上のpatset
にバインドして、ユーザーエージェントに「Citrix Receiver」を含むすべてのクライアントを無視します。
ゲートウェイの nFactor を制限する
次の条件が存在する場合、ゲートウェイ認証の nFactor は発生しません。
-
認証プロファイルがNetScaler Gatewayに設定されていません。
-
高度な認証ポリシーは認証仮想サーバにバインドされません。同じ認証仮想サーバについては、
authnProfile
を参照してください。 -
HTTP 要求のユーザーエージェント文字列は、
patset
ns_vpn_client_useragent で構成されたユーザーエージェントと一致します。
これらの条件が満たされない場合は、Gateway にバインドされた従来の認証ポリシーが使用されます。
User-Agent またはその一部が前述のpatset
にバインドされている場合、それらのユーザーエージェントからのリクエストは nFactor フローに参加しません。たとえば、次のコマンドはすべてのブラウザの設定を制限します (すべてのブラウザで user-agent 文字列に「Mozilla」が含まれていると仮定します)。
bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->
ログインスキーマ
LoginSchema は、ログオンフォームの論理表現です。XML 言語によって定義されています。LoginSchemaの構文は、Citrix の共通形式プロトコル仕様に準拠しています。
LoginSchema はプロダクトの「ビュー」を定義します。管理者は、フォームのカスタマイズした説明、補助テキストなどを提供できます。ログインスキーマには、フォーム自体のラベルが含まれます。お客様は、特定の時点で提示されたフォームを説明する成功または失敗のメッセージを提供できます。
次のコマンドを使用して、ログインスキーマを設定します。
add authentication loginSchema <name> -authenticationSchema <string> [-userExpression <string>] [-passwdExpression <string>] [-userCredentialIndex <positive_integer>]
[-passwordCredentialIndex <positive_integer>] [-authenticationStrength <positive_integer>] [-SSOCredentials ( YES | NO )]
<!--NeedCopy-->
パラメータの説明
-
name-新しいログインスキーマの名前。これは必須の議論です。最大長:127
-
AuthenticationSchema-ログインページ UI に送信される認証スキーマを読み取るためのファイルの名前。このファイルには、ログインフォームをレンダリングするためのCitrix Forms認証プロトコルに基づく要素のxml定義が含まれています。管理者がユーザーに他の資格情報の入力を求めるのではなく、以前に取得した資格情報で続行する場合は、
noschema
を引数として与えることができます。これは、ユーザー定義ファクターで使用される LoginSchema にのみ適用され、仮想サーバーファクターには適用されません。
これは必須の議論です。最大長:255
-
userExpression-ログイン時にユーザー名を抽出するための式。これは、関連する高度なポリシー式であればどれでも使用できます。最大長:127
-
PasswdExpression-ログイン時のパスワード抽出の式。これは、関連する高度なポリシー式であればどれでも使用できます。最大長:127
-
userCredentialIndex-ユーザーが入力したユーザー名のインデックスがセッションに格納されている必要があります。最小値:1、最大値:16
-
PasswordCredentialIndex-ユーザーがパスワードを入力したインデックスは、セッションに格納する必要があります。最小値:1、最大値:16
-
認証強度-現在の認証の重み最小値:0、最大値:65535
-
SSOCredentials
-このオプションは、現在の要素認証情報がデフォルトの SSO (singleSignOn) 資格情報であるかどうかを示します。可能な値:はい、いいえ。デフォルト値:NO
ログインスキーマと nFactor の知識が必要
事前構築されたログインスキーマファイルは、次のCitrix ADCの場所/nsConfig/loginSchema/にあります。これらの事前構築された LoginSchema ファイルは、一般的なユースケースに対応しており、必要に応じてわずかなバリエーションに変更できます。
また、カスタマイズがほとんどない単一要素のユースケースのほとんどは、ログインスキーマの設定を必要としません。
管理者は、NetScaler ADCが要因を検出できるようにする他の構成オプションについては、ドキュメントを確認することをお勧めします。ユーザーがクレデンシャルを送信すると、管理者は複数のファクタを設定して、認証ファクタを柔軟に選択して処理できます。
loginSchema を使用せずに二要素認証を構成する
NetScaler ADCは、構成に基づいて二重要素の要件を自動的に決定します。ユーザーがこれらの資格情報を提示すると、管理者は仮想サーバで最初のポリシーセットを構成できます。各ポリシーに対して、「NextFactor」を「パススルー」として構成できます。「パススルー」とは、NetScaler ADCがユーザーにアクセスせずに既存の資格情報セットを使用してログオンを処理する必要があることを意味します。「パススルー」ファクターを使用することで、管理者はプログラムで認証フローを駆動できます。管理者は、nFactor の仕様書または展開ガイドで詳細を読むことをお勧めします。 マルチファクター (nFactor) 認証を参照してください。
ユーザ名とパスワードの表現
ログイン認証情報を処理するには、管理者は LoginSchema を設定する必要があります。LoginSchema のカスタマイズがほとんどないシングルファクタまたはデュアルファクタのユースケースでは、XML 定義を指定する必要はありません。LoginSchema には、ユーザーが提示するユーザー名またはパスワードを変更するために使用できる userExpression や passwdExpressionなどの他のプロパティがあります。
ログインスキーマは高度なポリシー式であり、ユーザー入力を上書きするためにも使用できます。これは、次の例に示すように、 -AuthenticationSchema にパラメータの文字列を追加することで実現できます。
以下は、ユーザー名とパスワードのユーザー入力をそれぞれ変更する例です。
-
ユーザ名のユーザ入力を
username@citrix.com
からusername@xyz.com
に変更します。add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -userExpression "AAA.LOGIN.USERNAME.BEFORE_STR("@").APPEND("@xyz.com")" <!--NeedCopy-->
-
構成されたログインスキーマの一部として、ユーザーが第 1 要素にパスワードとパスコードを入力するシナリオを考えてみましょう。 最初の要素でユーザーによって提供されたパスコードを使用し 、2 番目の要素でパスワードを使用するには 、次のコマンドを使用して既存のログインスキーマを変更できます。
add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -passwdExpression "AAA.LOGIN.PASSWORD2" <!--NeedCopy-->
add authentication loginSchema user_schema_second -authenticationSchema noschema -passwdExpression "AAA.LOGIN.PASSWORD" <!--NeedCopy-->
nFactor 構成のハイレベルな手順
次の図は、nFactor の設定に関連する高レベルの手順を示しています。
GUI 構成
このセクションでは、次のトピックについて説明します。
-
仮想サーバーを作成する
-
認証仮想サーバーの作成
-
認証 CERT プロファイルの作成
-
認証ポリシーの作成
-
LDAP 認証サーバーを追加する
-
LDAP 認証ポリシーを追加する
-
RADIUS 認証サーバーを追加する
-
RADIUS 認証ポリシーの追加
-
認証ログインスキーマの作成
-
ポリシーラベルの作成
仮想サーバーの作成
-
「 NetScaler Gateway」>「仮想サーバー」に移動します。
-
[ Add ] ボタンをクリックして、ゲートウェイ仮想サーバーを作成します。
-
次の情報を入力し、「 OK」をクリックします。
パラメーター名 パラメータの説明 仮想サーバの名前を入力します。 NetScaler Gateway 仮想サーバーの名前。ASCII アルファベット文字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、およびハイフン (-) のみを含める必要があります。仮想サーバーの作成後に変更できます。次の要件は、NetScaler CLIにのみ適用されます。名前に1つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、「マイサーバー」または「マイサーバー」)。 仮想サーバの IP アドレスタイプを入力します。 ドロップダウンメニューから [IP アドレス] または [アドレス指定不可] オプションを選択します。 仮想サーバの IP アドレスを入力します。 インターネットプロトコルアドレス(IPアドレス)は、通信にインターネットプロトコルを使用するコンピュータネットワークに参加している各機器に割り当てられた数値ラベルです。 仮想サーバーのポート番号を入力します。 ポート番号を入力します。 認証プロファイルを入力します。 仮想サーバ上の認証プロファイルエンティティ。このエンティティは、多要素 (nFactor) 認証のために、認証、承認、および監査仮想サーバーに認証をオフロードするために使用できます。 RDP サーバプロファイルを入力します。 仮想サーバに関連付けられている RDP サーバプロファイルの名前。 [最大ユーザー数] を入力します。 この仮想サーバーで許可される同時ユーザーセッションの最大数。この仮想サーバーにログオンできる実際のユーザー数は、ユーザーライセンスの総数によって異なります。 [最大ログイン試行回数] を入力します。 ログオン試行の最大回数。 ログイン失敗タイムアウトを入力します。 ユーザーが最大許容試行回数を超えた場合に、アカウントがロックされる時間(分)。 Windows EPA プラグインのアップグレードを入力します。 Win のプラグインアップグレード動作を設定するオプション。 Linux EPA プラグインのアップグレードを入力します。 Linux のプラグインアップグレード動作を設定するオプション。 MAC EPA プラグインのアップグレードに入る Mac のプラグインアップグレード動作を設定するオプション。 一度ログイン このオプションは、この仮想サーバーのシームレス SSO を有効または無効にします。 ICAのみ [オン]に設定すると、ユーザーはCitrix Workspaceアプリまたはブラウザーのいずれかを使用してログオンし、 Wihome
パラメーターで指定されたCitrix Virtual Apps and Desktops環境で構成された公開アプリにアクセスできる基本モードを意味します。ユーザーはCitrix Secure Accessクライアントを使用して接続することはできず、エンドポイントスキャンを構成することもできません。ログインしてアプリにアクセスできるユーザーの数は、このモードのライセンスによって制限されません。-OFFに設定すると、ユーザーはCitrix Workspaceアプリ、ブラウザ、またはCitrix Secure Accessクライアントのいずれかを使用してログオンできるSmartAccess モードになります。管理者は、クライアントシステム上でエンドポイントスキャンを実行するように構成し、その結果を使用して公開アプリへのアクセスを制御できます。このモードでは、クライアントは他のクライアントモード(VPN およびクライアントレス VPN)でゲートウェイに接続できます。ログインしてリソースにアクセスできるユーザーの数は、このモードの CCU ライセンスによって制限されます。認証を有効にする NetScaler Gateway に接続するユーザーに認証を要求します。 ダブルホップ NetScaler Gateway アプライアンスをダブルホップ構成で使用します。ダブルホップ展開では、3 つのファイアウォールを使用して DMZ を 2 つのステージに分割することにより、内部ネットワークのセキュリティを強化します。このような展開では、DMZ に 1 つのアプライアンス、セキュアネットワークに 1 つのアプライアンスを配置できます。 ダウンステートフラッシュ 仮想サーバーが DOWN とマークされたら、既存の接続を閉じます。これは、サーバーがタイムアウトした可能性があることを意味します。既存の接続を切断するとリソースが解放され、場合によっては過負荷の負荷分散セットアップの回復が高速化されます。この設定は、接続がダウンしているときに接続を安全に閉じることができるサーバーで有効にします。トランザクションを完了する必要があるサーバーでは、DOWN 状態のフラッシュを有効にしないでください。 DTLS このオプションは、仮想サーバー上のターンサービスを開始/停止します。 AppFlow ロギング フローの開始と終了のタイムスタンプ、パケットカウント、バイトカウントなど、標準の NetFlow または IPFIX 情報を含む AppFlow レコードをログに記録します。また、HTTP Web アドレス、HTTP 要求メソッド、応答ステータスコード、サーバー応答時間、待機時間などのアプリケーションレベルの情報を含むレコードも記録します。 ICA プロキシセッションの移行 このオプションは、ユーザーが別のデバイスからログオンしたときに、既存のICAプロキシセッションを転送するかどうかを決定します。 状態 仮想サーバの現在の状態(UP、DOWN、BUSY など)。 デバイス証明書を有効にする EPA の一部としてのデバイス証明書チェックがオンかオフかを示します。 -
ページの [ サーバー証明書なし ] セクションを選択します。
-
[ サーバー証明書の選択] の [** ] をクリックして、サーバー証明書を選択します。
-
SSL 証明書を選択し、[ 選択 ] ボタンをクリックします。
-
[Bind] をクリックします。
-
「 使用可能な暗号がありません」という警告が表示された場合は、 「OK」をクリックします
-
[ 続行 ] ボタンをクリックします。
-
[認証] セクションで、右上の [ + ] アイコンをクリックします。
認証仮想サーバーを作成する
-
[ **セキュリティ] > [NetScaler AAA — アプリケーショントラフィック] **[仮想サーバー] に移動します
-
[追加] をクリックします。
-
次の基本設定を完了して、認証仮想サーバーを作成します。
注: 設定名の右側にある* 記号は、必須フィールドを示します。
-
新しい認証仮想サーバの [ Name ] を入力します。
-
IP アドレスタイプを入力します。IP アドレスタイプは、アドレス指定不可として設定できます。
-
IP アドレスを入力します。IP アドレスはゼロでもよい。
-
認証仮想サーバのプロトコルタイプを入力します 。
-
仮想サーバが接続を受け付ける TCP ポートを入力します 。
-
認証仮想サーバによって設定された認証 Cookie のドメインを入力します 。
-
-
[OK] をクリックします。
-
[ サーバー証明書なし] をクリックします。
-
リストから目的のサーバー証明書を選択します。
-
目的の SSL 証明書を選択し、[ Select ] ボタンをクリックします。
注:認証仮想サーバーには、証明書がバインドされている必要はありません。
-
サーバ証明書バインディングを設定します。
-
SNI 処理に使用される 1 つ以上の証明書キーをバインドするには、[SNI のサーバー証明書 ] ボックスをオンにします。
-
[ バインド ] ボタンをクリックします。
-
認証 CERT プロファイルの作成
-
[ セキュリティ]-> [NetScaler AAA — アプリケーショントラフィック]-> [ポリシー]-> [認証]-> [基本ポリシー]-> [証明書] に移動します。
-
[プロファイル] タブを選択し、[ 追加] を選択します。
-
次のフィールドに入力して、認証 CERT プロファイルを作成します。設定名の右にある*記号は、必須フィールドを示します。
-
Name :クライアント証明書認証サーバプロファイルの名前 (アクション)。
-
2 要素 — この場合、2 要素認証オプションは NOOP です。
-
「ユーザー名フィールド 」— ユーザー名の抽出元となる client-cert フィールドを入力します。” Subject “または”Issuer”(両方の二重引用符を含む) のいずれかに設定する必要があります。
-
グループ名フィールド -グループが抽出されるクライアント証明書フィールドを入力します。” Subject “または”Issuer”(両方の二重引用符を含む) のいずれかに設定する必要があります。
-
デフォルト認証グループ -これは、抽出されたグループに加えて認証が成功した場合に選択されるデフォルトのグループです。
-
-
[Create] をクリックします。
認証ポリシーを作成する
注:
AAA.loginを使用してポリシールールで第1要素ポリシーを構成する場合、Citrix Workspace アプリがnFactor展開をサポートするには、次の式をOR条件で構成する必要があります。
|| HTTP.REQ.URL.CONTAINS("/cgi/authenticate")
-
[ セキュリティ]-> [NetScaler AAA — アプリケーショントラフィック]-> [ポリシー]-> [認証]-> [詳細ポリシー]-> [ポリシー]に移動します。
-
[ 追加 ] ボタンを選択します
-
認証ポリシーを作成するには、次の情報を入力します。設定名の右にある*記号は、必須フィールドを示します。
a) [ 名前 ] — 高度な認証ポリシーの名前を入力します。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、およびハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。
次の要件は、NetScaler CLIにのみ適用されます。名前に1つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、「認証ポリシー」または「認証ポリシー」)。
b) アクションタイプ -認証アクションのタイプを入力します。
c) Action -ポリシーが一致した場合に実行される認証アクションの名前を入力します。
d) ログアクション -要求がこのポリシーに一致したときに使用するメッセージログアクションの名前を入力します。
e) 式 -認証サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用するNetScaler ADC名前付きルールの名前またはデフォルトの構文式を入力します。
f) [ コメント ] — このポリシーに関する情報を保持するためのコメントを入力します。
-
[作成] をクリックします
LDAP 認証サーバーを追加する
-
[ セキュリティ]-> [NetScaler AAA] — [アプリケーショントラフィック]-> [ポリシー]-> [認証]-> [基本ポリシー]-> [LDAP]に移動します。
-
[サーバ] タブを選択し、[追加] ボタンを選択して LDAP **サーバを追加します** 。
LDAP 認証ポリシーを追加する
-
セキュリティ > NetScaler AAA-アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > ポリシーに移動します。
-
[ Add ] をクリックして、認証ポリシーを追加します。
-
認証ポリシーを作成するには、次の情報を入力します。設定名の右にある*記号は、必須フィールドを示します。
a) 名前 -高度な認証ポリシーの名前。 文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、およびハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。
次の要件は、NetScaler CLIにのみ適用されます。名前に1つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、「認証ポリシー」または「認証ポリシー」)。
b) アクションタイプ -認証アクションのタイプ。
c) Action :ポリシーが一致した場合に実行される認証アクションの名前。
d) Log Action :リクエストがこのポリシーに一致したときに使用するメッセージログアクションの名前。
e) 式 -認証サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用するNetScaler ADC名前付きルールの名前、またはデフォルトの構文式。
f) コメント -このポリシーに関する情報を保存するためのコメント。
-
「 作成」をクリックします。
RADIUS 認証サーバーを追加する
-
[ セキュリティ] > [NetScaler AAA-アプリケーショントラフィック] > [ ポリシー認証] > [基本ポリシー] > [RADIUS]に移動します。
-
サーバを追加するには、[ サーバ ] タブを選択し、[ 追加 ] ボタンを選択します。
-
認証 RADIUS サーバを作成するには、次のように入力します。設定名の右にある*記号は、必須フィールドを示します。
-
RADIUS アクションの名前を入力します 。
-
RADIUS サーバに割り当てられているサーバ名またはサーバIP アドレスを入力します。
-
RADIUS サーバが接続をリッスンするポート番号を入力します 。
-
[ タイムアウト ] の値を数秒で入力します。NetScaler ADCアプライアンスは、構成されたタイムアウト値が期限切れになるまで、RADIUSサーバーからの応答を待ちます。
-
RADIUSサーバーとCitrix ADCアプライアンス間で共有される秘密キーを入力します 。秘密キーは、NetScaler ADCアプライアンスがRADIUSサーバーと通信できるようにするために必要です。
-
秘密キーを確認します。
-
-
「 作成」をクリックします。
RADIUS 認証ポリシーを追加する
-
セキュリティ > NetScaler AAA-アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > ポリシーに移動します。
-
[ Add ] をクリックして、認証ポリシーを作成します。
-
認証ポリシーを作成するには、次の情報を入力します。設定名の右にある*記号は、必須フィールドを示します。
- Name :高度な認証ポリシーの名前。 文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、およびハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。認証ポリシーの作成後は変更できません。
次の要件は、NetScaler CLIにのみ適用されます。名前に1つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、「認証ポリシー」または「認証ポリシー」)。
-
アクションタイプ -認証アクションのタイプ。
-
Action :ポリシーが一致した場合に実行される認証アクションの名前。
-
ログアクション -リクエストがこのポリシーに一致する場合に使用するメッセージログアクションの名前。
-
式 -認証サーバーでユーザーを認証するかどうかを決定するためにポリシーが使用するNetScaler ADC名前付きルールの名前、またはデフォルトの構文式。
-
コメント -このポリシーに関する情報を保存するための任意のコメント。
-
「 OK」をクリックします。作成した認証ポリシーがポリシーの一覧に表示されます。
認証ログインスキーマの作成
-
[ セキュリティ] > [NetScaler AAA-アプリケーショントラフィック] > [ログインスキーマ] に移動します。
-
[プロファイル] タブを選択し、[ 追加 ] ボタンをクリックします。
-
次のフィールドに入力して、認証ログインスキーマを作成します:
-
「 名前を入力 」— 新しいログインスキーマの名前です。
-
認証スキーマの入力 -ログインページ UI に送信される認証スキーマを読み取るファイルの名前。このファイルには、ログインフォームをレンダリングできるようにするには、Citrix Forms認証プロトコルに従って要素のXML定義が含まれている必要があります。管理者がユーザにさらなるクレデンシャルを要求せず、以前に取得したクレデンシャルで続行する場合は、”
noschema
“を引数として与えることができます。これは、ユーザー定義ファクタで使用される loginSchemas にのみ適用され、仮想サーバーファクタには適用されません -
ユーザー式の入力 -ログイン時にユーザー名を抽出するための式
-
パスワード式の入力 -ログイン時のパスワード抽出の式
-
ユーザー資格情報インデックスの入力 -ユーザーが入力したユーザー名がセッションに格納されるインデックス。
-
パスワード認証情報インデックスの入力 -ユーザーが入力したパスワードがセッションに格納される必要があるインデックス。
-
認証強度 -現在の認証の重みを入力します。
-
-
「 作成」をクリックします。作成したログインスキーマプロファイルが、ログインスキーマプロファイルリストに表示されている必要があります。
ポリシーラベルを作成する
ポリシーラベルは、特定のファクタの認証ポリシーを指定します。各ポリシーラベルは 1 つの要素に対応します。ポリシーラベルは、ユーザーに提示する必要があるログインフォームを指定します。ポリシーラベルは、認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります。通常、ポリシーラベルには、特定の認証メカニズムの認証ポリシーが含まれます。ただし、異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使用することもできます。
-
セキュリティ > NetScaler AAA-アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > ポリシーラベルに移動します。
-
[追加] をクリックします。
-
次のフィールドに入力して、認証ポリシーラベルを作成します:
-
新しい認証ポリシーラベルの [ Name ] を入力します。
-
認証ポリシーラベルに関連付けられたログインスキーマを入力します 。
-
[続行] をクリックします。
-
- ドロップダウンメニューから[Policy ] を選択します。
-
目的の認証ポリシーを選択し 、[ Select ] ボタンをクリックします。
-
次のフィールドに入力します。
-
ポリシーバインディングの [ Priority ] を入力します。
-
Goto 式を入力します 。この式は、現在のポリシールールが TRUE と評価された場合に評価される次のポリシーの優先度を指定します。
-
-
目的の認証ポリシーを選択し、[ Select ] ボタンをクリックします。
-
[ バインド ] ボタンをクリックします。
-
[完了] をクリックします。
- 認証ポリシーラベルを確認します。
nFactor 認証の設定を再キャプチャする
NetScaler ADCリリース12.1ビルド50.x以降、NetScaler Gateway はキャプチャの構成を簡素化する新しいファーストクラスアクション「CaptchaAction」をサポートします。キャプチャはファーストクラスアクションであるため、独自の要素になる可能性があります。キャプチャは nFactor フローのどこにでも挿入できます。
以前は、RfWebUI に変更を加えたカスタム WebAuth ポリシーも作成する必要がありました。CaptchaAction の導入により、JavaScript を変更する必要はありません。
重要
スキーマでユーザー名またはパスワードフィールドと一緒に Captcha が使用されている場合、Captcha が満たされるまで [送信] ボタンは無効になります。
キャプチャの設定
キャプチャの設定には 2 つの部分が含まれます。
- キャプチャを登録するためのGoogleの設定。
- ログインフローの一部としてキャプチャを使用するようにNetScaler ADCアプライアンスの構成。
グーグルでのキャプチャの設定
https://www.google.com/recaptcha/admin#list
でキャプチャのドメインを登録します。
-
このページに移動すると、次の画面が表示されます。
注
reCAPTCHA
v2 のみを使用します。見えないreCAPTCHA
はまだプレビュー中です。 -
ドメインが登録されると、「SiteKey」と「secretKey」が表示されます。
注
セキュリティ上の理由から、「SiteKey」と「secretKey」はグレー表示になっています。「SecretKey」は安全に保管する必要があります。
NetScaler ADCアプライアンスのキャプチャ構成
NetScaler ADCアプライアンスのキャプチャ構成は、次の3つの部分に分けることができます。
- キャプチャ画面を表示する
- キャプチャレスポンスを Google サーバーに投稿する
- LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)
キャプチャ画面を表示する
ログインフォームのカスタマイズは、SingleAuthCaptcha.xml ログインスキーマを介して行われます。このカスタマイズは認証仮想サーバーで指定され、ログインフォームをレンダリングするために UI に送信されます。組み込みのログインスキーマ SingleAuthCaptcha.xml は、NetScaler ADCアプライアンスの/nsconfig/loginSchema/LoginSchema
ディレクトリにあります。
重要
- ユースケースと異なるスキーマに基づいて、既存のスキーマを変更できます。たとえば、Captcha Factor(ユーザー名やパスワードなし)のみが必要な場合や、Captcha との二重認証が必要な場合などです。
- カスタムの変更を実行したり、ファイルの名前を変更したりする場合は、すべてのログインスキーマを/nsConfig/loginSchema/loginSchemaディレクトリから親ディレクトリ(/nsconfig/loginschema)にコピーすることをお勧めします。
CLI を使用してキャプチャの表示を設定するには
- add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
- add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
- add authentication vserver auth SSL <IP> <Port>
- add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
- bind ssl vserver auth -certkey vserver-cert
- bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->
キャプチャレスポンスを Google サーバーに投稿する
ユーザーに表示する必要がある Captcha を設定した後、管理者は Google サーバーに設定をポストして、ブラウザからの Captcha 応答を確認します。
ブラウザから Captcha レスポンスを確認するには
- add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
- add authentication policy myrecaptcha -rule true -action myrecaptcha
- bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->
AD 認証が必要かどうかを設定するには、次のコマンドが必要です。それ以外の場合は、この手順は無視してかまいません。
- add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
- add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->
LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)
LDAP 認証は Captcha の後に行われ、2 番目の要素に追加します。
- add authentication policylabel second-factor
- bind authentication policylabel second-factor -policy ldap-new -priority 10
- bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->
管理者は、アクセスに負荷分散仮想サーバーとNetScaler Gatewayアプライアンスのどちらを使用するかに応じて、適切な仮想サーバーを追加する必要があります。負荷分散仮想サーバーが必要な場合は、管理者が次のコマンドを構成する必要があります。
add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`
<!--NeedCopy-->
nssp.aaatm.com — 認証仮想サーバに解決されます。
キャプチャのユーザー検証
前のセクションで説明したすべての手順を設定したら、前述のユーザインターフェイスの画面キャプチャを参照してください。
-
認証仮想サーバーがログインページをロードすると、ログオン画面が表示されます。ログオンは 、キャプチャが完了するまで無効になります。
-
[私はロボットではない] オプションを選択します。キャプチャウィジェットが表示されます。
- 完了ページが表示される前に、一連のキャプチャイメージをナビゲートします。
-
AD 資格情報を入力し、[ ロボットではありません] チェックボックスをオンにして、 [ ログオン] をクリックします。認証が成功すると、目的のリソースにリダイレクトされます。
注:
- AD 認証で Captcha を使用する場合、認証情報の [送信] ボタンは、キャプチャが完了するまで無効になります。
- キャプチャは独自の要素で発生します。したがって、AD のような後続の検証は Captchaの
nextfactor
で行われなければなりません。
NetScaler ADC標準ライセンスでnFactor認証用のゲートウェイ仮想サーバーを作成する
- [ NetScaler Gateway]>[仮想サーバー]に移動します。
-
[NetScaler Gateway 仮想サーバー ]ページで、[ 追加]をクリックします。
- 「 VPN 仮想サーバー 」ページで次の詳細を入力し、「 OK」をクリックし、「 続行」をクリックします。
- 名前:NetScaler Gateway 仮想サーバーの名前
- プロトコル- SSLを選択
- IPアドレス-NetScaler Gateway 仮想サーバーのIPアドレス
- ポート-443 と入力します。
-
[ VPN 仮想サーバ ] ページで、[ 認証プロファイル] の横にあるプラスアイコンをクリックします。
-
[ Add ] をクリックして、認証プロファイルを設定します。
-
認証プロファイルの名前を入力し、[ Add] をクリックします。
- 「 VPN 仮想サーバー 」ページで次の詳細を入力し、「 OK」をクリックし、 「 続行」をクリックします。
- Name:認証、承認、および監査する仮想サーバの名前
- プロトコル-[ アドレス指定不可] を選択します。NetScaler Standardライセンスのゲートウェイ/VPN仮想サーバーにバインドできるのは、アドレス指定できない認証、承認、および監査仮想サーバーのみです。
注:
- NetScaler Standardライセンスでは、ポリシーを作成する手順は、サポートされているポリシータイプのプレミアムライセンスと同じです。
- NetScaler Standardライセンスでは、nFactor構成での新しいログインスキーマの追加はサポートされていません。
参照ドキュメント
エンドツーエンド nFactor の設定例については、 nFactor 認証の設定を参照してください。
この記事の概要
- 認証、認可、監査機能のライセンス要件
- 使用例
- 認証レスポンスの処理
- クライアントサポート
- コマンドライン設定
- 相互運用性の課題
- エンドポイント分析 (EPA)
- 設定ミスに関する考慮事項
- クライアントの定義
- ゲートウェイの nFactor を制限する
- ログインスキーマ
- ログインスキーマと nFactor の知識が必要
- loginSchema を使用せずに二要素認証を構成する
- ユーザ名とパスワードの表現
- nFactor 構成のハイレベルな手順
- GUI 構成
- 仮想サーバーの作成
- 認証仮想サーバーを作成する
- 認証 CERT プロファイルの作成
- 認証ポリシーを作成する
- LDAP 認証サーバーを追加する
- LDAP 認証ポリシーを追加する
- RADIUS 認証サーバーを追加する
- RADIUS 認証ポリシーを追加する
- 認証ログインスキーマの作成
- ポリシーラベルを作成する
- nFactor 認証の設定を再キャプチャする
- NetScaler ADC標準ライセンスでnFactor認証用のゲートウェイ仮想サーバーを作成する
- 参照ドキュメント