Gateway

1つのActive Directory yグループのメンバーに対するNetScaler Gatewayへのアクセスを制限する

NetScaler Gateway は、ログオンアクセスを制限する2つの方法をサポートしています。

  • LDAP検索フィルター-LDAP検索フィルター(Active Directory グループメンバーシップなど)に一致するユーザー名のみがNetScaler Gateway にログオンできます。
  • NetScaler Gateway セッションポリシーまたはプロファイルでのログオンを許可するグループ-この方法では、複数のActive Directory グループがサポートされます。詳しくは、https://support.citrix.com/article/CTX125797を参照してください。

この資料では、LDAP 検索フィルタ方式について説明します。

概要

ユーザーがNetScaler Gateway 仮想サーバーのログオンページで資格情報を入力し、Enterキーを押すと、アプライアンスはまずActive Directory(LDAP)でユーザー名を検索します。LDAP 検索フィルタが LDAP ポリシーまたはサーバで定義されていない場合、アプライアンスはすべての Active Directory ユーザ名を検索します。一致が見つかると、アプライアンスはユーザーの完全な識別名(DN)をプルし、ユーザーの DN とパスワードを使用して Active Directory への認証を行います。

LDAP 検索フィルタが定義されている場合は、LDAP 検索フィルタに一致するユーザ名のみが検索され、ユーザ名の一致が検索されます。たとえば、LDAP 検索フィルタが Active Directory グループのメンバーのみを検索するように構成されている場合、ユーザーが入力したユーザー名は、グループのメンバーと一致する必要があります。

前提条件

NetScaler Gateway 仮想サーバーは、LDAP認証用に構成されている必要があります。

1 つの Active Directory グループのメンバーに対して LDAP 検索フィルタを構成する手順

  1. アクセス許可を持つ Active Directory グループを特定し、その完全な識別名を取得します。

    グループの完全な識別名を取得する簡単な方法は、Active Directory ユーザーとコンピュータを使用することです。

  2. [Active Directory ユーザーとコンピュータ] で、[ 表示 ] メニューの [ 高度な機能] を有効にします。

    高度な機能を有効にする

  3. ツリーでグループオブジェクトを参照し、右クリックして、[ プロパティ] をクリックします。 注: 「検索」( Find) は使用できません。代わりに、ツリー内を移動してオブジェクトを見つける必要があります。

    プロパティの設定

  4. 右側で、 属性エディタ (Attribute Editor) タブに切り替えます。

    属性エディタに切り替え

    このタブは、 高度な機能が有効になっていて検索機能を使用していない場合にのみ表示されます

  5. [ DinguishedName] まで下にスクロールし、ダブルクリックして、クリップボードにコピーします。

    識別名をコピー

  6. NetScaler Gateway GUIで、[ NetScaler Gateway]>[仮想サーバー]に移動します。
  7. 既存のNetScaler Gateway 仮想サーバーを選択し、[ 編集]をクリックします。
  8. [基本認証] セクションで、[ LDAP ポリシー] をクリックします。
  9. 既存の LDAP ポリシーを右クリックし、[ サーバの編集] をクリックします。

    識別名をコピー

  10. [ その他の設定] セクションの [検索フィルタ ] フィールドに memberOf= と入力し、等号 (=) の後に Active Directory グループの識別名を貼り付けます。

    識別名を入力

    検索フィルターの例は次のとおりです。 memberOf=CN=Citrixリモート、OU=Citrix 、DC=Corp、 DC=ローカル注: デフォルトでは、NetScalerはActive Directory グループの直接のメンバーであるユーザー名のみを検索します。ネストされたグループを検索する場合は、Microsoft OID። を LDAP 検索フィルタに追加します。OID は memberOf と = の間に挿入されます。

    例: memberof: 1.2.840.113556.1.4.1941: =CN=Citrix Remote、OU=Citrix、DC=Corp、DC=Local

  11. [OK] をクリックします。
1つのActive Directory yグループのメンバーに対するNetScaler Gatewayへのアクセスを制限する