Gateway

ゲートウェイのインストール前チェックリスト

チェックリストは、NetScaler Gateway をインストールする前に完了する必要があるタスクと計画情報のリストで構成されています。

各タスクを完了してメモを作成すると、各タスクをチェックオフできるスペースが用意されています。インストールプロセス中およびNetScaler Gateway の構成中に入力する必要がある構成値をメモしておくことをお勧めします。

NetScaler Gateway をインストールおよび構成する手順については、「Citrix Gateway のインストール」を参照してください。

ユーザーデバイス

  • ユーザーデバイスが「 Citrix Secure Access のシステム要件」で説明されているインストールの前提条件を満たしていることを確認します。
  • ユーザーが接続するモバイルデバイスを特定します。:ユーザーがiOSデバイスに接続する場合は、セッションプロファイルでSecure Browse を有効にする必要があります。

NetScaler Gateway の基本的なネットワーク接続

アプライアンスの構成を開始する前に、ライセンスと署名付きサーバー証明書を取得することをお勧めします。

  • NetScaler Gateway ホスト名を特定して書き留めます。:これは完全修飾ドメイン名 (FQDN) ではありません。FQDN は、仮想サーバーにバインドされた署名付きサーバー証明書に含まれています。
  • Citrix Webサイトからユニバーサルライセンスを取得する
  • 証明書署名要求 (CSR) を生成し、認証局 (CA) に送信します。CSR を認証局に送信する日付を入力します。
  • システム IP アドレスとサブネットマスクを書き留めます。
  • サブネット IP アドレスとサブネットマスクを書き留めます。
  • 管理者パスワードを書き留めます。NetScaler Gateway に付属するデフォルトのパスワードはnsrootです。
  • NetScaler Gateway がセキュリティで保護されたユーザー接続をリッスンするポート番号を書き留めます。デフォルトは TCP ポート 443 です。このポートは、セキュリティで保護されていないネットワーク (インターネット) と DMZ の間のファイアウォールで開いている必要があります。
  • デフォルトゲートウェイの IP アドレスを書き留めます。
  • DNS サーバの IP アドレスとポート番号を書き留めます。デフォルトのポート番号は 53 です。さらに、DNS サーバを直接追加する場合は、アプライアンスで ICMP(ping)も設定する必要があります。
  • 最初の仮想サーバの IP アドレスとホスト名を書き留めます。
  • 2 番目の仮想サーバの IP アドレスとホスト名(該当する場合)を書き留めます。
  • WINS サーバの IP アドレスを書き留めます(該当する場合)。

NetScaler Gateway を介してアクセス可能な内部ネットワーク

  • ユーザーがNetScaler Gateway を介してアクセスできる内部ネットワークを書き留めます。例:10.10.0.0/24
  • Citrix Secure Accessクライアントを使用してNetScaler Gateway経由で接続するときに、ユーザーがアクセスする必要のあるすべての内部ネットワークとネットワークセグメントを入力します。

高可用性

2つのNetScaler Gateway アプライアンスがある場合は、1つのNetScaler Gateway が接続を受け入れて管理し、2番目のNetScaler Gateway が最初のアプライアンスを監視する高可用性構成でそれらを展開できます。最初のNetScaler Gateway が何らかの理由で接続の受け入れを停止した場合、2番目のNetScaler Gateway が引き継ぎ、アクティブな接続の受け入れを開始します。

  • NetScaler Gateway ソフトウェアのバージョン番号を書き留めます。
  • バージョン番号は、両方のNetScaler Gateway アプライアンスで同じである必要があります。
  • 管理者パスワードを書き留めます (nsroot)。パスワードは両方のアプライアンスで同じである必要があります。
  • プライマリNetScaler Gateway IPアドレスとIDを書き留めます。最大 ID 番号は 64 です。
  • セカンダリNetScaler Gateway IPアドレスとIDを書き留めます。
  • ユニバーサルライセンスを取得し、両方のアプライアンスにインストールします。
  • 両方のアプライアンスに同じユニバーサルライセンスをインストールします。
  • RPC ノードのパスワードを書き留めます。

認証と承認

NetScaler Gateway は、さまざまな組み合わせで使用できるいくつかの異なる認証および承認タイプをサポートしています。認証と認可の詳細については、「 認証と承認」を参照してください。

LDAP認証

環境に LDAP サーバが含まれている場合は、認証に LDAP を使用できます。

  • LDAP サーバの IP アドレスとポートを書き留めます。

    LDAP サーバへのセキュアでない接続を許可する場合、デフォルトのポートは 389 です。LDAP サーバーへの接続を SSL で暗号化する場合、デフォルトのポートは 636 です。

  • セキュリティの種類を書き留めます。

    セキュリティは、暗号化の有無にかかわらず構成できます。

  • 管理者バインド DN を書き留めます。

    LDAPサーバーで認証が必要な場合は、NetScaler Gateway がLDAPディレクトリにクエリを実行するときに認証に使用する必要がある管理者DNを入力します。例として、cn=管理者、cn=Users、dc=ace、dc=comがある。

  • 管理者パスワードを書き留めます。

    パスワードは、管理者バインド DN に関連付けられています。

  • ベース DN を書き留めます。

    ユーザが配置されている DN(またはディレクトリレベル)。たとえば、ou=users、dc=ace、dc=com などです。

  • サーバのログオン名属性を書き留めます。

    ユーザーのログオン名を指定する LDAP ディレクトリのユーザーオブジェクト属性を入力します。デフォルトはsAMAccountNameです。Active Directory を使用していない場合、この設定の一般的な値は cn または uid です。 LDAP ディレクトリ設定の詳細については、 LDAP 認証の設定を参照してください

  • グループ属性を書き留めます。 ユーザが属するグループを指定する LDAP ディレクトリの Person オブジェクト属性を入力します。デフォルトは memberOf です。この属性により、NetScaler Gateway はユーザーが属するディレクトリグループを識別できます。
  • サブ属性名を書き留めます。

RADIUS 認証および認可

環境に RADIUS サーバが含まれている場合は、認証に RADIUS を使用できます。 RADIUS認証には、RSA SecurID、SafeWord、Gemalto Protiva製品が含まれる。

  • プライマリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • プライマリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • セカンダリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • セカンダリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • パスワードエンコーディングのタイプ(PAP、CHAP、MS-CHAP v1、MSCHAP v2)を書き留めます。

SAML認証

セキュリティアサーションマークアップ言語 (SAML) は、ID プロバイダ (IdP) とサービスプロバイダの間で認証と承認を交換するための XML ベースの標準です。

  • NetScaler Gateway にセキュアなIdP証明書を取得してインストールします。
  • リダイレクト URL を書き留めます。
  • ユーザーフィールドを書き留めます。
  • 署名証明書の名前を書き留めます。
  • SAML 発行者名を書き留めます。
  • デフォルトの認証グループを書き留めます。

ファイアウォールを介してポートを開く(シングルホップ DMZ)

組織が単一のDMZで内部ネットワークを保護し、DMZにNetScaler Gateway を展開する場合は、ファイアウォールを介して次のポートを開きます。ダブルホップDMZ展開に2つのNetScaler Gateway アプライアンスをインストールする場合は、 ファイアウォールで適切なポートを開くを参照してください

セキュリティで保護されていないネットワークと DMZ の間のファイアウォール上

  • インターネットとNetScaler Gateway の間のファイアウォールでTCP/SSLポート(デフォルトは443)を開きます。ユーザーデバイスは、このポートでNetScaler Gateway に接続します。

セキュリティで保護されたネットワーク間のファイアウォール上

  • DMZ とセキュリティで保護されたネットワーク間のファイアウォールで、1 つ以上の適切なポートを開きます。NetScaler Gateway は、1つ以上の認証サーバー、またはこれらのポート上のセキュリティで保護されたネットワーク内のCitrix Virtual Apps and Desktopsを実行しているコンピューターに接続します。
  • 認証ポートを書き留めます。

    NetScaler Gateway 構成に適したポートのみを開きます。

    • LDAP 接続の場合、デフォルトは TCP ポート 389 です。
    • RADIUS 接続の場合、デフォルトは UDP ポート 1812 です。Citrix Virtual Apps and Desktops のポートを書き留めます。
  • NetScaler GatewayをCitrix Virtual Apps and Desktopsで使用している場合は、TCPポート1494を開きます。セッション画面の保持を有効にする場合は、1494 ではなく TCP ポート 2598 を開きます。これらのポートは両方とも開いたままにしておくことをお勧めします。

Citrix Virtual Desktops、Citrix Virtual Apps、Web Interface、またはStoreFront

NetScaler Gateway を展開して、Web InterfaceまたはStoreFront を介してCitrix Virtual Apps and Desktops へのアクセスを提供する場合は、次のタスクを実行します。この展開では、Citrix Secure Accessクライアントは必要ありません。ユーザーは、WebブラウザーとCitrix Receiverのみを使用して、NetScaler Gateway を介して公開アプリケーションおよびデスクトップにアクセスします。

  • Web InterfaceまたはStoreFrontを実行しているサーバーのFQDNまたはIPアドレスを書き留めます。
  • Secure Ticket Authority(STA)を実行しているサーバの FQDN または IP アドレスを書き留めます(Web インターフェイスの場合のみ)。

Citrix Endpoint Management

内部ネットワークにCitrix Endpoint Managementを展開する場合は、次のタスクを実行します。ユーザーがインターネットなどの外部ネットワークからEndpoint Managementに接続する場合、ユーザーはモバイル、Web、およびSaaSアプリにアクセスする前にNetScaler Gateway に接続する必要があります。

  • Endpoint Management 完全修飾ドメイン名または IP アドレスを書き留めます。
  • ユーザーがアクセスできるウェブ、SaaS、モバイル iOS または Android アプリケーションを特定します。

Citrix Virtual Apps を使用したダブルホップ DMZ 展開

Citrix Virtual Appsを実行しているサーバーへのアクセスをサポートするために、ダブルホップDMZ構成で2つのNetScaler Gateway アプライアンスを展開する場合は、次のタスクを実行します。

最初のDMZのNetScaler Gateway

最初の DMZ は、内部ネットワークの最も外側のエッジ(インターネットまたはセキュリティ保護されていないネットワークに最も近い)にある DMZ です。クライアントは、DMZからインターネットを分離するファイアウォールを介して最初のDMZのNetScaler Gateway に接続します。最初のDMZにNetScaler Gateway をインストールする前に、この情報を収集してください。

  • このNetScaler Gateway のこのチェックリストの「NetScaler Gateway の基本ネットワーク接続」セクションの項目を完了します。

    これらの項目を完了すると、インターフェイス0はこのNetScaler Gatewayをインターネットに接続し、インターフェイス1はこのNetScaler Gatewayを2番目のDMZのNetScaler Gatewayに接続します。

  • プライマリアプライアンスで 2 番目の DMZ アプライアンス情報を設定します。

    NetScaler Gateway をダブルホップDMZの最初のホップとして構成するには、最初のDMZのアプライアンスの2番目のDMZでNetScaler Gateway のホスト名またはIPアドレスを指定する必要があります。最初のホップでアプライアンスでNetScaler Gateway プロキシが構成されるタイミングを指定したら、NetScaler Gateway にグローバルにバインドするか、仮想サーバーにバインドします。

  • アプライアンス間の接続プロトコルとポートを書き留めます。

    NetScaler Gateway をダブルDMZの最初のホップとして構成するには、2番目のDMZのNetScaler Gateway が接続をリッスンする接続プロトコルとポートを指定する必要があります。接続プロトコルとポートは SSL を使用した SOCKS(デフォルトポート 443)です。プロトコルとポートは、最初の DMZ と 2 番目の DMZ を分離するファイアウォールを介して開く必要があります。

2番目のDMZのNetScaler Gateway

2 番目の DMZ は、内部のセキュアネットワークに最も近い DMZ です。2番目のDMZに展開されたNetScaler Gateway は、ICAトラフィックのプロキシとして機能し、外部ユーザーデバイスと内部ネットワーク上のサーバー間で2番目のDMZを通過します。

  • このNetScaler Gateway のこのチェックリストの「NetScaler Gateway 基本的なネットワーク接続」セクションのタスクを完了します。

    これらの項目を完了すると、インターフェイス0は、最初のDMZでこのNetScaler GatewayをNetScaler Gatewayに接続します。インターフェイス1は、このNetScaler Gateway をセキュリティで保護されたネットワークに接続します。