Gateway

クライアント証明書認証の構成

NetScaler Gateway 仮想サーバーにログオンするユーザーは、仮想サーバーに提示されるクライアント証明書の属性に基づいて認証することもできます。クライアント証明書認証は、LDAP や RADIUS などの他の認証タイプと一緒に使用して、2 要素認証を提供することもできます。

クライアント側の証明書属性に基づいてユーザーを認証するには、仮想サーバーでクライアント認証を有効にし、クライアント証明書を要求する必要があります。さらに、NetScaler Gateway上でルート証明書をその仮想サーバーにバインドする必要があります。

ユーザーがNetScaler Gateway 仮想サーバーにログオンすると、認証後、証明書の指定されたフィールドからユーザー名情報が抽出されます。通常、このフィールドはSubject:CNです。ユーザー名の抽出に成功すると、ユーザーの認証が完了します。認証は、次の場合に失敗します。

  • セキュアソケットレイヤー (SSL) ハンドシェイク中にユーザーが有効な証明書を提供しない場合。
  • ユーザー名の抽出が失敗し、認証が失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

GUI を使用してクライアント証明書をデフォルトの認証タイプとして設定するには

  1. 構成]>[NetScaler Gateway]の順に選択し、グローバル設定]をクリックします。
  2. 詳細ウィンドウの [ 認証設定] で、[認証CERT 設定の変更] をクリックします。
  3. 要件に従って証明書を使用して 2 要素認証を有効にするには、[ オン ] を選択します。
  4. [ ユーザー名フィールド] で、ユーザー名を保持する証明書フィールドの種類を選択します。
  5. [ グループ名フィールド] で、グループ名を保持する証明書フィールドのタイプを選択します。
  6. [ 既定の承認グループ] に既定のグループの名前を入力し、[ OK] をクリックします。

クライアント証明書からのユーザー名の抽出

NetScaler Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証が成功すると、証明書からユーザー名またはユーザーのユーザー名とグループ名が抽出されます。また、そのユーザーに指定されたポリシーが適用されます。

クライアント証明書認証の構成