Gateway

LDAP認証の構成

1つまたは複数のLDAPサーバーでユーザーアクセスを認証するようにNetScaler Gateway を構成できます。

LDAP認証には、Active Directory、LDAPサーバー、およびNetScaler Gateway で同じグループ名が必要です。グループ名は、大文字小文字の使い分けを含め、一字一句正確に一致させる必要があります。

既定では、LDAP 認証は、セキュア・ソケット・レイヤー (SSL) またはトランスポート・レイヤー・セキュリティ (TLS) を使用して安全です。セキュア LDAP 接続には 2 つのタイプがあります。1 つのタイプでは、LDAP サーバは、LDAP サーバがクリア LDAP 接続を受け入れるために使用するポートとは別のポートで SSL または TLS 接続を受け入れます。ユーザが SSL または TLS 接続を確立すると、LDAP トラフィックは接続を介して送信できます。

LDAP 接続のポート番号は次のとおりです。

  • セキュリティで保護されていない LDAP 接続の場合は 389
  • 636 セキュアな LDAP 接続の場合
  • Microsoftのセキュアでない LDAP 接続の場合は 3268
  • MicrosoftのセキュアLDAP接続の場合は 3269

2 番目のタイプのセキュア LDAP 接続では、StartTLS コマンドを使用し、ポート番号 389 を使用します。NetScaler Gateway でポート番号389または3268を構成すると、サーバーはStartTLSを使用して接続を試みます。他のポート番号を使用すると、サーバーは SSL または TLS を使用して接続を試みます。サーバーが StartTLS、SSL、または TLS を使用できない場合、接続は失敗します。

LDAPサーバーのルートディレクトリを指定すると、NetScaler Gateway はすべてのサブディレクトリを検索してユーザー属性を検索します。大きなディレクトリでは、このアプローチはパフォーマンスに影響する可能性があります。このため、特定の組織単位(OU)を使用することをお勧めします。

次の表に、LDAP サーバのユーザ属性フィールドの例を示します。

LDAP サーバ ユーザー属性 大文字と小文字を区別
Microsoft Active Directory サーバー sAMAccountName いいえ
Novell eDirectory ou はい
IBM Directory Server uid はい
Lotus Domino CN はい
Sun ONE ディレクトリ (旧iPlanet) uidかcn はい

次の表に、ベース DN の例を示します。

LDAP サーバ ベース DN
Microsoft Active Directory サーバー DC=citrix、DC=ローカル
Novell eDirectory ou=users、ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City、O=Citrix、C=US
Sun ONE ディレクトリ (旧iPlanet) OU=People、dc=citrix、dc=com

次の表に、バインド DN の例を示します。

LDAP サーバ バインド DN
Microsoft Active Directory サーバー cn=Administrator、cn=Users、DC=citrix、DC=local
Novell eDirectory cn=admin、o=citrix
IBM Directory Server LDAP_dn
Lotus Domino cn=Notes Administrator、O=Citrix、C=US
Sun ONE ディレクトリ (旧iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

:LDAP サーバー設定の詳細については、 LDAP ディレクトリの属性の決定を参照してください

LDAP認証の構成

この記事の概要