Gateway

モバイル/タブレットデバイスでRADIUSおよびLDAP認証を使用するようにNetScaler Gateway を構成する

このセクションでは、モバイルデバイス/タブレットデバイスでRADIUS認証をプライマリとして使用し、LDAP認証をセカンダリとして使用するようにNetScaler Gateway アプライアンスを構成する方法について説明します。

の項で説明した設定でも、他のすべての接続で LDAP を最初に使用し、次に RADIUS を使用できます。

モバイル/タブレットデバイスで使用するためにCitrix Workspace アプリで2要素認証を構成する場合は、プライマリ認証としてRSA SecureID(RADIUS認証)を追加する必要があります。ただし、Receiverでユーザー名とパスワード、パスコードの入力を求めるプロンプトが表示された場合は、LDAPを最初に設定し、2番目の資格情報としてRADIUSを配置します。管理者の観点から見ると、モバイル以外の構成とは別の構成です。

セットアップ図

モバイルデバイス/タブレットデバイスでRADIUS認証をプライマリとして使用し、LDAP認証をセカンダリとして使用するようにNetScaler Gateway アプライアンスを構成するには、次の手順を実行します。

  1. 構成ユーティリティで、[NetScaler Gateway]>[ポリシー] [認証]の順に選択し、モバイルデバイスおよび非モバイルデバイス用のLDAPおよびRSAの認証ポリシーを作成します。これは、ユーザが RADIUS 認証をバイパスできる論理条件を回避するために必要です。

  2. LDAP の [サーバ] タブの下にある [ 追加 ] オプションをクリックした後、LDAP サーバの詳細を入力します

  3. 必要な LDAP サーバを選択して、モバイルデバイスの LDAP ポリシーを作成します。

    このポリシーをモバイルデバイスのみにバインドするには、次の式を使用します:

    REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
    

    対応する拡張式は以下のとおりです。

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
    

    バインド式

  4. [ 式エディタ ] をクリックしてポリシーを作成します:

    エクスプレッションエディタ

  5. モバイルデバイス用の RADIUS ポリシーと RADIUS サーバを作成します。

    • NetScaler Gateway]>[ポリシー]>[認証]>[RADIUS]の順に選択します。「サーバー」タブの「 追加 」をクリックします。

    • 必要な詳細を追加します。RADIUS 認証のデフォルトポートは 1812 です。

    サーバーの詳細を追加する

    • このポリシーをモバイルデバイスのみにバインドするには、次の式を使用します:

    Expression

  6. 同じ手順に従って、モバイルデバイス以外の LDAP ポリシーを作成します。このポリシーを非モバイルデバイスのみにバインドするには、次の式を使用します:

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    対応する拡張式は以下のとおりです。

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    バインド式

  7. モバイルデバイス以外の RADIUS ポリシーを作成します。このポリシーを非モバイルデバイスのみにバインドするには、次の式を使用します:

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    対応する拡張式は以下のとおりです。

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    [式] セクション

  8. NetScaler Gateway 仮想サーバーの[プロパティ]に移動し、[ 認証 ]タブをクリックします。[プライマリ認証ポリシー] で、RSA_Mobile ポリシーを最優先として、LDAP_NonMobile ポリシーをセカンダリプライオリティとして追加します:

    [ポリシー] ページ

    [ポリシー] ページ

  9. セカンダリ認証ポリシーで、LDAP_Mobile ポリシーを最優先として追加し、次に RSA_NonMobile ポリシーをセカンダリプライオリティとして追加します。

    セカンダリ認証ポリシー

    セッションポリシーには、正しいシングルサインオン資格情報インデックスが必要です。つまり、LDAP 資格情報である必要があります。モバイルデバイスの場合、[ セッションプロファイル] > [クライアントエクスペリエンス ] の [ 資格情報インデックス ] を [ セカンダリ ] に設定する必要があります。これは LDAP です。

    したがって、モバイルデバイス用と非モバイルデバイス用の 2 つのセッションポリシーが必要です。

    • モバイルデバイスの場合、セッションポリシーとセッションプロファイルは、次のスクリーンショットのように表示されます。 セッションポリシーを作成するには、目的の仮想サーバーに移動し、[ 編集] をクリックし、[ポリシー] セクションに移動して、[+] 記号をクリックします:

    仮想サーバーの編集

    • メニューから [ セッション ] オプションを選択します。

    セッションをポリシーとして選択

    • 目的のセッションポリシー名を入力し、[+] をクリックしてプロファイルを作成します。モバイルデバイスの場合、[ セッションプロファイル] > [クライアントエクスペリエンス ] の [ 資格情報インデックス ] を [ セカンダリ ] に設定する必要があります。これは LDAP です。

    [クライアントエクスペリエンス] タブ

    • モバイルデバイス以外の場合も、同じ手順に従います。[ セッションプロファイル] > [クライアントエクスペリエンス ]の資格情報インデックスは 、LDAP である [ プライマリ ] に設定する必要があります。

    式を次のように変更する必要があります。

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    対応する拡張式は以下のとおりです。

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    Expression

    • モバイル以外のユーザーのプロファイルを作成するには、[+ 記号] をクリックします。

    プロファイルの作成

  10. 次の図は、必要な仮想サーバの下にあるポリシーとプロファイルを示します。

    ポリシーとプロファイル

  11. また、StoreFront では、NetScaler Gateway 構成で「ログオンの種類」=「ドメインとセキュリティトークン」を使用するように設定されています。

    StoreFront 設定1

    StoreFront 設定1

モバイル/タブレットデバイスでRADIUSおよびLDAP認証を使用するようにNetScaler Gateway を構成する

この記事の概要