Gateway

MAC アドレスの EPA スキャン

NetScaler ADCリリース13.0-88.x以降では、許可または特定のMACアドレスのEPAスキャン構成を構成できます。NetScaler ADCは、ポリシー式とパターンセットを使用してMACアドレスのリストを指定します。

NetScaler リリース13.0-88.xより前は、許可されているすべてのMACアドレスのリストをEPA式の一部として指定する必要がありました。お客様が許可する MAC アドレスのリストが大量にある場合、すべての MAC アドレスを 1 つの式に追加するのは面倒でした。また、1 つの式に追加できる MAC アドレスの数にも制限がありました。

例:

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

GUI を使用して MAC アドレスの EPA スキャンを設定します

**以前はWindowsスキャンカテゴリで使用可能だったMACアドレス (式)** オプションが、NetScaler GUIの共通スキャンカテゴリで使用できるようになりました 。このオプションにより、ユーザーは許可または特定の MAC アドレスのリストの EPA スキャンを設定できます。

注:

Citrix Secure Access Client 22.10.1以降のバージョンでは、NetScaler ADCがGUI上のEPAスキャン構成を処理するこの方法をサポートしています。

EPA スキャン:一般的なスキャン

  1. パターンセットを設定する。詳細については、「 パターンセットを設定する」を参照してください。

  2. パターンセットごとに、対応するポリシー式を作成します。

    エクスプレッションを設定するときに、エクスプレッションエディタで [ AAA] > [ログイン] > [CLIENT_MAC_ADDR] > [EQUAL_ANY (文字列)] > [パターンセット]を選択します

    高度な式の設定について詳しくは、「 ポリシーでの高度なポリシー式の構成」を参照してください。

  3. 前のステップで構成した式の EPA スキャンを作成します。詳細については、 高度なエンドポイント分析スキャンを参照してください

CLI を使用して MAC アドレスの EPA スキャンを設定します

  1. MAC アドレスをパターンセット内に格納します。

    コマンドプロンプトで次を入力します:

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. AAA.LOGIN.CLIENT_MAC_ADDR.equals_any()を使用して、各パターンセットに対応するポリシー式を作成します。

    コマンドプロンプトで次を入力します:

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    例:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. 構成済みのポリシー式を使用して EPA スキャンを作成する

    コマンドプロンプトで次を入力します:

    add authentication epaAction <name>  -csecexpr <expression>
    

    例:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    

    事前認証ポリシーを設定し、

    add authentication Policy epapol -rule true -action epa
    

    事前認証ポリシーをバインドし、

    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

注意事項

  • 許可された MAC アドレスのリストに対する EPA スキャンの設定は、nFactor 認証フローにのみ適用されます。
  • 1 つのパターンセットには 3000 個以下のエントリを保存することをお勧めします。
  • MAC アドレスは、1A-2B-3C-4D-5E-6F の形式で設定する必要があります。
  • EPA スキャンの形式はmac-addr_0_<policy-expression-name>です。この形式では、mac-addr_0_は静的な値であり、mac-addr_0_後にポリシー式名を入力する必要があります。
  • EPA スキャンは、記号( ||, &&)を使用して適切に分離できます。
  • 1 つのパターンセットに多数の MAC アドレスを追加するには、ファイルベースのパターンセットのインポートを使用できます。最適なパフォーマンスを得るには、最大 3000 個のエントリ/パターンセットを保存することをお勧めします。
  • MAC アドレスがファイル内に存在する場合、ファイルベースのパターンセットのインポートを使用し、インポート時に適切な区切り文字を指定することで、パターンセットを作成できます。

参照ドキュメント

MAC アドレスの EPA スキャン