MAC アドレスの EPA スキャン
NetScaler ADCリリース13.0-88.x以降では、許可または特定のMACアドレスのEPAスキャン構成を構成できます。NetScaler ADCは、ポリシー式とパターンセットを使用してMACアドレスのリストを指定します。
NetScaler リリース13.0-88.xより前は、許可されているすべてのMACアドレスのリストをEPA式の一部として指定する必要がありました。お客様が許可する MAC アドレスのリストが大量にある場合、すべての MAC アドレスを 1 つの式に追加するのは面倒でした。また、1 つの式に追加できる MAC アドレスの数にも制限がありました。
例:
add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->
GUI を使用して MAC アドレスの EPA スキャンを設定します
**以前はWindowsスキャンカテゴリで使用可能だったMACアドレス (式)** オプションが、NetScaler GUIの共通スキャンカテゴリで使用できるようになりました 。このオプションにより、ユーザーは許可または特定の MAC アドレスのリストの EPA スキャンを設定できます。
注:
Citrix Secure Access Client 22.10.1以降のバージョンでは、NetScaler ADCがGUI上のEPAスキャン構成を処理するこの方法をサポートしています。
-
パターンセットを設定する。詳細については、「 パターンセットを設定する」を参照してください。
-
パターンセットごとに、対応するポリシー式を作成します。
エクスプレッションを設定するときに、エクスプレッションエディタで [ AAA] > [ログイン] > [CLIENT_MAC_ADDR] > [EQUAL_ANY (文字列)] > [パターンセット]を選択します
高度な式の設定について詳しくは、「 ポリシーでの高度なポリシー式の構成」を参照してください。
-
前のステップで構成した式の EPA スキャンを作成します。詳細については、 高度なエンドポイント分析スキャンを参照してください。
CLI を使用して MAC アドレスの EPA スキャンを設定します
-
MAC アドレスをパターンセット内に格納します。
コマンドプロンプトで次を入力します:
add policy patset <name> [-comment <string>] <!--NeedCopy-->
Example:
``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```
-
AAA.LOGIN.CLIENT_MAC_ADDR.equals_any()を使用して、各パターンセットに対応するポリシー式を作成します。
コマンドプロンプトで次を入力します:
Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
例:
add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1") add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
-
構成済みのポリシー式を使用して EPA スキャンを作成する
コマンドプロンプトで次を入力します:
add authentication epaAction <name> -csecexpr <expression>
例:
add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
事前認証ポリシーを設定し、
add authentication Policy epapol -rule true -action epa
事前認証ポリシーをバインドし、
bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
注意事項
- 許可された MAC アドレスのリストに対する EPA スキャンの設定は、nFactor 認証フローにのみ適用されます。
- 1 つのパターンセットには 3000 個以下のエントリを保存することをお勧めします。
- MAC アドレスは、1A-2B-3C-4D-5E-6F の形式で設定する必要があります。
- EPA スキャンの形式は
mac-addr_0_<policy-expression-name>
です。この形式では、mac-addr_0_
は静的な値であり、mac-addr_0_
後にポリシー式名を入力する必要があります。 - EPA スキャンは、記号
( ||, &&)
を使用して適切に分離できます。 - 1 つのパターンセットに多数の MAC アドレスを追加するには、ファイルベースのパターンセットのインポートを使用できます。最適なパフォーマンスを得るには、最大 3000 個のエントリ/パターンセットを保存することをお勧めします。
- MAC アドレスがファイル内に存在する場合、ファイルベースのパターンセットのインポートを使用し、インポート時に適切な区切り文字を指定することで、パターンセットを作成できます。