認証と承認の設定を構成する
NetScaler SDX管理サービスによる認証は、ローカルでも外部でも可能です。外部認証では、管理サービスは外部サーバーからの応答に基づいてユーザーアクセスを許可します。管理サービスは、次の外部認証プロトコルをサポートしています。
- リモート認証ダイヤルインユーザーサービス (RADIUS)
- ターミナルアクセスコントローラアクセスコントロールシステム (TACACS)
- ライトウェイトディレクトリアクセスプロトコル(LDAP)
管理サービスは SSH からの認証要求もサポートしています。SSH 認証では、キーボード対話型認証要求のみがサポートされます。SSH ユーザの許可は admin 権限のみに制限されます。読み取り専用権限を持つユーザは SSH 経由でログオンできません。
認証を設定するには、認証タイプを指定し、認証サーバを設定します。
管理サービスによる承認はローカルで行われます。管理サービスでは、2 つのレベルの認証がサポートされています。管理者権限を持つユーザは、管理サービスに対してあらゆるアクションを実行できます。読み取り専用権限を持つユーザーは、読み取り操作のみを実行できます。SSH ユーザの許可は admin 権限のみに制限されます。読み取り専用権限を持つユーザは SSH 経由でログオンできません。
RADIUS および LDAP の認可は、グループ抽出によってサポートされています。グループ抽出属性は、管理サービス上の RADIUS または LDAP サーバの設定中に設定できます。抽出されたグループ名は、管理サービス上のグループ名と照合され、ユーザーに付与される権限が決定されます。ユーザーは複数のグループに所属できます。その場合、ユーザーが所属するグループに管理者権限がある場合、そのユーザーには管理者権限が付与されます。デフォルト認証グループ属性は、設定時に設定できます。このグループは、抽出されたグループとともに承認対象として考慮されます。
TACACS 許可では、TACACS サーバ管理者は admin 権限を持つユーザに対して特別なコマンド admin を許可し、読み取り専用権限を持つユーザにはこのコマンドを拒否する必要があります。ユーザーが SDX アプライアンスにログオンすると、Management Service はユーザーがこのコマンドを実行する権限を持っているかどうかを確認します。ユーザに権限がある場合、そのユーザには管理者権限が割り当てられ、それ以外のユーザには読み取り専用権限が割り当てられます。
ユーザーグループを追加する
グループは、共通の情報にアクセスしたり、同様の種類のタスクを実行したりする必要のある論理的なユーザーの集合です。ユーザは、一連の一般的な操作によって定義されるグループに編成できます。個々のユーザーではなくグループに特定の権限を付与することで、ユーザーを作成する時間を節約できます。
認証に外部認証サーバーを使用している場合、SDX 内のグループは、認証サーバーで構成されたグループと一致するように構成できます。認証サーバー上のグループと名前が一致するグループに属するユーザーがログオンして認証されると、そのユーザーはそのグループの設定を継承します。
ユーザーグループを追加するには
- [ 構成 ] タブの [ システム] で、[ ユーザー管理] を展開し、[ グループ] をクリックします。
-
詳細ペインで、[ 追加] をクリックします。
-
[システムグループの作成 ] ページで、次のパラメータを設定します。
- グループ名
- グループ説明
- システムアクセス:このボックスを選択すると、SDX アプライアンス全体と SDX アプライアンスで実行されているインスタンスへのアクセス権が付与されます。または、インスタンスレベルのアクセスでは、[Instances] でインスタンスを指定します。
- 権限
- ユーザーセッションタイムアウトの設定
- ユーザ:グループに所属するデータベースユーザ。グループに追加するユーザーを選択します。
- [作成]して[閉じる] をクリックします。
注: バージョン 10.5 からバージョン 11.1 にアップグレードされた SDX アプライアンスに管理者ロールを持つグループを作成するには、[読み取り/書き込み] 権限と [システムアクセス] チェックボックスをオンにします。SDX 10.5 では、このチェックボックスは使用できず、[権限] の値は「admin」と「read-only」になっています。
ユーザーアカウントの構成
ユーザーが SDX アプライアンスにログオンして、アプライアンス管理タスクを実行します。ユーザーがアプライアンスにアクセスできるようにするには、そのユーザーのユーザーアカウントを SDX アプライアンスに作成する必要があります。ユーザーはアプライアンス上でローカルに認証されます。
重要: パスワードは SDX アプライアンス、管理サービス、および Citrix Hypervisor に適用されます。Citrix Hypervisorで直接パスワードを変更しないでください。
ユーザーアカウントを設定するには
-
[ 構成 ] タブの [ システム] で、[ 管理] を展開し、[ ユーザー] をクリックします。[Users] ペインには、既存のユーザアカウントとその権限の一覧が表示されます。
-
[ Users ] ペインで、次のいずれかの操作を行います。
- ユーザアカウントを作成するには、[ Add] をクリックします。
- ユーザーアカウントを変更するには、ユーザーを選択し、[ Modify] をクリックします。
-
[ システムユーザの作成 ] または [ システムユーザの変更 ] ダイアログボックスで、次のパラメータを設定します。
- [Name*]:アカウントのユーザ名。名前には、a ~ z および A ~ Z の英字、0 ~ 9 の数字、ピリオド (.)、スペース、およびアンダースコア (_) を使用できます。最大長:128。この名前は変更できません。
- [Password*]:アプライアンスにログオンするためのパスワード。最大長:128
- [パスワードの確認*]-パスワード。
- [Permission*]:アプライアンスに対するユーザーの権限。設定可能な値:
- admin:管理サービスに関連するすべての管理タスクを実行できます。
- read-only:ユーザはシステムを監視し、アカウントのパスワードを変更することしかできません。 デフォルト:admin。
- [外部認証の有効化]-このユーザの外部認証を有効にします。Management Service は、データベースユーザー認証の前に外部認証を試みます。このパラメータを無効にすると、ユーザは外部認証サーバで認証されません。
注: リモート認証サーバに到達できない場合、ユーザはアプライアンスにアクセスできなくなる可能性があります。このような場合、認証はデフォルトの admin ユーザ (
nsroot) にフォールバックします。 - [Configure Session Timeout]:ユーザがアクティブなままでいることができる期間を設定できます。次の詳細を指定します。
- [セッションタイムアウト(Session Timeout)]:ユーザセッションをアクティブにしておくことができる時間
- [セッションタイムアウト単位]:タイムアウト単位(分または時間)。
- [Groups]:グループをユーザに割り当てます。
*必須パラメータ
-
「 作成」または「OK」をクリックし、「 閉じる」をクリックします。作成したユーザーが [Users] ペインに一覧表示されます。
ユーザーアカウントを削除するには
- [ 構成 ] タブのナビゲーションペインで、[ システム]、[ 管理] の順に展開し、[ ユーザー] をクリックします。
- [ Users ] ペインでユーザーアカウントを選択し、[ Delete] をクリックします。
- 「確認」メッセージ・ボックスで「 OK」をクリックします。
認証タイプを設定する
Management Service インターフェイスから、ローカル認証または外部認証を指定できます。ローカルユーザーの外部認証はデフォルトで無効になっています。ローカルユーザーを追加するとき、またはユーザーの設定を変更するときに [ 外部認証を有効にする] オプションをオンにすることで有効にできます。
重要: 外部認証は、RADIUS、LDAP、または TACACS 認証サーバを設定した後にのみサポートされます。
認証タイプを設定するには
- [構成] タブの [システム] で、[認証] をクリックします。
- 詳細ウィンドウで、[認証構成] をクリックします。
- 次のパラメーターを設定します。
- [Server Type]:ユーザ認証用に設定された認証サーバのタイプ。可能な値:LDAP、RADIUS、TACACS、およびローカル。
-
[Server Name]:管理サービスで構成された認証サーバの名前。このメニューには、選択した認証タイプに対して構成されたすべてのサーバが一覧表示されます。
- フォールバックローカル認証の有効化:外部認証が失敗した場合に、ローカル認証でユーザを認証するように選択することもできます。このオプションは、デフォルトで有効になっています。
- [OK] をクリックします。
基本認証を有効または無効にする
基本認証を使用して、管理サービスの NITRO インターフェイスに対して認証できます。デフォルトでは、SDX アプライアンスでは基本認証が有効になっています。管理サービスインターフェイスを使用して基本認証を無効にするには、次の手順を実行します。
ベーシック認証を無効にするには
- [ 構成 ] タブで [ システム] をクリックします。
- [ システム設定] グループで、[ システム設定の変更] をクリックします。
- [システム設定の構成] ダイアログボックスで、[ 基本認証を許可する ] チェックボックスをオフにします。
- [OK] をクリックします。