認証と承認の設定を構成する
NetScaler SDX管理サービスによる認証は、ローカルでも外部でも可能です。外部認証では、管理サービスは外部サーバーからの応答に基づいてユーザーアクセスを許可します。管理サービスは、次の外部認証プロトコルをサポートしています。
- リモート認証ダイヤルインユーザーサービス (RADIUS)
- ターミナルアクセスコントローラアクセスコントロールシステム (TACACS)
- ライトウェイトディレクトリアクセスプロトコル(LDAP)
管理サービスは SSH からの認証要求もサポートしています。SSH 認証では、キーボード対話型認証要求のみがサポートされます。SSH ユーザの許可は admin 権限のみに制限されます。読み取り専用権限を持つユーザは SSH 経由でログオンできません。
認証を設定するには、認証タイプを指定し、認証サーバを設定します。
管理サービスによる承認はローカルで行われます。管理サービスでは、2 つのレベルの認証がサポートされています。管理者権限を持つユーザは、管理サービスに対してあらゆるアクションを実行できます。読み取り専用権限を持つユーザーは、読み取り操作のみを実行できます。SSH ユーザの許可は admin 権限のみに制限されます。読み取り専用権限を持つユーザは SSH 経由でログオンできません。
RADIUS および LDAP の認可は、グループ抽出によってサポートされています。グループ抽出属性は、管理サービス上の RADIUS または LDAP サーバの設定中に設定できます。抽出されたグループ名は、管理サービス上のグループ名と照合され、ユーザーに付与される権限が決定されます。ユーザーは複数のグループに所属できます。その場合、ユーザーが所属するグループに管理者権限がある場合、そのユーザーには管理者権限が付与されます。デフォルト認証グループ属性は、設定時に設定できます。このグループは、抽出されたグループとともに承認対象として考慮されます。
TACACS 許可では、TACACS サーバ管理者は admin 権限を持つユーザに対して特別なコマンド admin を許可し、読み取り専用権限を持つユーザにはこのコマンドを拒否する必要があります。ユーザーが SDX アプライアンスにログオンすると、Management Service はユーザーがこのコマンドを実行する権限を持っているかどうかを確認します。ユーザに権限がある場合、そのユーザには管理者権限が割り当てられ、それ以外のユーザには読み取り専用権限が割り当てられます。
ユーザーグループを追加する
グループは、共通の情報にアクセスしたり、同様の種類のタスクを実行したりする必要のある論理的なユーザーの集合です。ユーザは、一連の一般的な操作によって定義されるグループに編成できます。個々のユーザーではなくグループに特定の権限を付与することで、ユーザーを作成する時間を節約できます。
認証に外部認証サーバーを使用している場合、SDX 内のグループは、認証サーバーで構成されたグループと一致するように構成できます。認証サーバー上のグループと名前が一致するグループに属するユーザーがログオンして認証されると、そのユーザーはそのグループの設定を継承します。
ユーザーグループを追加するには
-
[ 構成] > [システム] > [ユーザー管理] > [グループ] に移動し、[ 追加] をクリックします。
- 「 システムグループの作成 」ページで、次のパラメータを更新します。
- グループ名:グループの名前を入力します。使用できる文字には、英数字、アンダースコア (_)、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、ハイフン (-) などがあります。最大長:64。
- グループの説明:グループの簡単な説明を入力します。
- システムアクセス:SDX アプライアンス全体とその上で実行されているインスタンスへのアクセスを許可するオプションを選択します。 または、インスタンスレベルのアクセスには、[すべてのインスタンス] でインスタンスを選択します。
-
権限:リストからグループ権限を選択します。管理者には読み取り/書き込み権限があります。使用できる値は以下のとおりです:
- 読み取り/書き込み:グループは管理サービスに関連するすべての管理タスクを実行できます。デフォルトでは、グループ権限は読み取り/書き込みに設定されています。
- 読み取り:グループはシステムを監視することしかできません。
-
ユーザーセッションタイムアウトの設定:ユーザーがアクティブな状態を維持する期間を設定するオプションを選択します。
有効にすると、次のパラメータを指定できます。
- セッションタイムアウト:ユーザーセッションをアクティブに保つことができる期間を入力します。デフォルト値:15。
- セッションタイムアウト単位:一覧からタイムアウト単位を分単位または時間単位で選択します。デフォルト値:分。
- ユーザーセッション制限:ユーザーごとに許可される最大セッション数を入力します。
注:admin
グループと読み取り専用グループのメンバーには、デフォルトで 40 のユーザーセッションが割り当てられます。他のグループのメンバーには、デフォルトで 20 のユーザーセッションが割り当てられます。
- ユーザー:グループに属するユーザーを一覧表示します。「 使用可能 」リストから選択して「 構成済み 」リストに移動することで、ユーザーをグループに追加できます。
- [作成]して[閉じる] をクリックします。
ユーザーアカウントの構成
ユーザーが SDX アプライアンスにログオンして、アプライアンス管理タスクを実行します。ユーザーがアプライアンスにアクセスできるようにするには、そのユーザーのユーザーアカウントを SDX アプライアンスに作成する必要があります。ユーザーはアプライアンス上でローカルに認証されます。
重要: パスワードは SDX アプライアンス、管理サービス、および Citrix Hypervisor に適用されます。Citrix Hypervisorで直接パスワードを変更しないでください。
ユーザーアカウントを設定するには
-
[ 構成 ] タブの [ システム] で、[ 管理] を展開し、[ ユーザー] をクリックします。[Users] ペインには、既存のユーザアカウントとその権限の一覧が表示されます。
-
[ Users ] ペインで、次のいずれかの操作を行います。
- ユーザアカウントを作成するには、[ Add] をクリックします。
- ユーザーアカウントを変更するには、ユーザーを選択し、[ Modify] をクリックします。
-
[ システムユーザの作成 ] または [ システムユーザの変更 ] ダイアログボックスで、次のパラメータを設定します。
- **名前*: アカウントのユーザー名。名前には、a ~ z および A ~ Z の英字、0 ~ 9 の数字、ピリオド (.)、スペース、およびアンダースコア (_) を使用できます。最大長:128。この名前は変更できません。
- **パスワード*: アプライアンスにログオンするためのパスワード。最大長:128
- パスワードの確認*: パスワード。
-
**権限*: アプライアンスに対するユーザーの権限。設定可能な値:
- admin: ユーザーは、管理サービスに関連するすべての管理タスクを実行できます。
- 読み取り専用:ユーザーはシステムを監視し、アカウントのパスワードを変更することしかできません。 デフォルト:admin。
-
外部認証を有効にする:このユーザーの外部認証を有効にします。Management Service は、データベースユーザー認証の前に外部認証を試みます。このパラメータを無効にすると、ユーザは外部認証サーバで認証されません。
注: リモート認証サーバに到達できない場合、ユーザはアプライアンスにアクセスできなくなる可能性があります。このような場合、認証はデフォルトの admin ユーザ (
nsroot) にフォールバックします。 -
セッションタイムアウトの設定:ユーザーがアクティブでいられる時間を設定できます。次の詳細を指定します。
- セッションタイムアウト:ユーザーセッションをアクティブに保つことができる期間。
- セッションタイムアウト単位:タイムアウト単位 (分単位または時間単位)。
- グループ:ユーザーをグループに割り当てます。
*必須パラメータ
-
「 作成」または「OK」をクリックし、「 閉じる」をクリックします。作成したユーザーが [Users] ペインに一覧表示されます。
ユーザーアカウントを削除するには
- [ 構成 ] タブのナビゲーションペインで、[ システム]、[ 管理] の順に展開し、[ ユーザー] をクリックします。
- [ Users ] ペインでユーザーアカウントを選択し、[ Delete] をクリックします。
- 「確認」メッセージ・ボックスで「 OK」をクリックします。
認証タイプを設定する
Management Service インターフェイスから、ローカル認証または外部認証を指定できます。ローカルユーザーの外部認証はデフォルトで無効になっています。ローカルユーザーを追加するとき、またはユーザーの設定を変更するときに [ 外部認証を有効にする] オプションをオンにすることで有効にできます。
重要: 外部認証は、RADIUS、LDAP、または TACACS 認証サーバを設定した後にのみサポートされます。
認証タイプを設定するには
- [ 構成 ] タブの [ システム] で、[ 認証] をクリックします。
- 詳細ペインで、[ 認証構成] をクリックします。
- 次のパラメーターを設定します。
- サーバータイプ:ユーザー認証用に構成された認証サーバーのタイプ。可能な値:LDAP、RADIUS、TACACS、およびローカル。
-
サーバー名:管理サービスで構成されている認証サーバーの名前。このメニューには、選択した認証タイプに対して構成されたすべてのサーバが一覧表示されます。
- フォールバックローカル認証を有効にする:または、外部認証が失敗したときにローカル認証でユーザーを認証することを選択できます。このオプションは、デフォルトで有効になっています。
- [OK] をクリックします。
基本認証を有効または無効にする
基本認証を使用して、管理サービスの NITRO インターフェイスに対して認証できます。デフォルトでは、SDX アプライアンスでは基本認証が有効になっています。管理サービスインターフェイスを使用して基本認証を無効にするには、次の手順を実行します。
ベーシック認証を無効にするには
- [ 構成 ] タブで [ システム] をクリックします。
- [ システム設定] グループで、[ システム設定の変更] をクリックします。
- [システム設定の構成] ダイアログボックスで、[ 基本認証を許可する ] チェックボックスをオフにします。
- [OK] をクリックします。