認証のネゴシエーション

他の種類の認証ポリシーと同様に、Negotiate 認証ポリシーは式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバにバインドし、プライオリティを割り当てます。また、バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。

標準の認証機能に加えて、Negotiate Action コマンドでは、手動で情報を入力する代わりに、キータブファイルからユーザー情報を抽出できるようになりました。キータブに複数の SPN がある場合、認証、承認、および監査によって正しい SPN が選択されます。この機能は、コマンドラインまたは構成ユーティリティを使用して構成できます。

华府

LDAPLDAP

コマンドラインインターフェイスを使用して keytab ファイルからユーザー情報を抽出するように認証、承認、および監査を構成するには

コマンドプロンプトで、適切なコマンドを入力します。

添加认证商谈Action
                
                 {域
                 
                  {域用户
                  
                   {-doneuserPasswd}[-默认认证组
                   
                    sketta
                    
                     ..-NTLMPATH
                     
                      设置验证商谈
                      
                       {域
                       
                        {域用户
                        
                         } {-domainUserPasswd} [-defaultAuthenticationGroup
                         
                          sketta
                          
                           ..-NTLMPATH
                           
                            万事通
                            
                           
                          
                         
                        
                       
                      
                     
                    
                   
                  
                 
                

参数描述

• 名前-交渉アクションの名前を使用します。
• ドメイン-サービスプリンシパルのドメイン名があること 、 CitrixのADCをrepresnts。
• 域用户- Citrix ADCプリンシパルにマップされているアカウントのユーザー名。これは、keytabファイルが利用できない場合にドメインとパスワードとともに指定できます。ユーザー名がkeytabファイルと一緒に指定されている場合、そのkeytabファイルでこのユーザーの資格情報が検索されます。最大長：127
• domainUserPasswdCitrixADC
• defaultAuthenticationGroup-これは、抽出されたグループに加えて、認証が成功したときに選択されるデフォルトのグループです。最大長：63
• 键盘-Citrix ADCに提示されたKerberosチケットを復号化するために使用されるkeytabファイルへのパス。キータブが利用できない場合は、 domain/username/password ネゴシエーションアクション設定で指定できます。最大長：127
• NTLMPath-サーバーのFQDNを含む、NTLM認証が有効になっているサイトへのパス。これは、クライアントがNTLMにフォールバックするときに使用されます。 最大長：127

設定ユーティリティを使用して keytab ファイルからユーザー情報を抽出するための認証、承認、および監査を構成するには

华府

構成ユーティリティでは、「アクション」ではなく「サーバー」という用語が使 用されますが、同じタスクを指します。

1. ++++++++++++++++++++++++] に移動します。

2. 詳細ウィンドウの [サーバー] タブで、次のいずれかの操作を行います。

   • 新しい [ネゴシエート##########上上下下下] をクリックします。
   • 既存の [ネゴシエート] アクションを変更する場合は、データウィンドウでアクションを選択し、[編集] をクリックします。
3. 新しい [ネゴシエート##########名前++++++++++++++++
4. [ネゴシエート] で、[キータブファイルを使用] チェックボックスがオンになっていない場合は、オンにします。
5. 「キータブファイルのパス」テキストボックスに、使用するキータブファイルのフルパスとファイル名を入力します。
6. [既定の認証グループ] テキストボックスに、このユーザーの既定として設定する認証グループを入力します。
7. [作成sss変更を保存します。

Kerberos認証に高度な暗号化を使用する場合の注意点

• キータブを使用する場合の設定例：認証negotiateActionを追加 neg_act_aes256 -キータブ "/nsconfig/krb/lbvs_aes256.keytab"
• keytabに複数の暗号化タイプがある場合は、次のコマンドを使用します。このコマンドは、ドメインユーザーパラメータを追加でキャプチャします。addauthenticationnegotiateAction neg_act_keytab_all -キータブ "/nsconfig/krb/lbvs_all.keytab" -domainUser "HTTP/lbvs.aaa.local"
• ユーザー資格情報を使用する場合は、次のコマンドを使用します。addauthentications.aa.local-doneuser
• 正しい域用户情報が提供されていることを確認してください。ADでユーザーログオン名を探すことができます。