認証，承認，監査の仕組み

認証,承認,および監査は,適切な資格情報を持つすべてのクライアントが,インターネット上のどこからでも保護されたアプリケーションサーバーに安全に接続できるようにすることで,分散インターネット環境のセキュリティを提供します。この機能には，認証，認可，監査の3のセキュリティ機能が組み込まれています。認証により、Citrix ADCはローカルまたはサードパーティの認証サーバーを使用してクライアントの資格情報を検証し,承認されたユーザーのみが保護されたサーバーにアクセスできるようにします。認証により、ADCは各ユーザーがアクセスできる保護されたサーバー上のコンテンツを確認することができます。監査により，adcは保護されたサバでの各ユザのアクティビティを記録できます。

分散環境で認証,承認,および監査がどのように機能するかを理解するために,従業員がオフィス,自宅,および出張時にアクセスするイントラネットを持つ組織を検討してください。▪▪ントラネット上のコンテン▪▪は機密情報であり，安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは,有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために，adcは次のことを行います。

• ユーザーがログインせずにイントラネットにアクセスした場合,ユーザーをログインページにリダイレクトします。

• ユーザーの資格情報を収集し,認証サーバーに配信し,LDAP経由でアクセス可能なディレクトリにキャッシュします。詳細にいては，Ldapディレクトリ内の属性の決定を参照してください。

• ユーザーの要求をアプリケーションサーバーに配信する前に,ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
• セッションタ@ @ムアウトを維持します。このタイムアウトに達すると,ユーザーはイントラネットへのアクセスを回復するために再度認証する必要があります。(タaapl . aapl .ムアウトを設定できます)。
• 無効なログン試行を含め，ユザのアクセスを監査ログに記録します。

認証承認と監査ポリシ，を構成します

ユーザーとグループを設定したら,次に認証ポリシー,承認ポリシー,および監査ポリシーを構成して,イントラネットへのアクセスを許可するユーザー,各ユーザーまたはグループがアクセスできるリソース,認証,承認,および監査の詳細レベルを定義します。は監査ログに保持されます。認証ポリシは、ユーザーがログオンしようとしたときに適用される認証の種類を定義します。外部認証を使用する場合、ポリシーによって外部認証サーバも指定されます。承認ポリシーは、ユーザーとグループがログオンした後にアクセスできるネットワークリソースを指定します。監査ポリシーは、監査ログの種類と場所を定義します。

ポリシを有効にするには，各ポリシをバンドする必要があります。認証ポリシは、認証仮想サーバー、承認ポリシーを 1 つ以上のユーザーアカウントまたはグループにバインドし、監査ポリシーをグローバルに、1 つ以上のユーザーアカウントまたはグループの両方にバインドします。

ポリシをバンドするときは，そのポリシに優先度を割り当てます。優先順位によって，定義したポリシ，が評価される順序が決まります。プラ@ @オリティは任意の正の整数に設定できます。Citrix ADCオペレーティングシステムでは、ポリシーの優先順位は逆の順序で機能します。値が大きいほど、優先順位は低くなります。たとえば、プライオリティ 10、100、1000 の 3 つのポリシーがある場合、プライオリティ 10 が割り当てられたポリシーが最初に実行され、次にポリシーにプライオリティ 100 が割り当てられ、最後に 1000 というプライオリティが割り当てられます。認証、認可、および監査機能では、リクエストが一致する各タイプのポリシーのうち最初のもののみが実装され、リクエストが一致する可能性のあるタイプの追加のポリシーは実装されません。したがって、ポリシーの優先順位は、意図した結果を得るために重要です。

ポリシーをバインドするときに,各ポリシー間に50または100の間隔で優先度を設定することで,任意の順序で他のポリシーを追加できる十分な余地を残すことができます。その後，既存のポリシの優先順位を再割り当てすることなく，いでもポリシを追加できます。

Citrix ADCアプラアンスでのバンドポリシの詳細にいては，Citrix ADC製品のドキュメントを参照してください。

を構成しますNo_Auth特定のトラフィックをバパスするポリシ

トラフィック管理仮想サーバで401ベースの認証が有効になっている場合に,認証からの特定のトラフィックをバイパスするようにNo_Authポリシーを設定できるようになりました。このようなトラフィックの場合，バ@ # @ンドする必要があります“No_Auth”ポリシ。

CLIを使用して特定のトラフィックをバ@ @パスするようにNo_Authポリシ@ @を設定するには

コマンドプロンプトで入力します。

添加认证策略 -rule  -action  

例:

添加认证策略ldap -rule ldapAct1 -action No_Auth