Citrix ADCアプラaapl . exeアンスでのKerberos認証の構成

このトピックでは,CLIとGUIを使用してCitrix ADCアプライアンスでKerberos認証を構成する詳細な手順について説明します。

CLIでのKerberos認証の設定

1. 認証，承認，および監査機能を有効にして，アプラ目录アンス上のトラフィックの認証を確実に行います。

   ns-cli-prompns機能AAAを有効にする

2. キタブファルをCitrix ADCアプラアンスに追加します。Kerberos認証中にクライアントから受け取ったシークレットを復号するには,キータブファイルが必要です。1つのキータブファイルには,Citrix ADCアプライアンス上のトラフィック管理仮想サーバーにバインドされているすべてのサービスの認証詳細が含まれています。

   まず,Active Directoryサーバーでキータブファイルを生成し,Citrix ADCアプライアンスに転送します。

   • Active Directoryサーバーにログオンし,次のコマンドを使用してKerberos認証用のユーザーを追加します。

     Net user   /add . Net user   /add . Net user

     注

     [ユ，ザ，のプロパティ]セクションで,次回のログオン時にパスワードを変更]オプションが選択されておらず,[パスワードが期限切れにならない]オプションが選択されていることを確認します。

   • HTTPサビスを上記のユザにマップし，keytabファルをエクスポトします。たとえば，Active Directoryサ，バ，で次のコマンドを実行します。

     ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass <用户密码> /mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL

     注

     複数のサ，ビスに認証が必要な場合は，複数のサ，ビスをマッピングできます。さらに多くのサ，ビスをマップする場合は，サ，ビスごとに上記のコマンドを繰り返します。出力ファesc escルには，同じ名前でも別の名前でもかまいません。

   • unixftpコマンドまたはその他の任意のファ@ @ル転送ユ@ @ティリティを使用して， keytabファ▪▪ルをCitrix ADCアプラ▪▪アンスに転送します。キータブファイルをCitrix ADCアプライアンスの/ nsconfig / krb /ディレクトリにアップロードします。

3. Citrix ADCアプライアンスは,完全修飾ドメイン名(FQDN)からドメインコントローラーのIPアドレスを取得する必要があります。したがって，Citrix ADCをDNSサ，バ，で構成することをお勧めします。

   ns-cli-prompDNSネ，ムサ，バ，を追加< ip地址>

   注

   または,静的ホストエントリを追加するか,その他の方法を使用して,Citrix ADCアプライアンスがドメインコントローラーのFQDN名をIPアドレスに解決できるようにすることもできます。

4. 認証アクションを設定し，認証ポリシ，に関連付けます。

   • ネゴシエ，トアクションを設定します。

     ns-cli-promp認証ネゴシエ，トアクションを追加\ -domain\ <域名\ >-domainUser\ <域用户名\ >-domainUser\ <域用户密码\ >-DomainUserPasswd\ -defaultAuthenticationGroup\ -keytab\

     注:ドメインユーザおよびドメイン名の設定については,クライアントに移動し,次の例に示すように中コマンドを使用します。

     クラ@ aaa.local .アント:ユ，ザ，名

     サバ:http/onprem_idp.AAA。local @ AAA.LOCAL

     add authentication negotiateAction<名称>域 -domainUser < HTTP / onprem_idp.aaa.local >

   • ネゴシエ，トポリシ，を設定し，ネゴシエ，トアクションをこのポリシ，に関連付けます。

     ns-cli-promp認証ネゴシエ，トポリシ，を追加\ \ \

5. 認証仮想サ，バを作成し，ネゴシエ，トポリシ，を関連付けます。

   • 認証仮想サ，バ，を作成します。

     ns-cli-promp認証仮想サ，バの追加SSL \ \ <名称> \ < ipAuthVserver \ > 443 -認証ドメイン\ <域名\ >

   • ネゴシエトポリシを認証仮想サバにバンドします。

     ns-cli-promp認証仮想サバのバンド\ -policy\

6. 認証仮想サーバーをトラフィック管理(負荷分散またはコンテンツスイッチング)仮想サーバーに関連付けます。

   ns-cli-prompt >设置lb vserver -authn401 ON -authnVsName . sh

   注

   コンテンスッチング仮想サバでも同様の構成を行うことができます。

7. 次の操作を行って，設定を確認します。

   • FQDNを使用して，トラフィック管理仮想サ，バにアクセスします。たとえば，サンプル

   • Cliでセッションの詳細を表示します。

     ns-cli-prompAaaセッションを表示

GUIでのKerberos認証の設定

1. 認証，認可，および監査機能を有効にします。

   ［システム> [設定]に移動し，[基本機能の構成]をクリックして，認証，承認，および監査機能を有効にします。

2. 前述のCLI手順のステップ2で説明したように，keytabファesc escルを追加します。

3. DNSサ，バ，を追加します。

   ［トラフィック管理]> [dns] >[ネ，ムサ，バ，]に移動し，dnsサ，バ，のIPアドレスを指定します。

4. ネゴシエ，トアクションとポリシ，を設定します。

   ［セキュリティ]> [AAA -アプリケーショントラフィック]>[ポリシー]>[認証]>[高度なポリシー] >[ポリシ]に移動し，アクションタプとして[ネゴシエ，ト［添加]をクリックして新しい認証ネゴシエ，トサ，バ，を作成するか，[编辑]をクリックして既存の詳細を設定します。

5. ネゴシエトポリシを認証仮想サバにバンドします。

   ［セキュリティ]> [aaa -アプリケ，ショントラフィック]>[仮想サ，バ]に移動し，ネゴシエ，トポリシ，を認証仮想サ，バに関連付けます。

6. 認証仮想サーバーをトラフィック管理(負荷分散またはコンテンツスイッチング)仮想サーバーに関連付けます。

   ［トラフィック管理]>[負荷分散]>[仮想サ，バ，]に移動し，関連する認証設定を指定します。

   注

   コンテンスッチング仮想サバでも同様の構成を行うことができます。

7. 上記のcli手順のステップ7で詳述した設定を確認します。