認証ポリシー

ユーザーがCitrix ADCまたはCitrix Gateway アプライアンスにログオンすると、作成したポリシーに従って認証されます。認証ポリシーは式とアクションで構成されます。認証ポリシーでは、Citrix ADC 式が使用されます。

認証アクションと認証ポリシーを作成したら、それを認証仮想サーバーにバインドし、優先度を割り当てます。バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。プライマリポリシーは、セカンダリポリシーよりも先に評価されます。両方のタイプのポリシーを使用する設定では、通常、プライマリポリシーはより限定的なポリシーですが、セカンダリポリシーは通常、より一般的なポリシーです。これは、より具体的な基準を満たさないユーザーアカウントの認証を処理することを目的としています。ポリシーは、認証タイプを定義します。単一の認証ポリシーは、単純な認証のニーズに使用でき、通常はグローバルレベルでバインドされます。デフォルトの認証タイプ (ローカル) を使用することもできます。ローカル認証を設定する場合は、アプライアンス上でユーザとグループも設定する必要があります。

複数の認証ポリシーを設定し、それらをバインドして、詳細な認証手順と仮想サーバーを作成できます。たとえば、複数のポリシーを設定して、カスケード認証と 2 要素認証を設定できます。また、認証ポリシーの優先度を設定して、アプライアンスがユーザクレデンシャルをチェックするサーバと順序を決定することもできます。認証ポリシーには、式とアクションが含まれます。たとえば、式を True 値に設定した場合、ユーザーのログオン時にアクションによってユーザーログオンが true と評価され、ユーザーはネットワークリソースにアクセスできます。

認証ポリシーを作成したら、ポリシーをグローバルレベルまたは仮想サーバにバインドします。少なくとも 1 つの認証ポリシーを仮想サーバーにバインドすると、グローバル認証の種類が仮想サーバーにバインドされたポリシーよりも優先されない限り、ユーザーが仮想サーバーにログオンするときに、グローバルレベルにバインドした認証ポリシーは使用されません。

ユーザーがアプライアンスにログオンすると、認証は次の順序で評価されます。

• 仮想サーバは、バインドされた認証ポリシーがあるかどうかがチェックされます。
• 認証ポリシーが仮想サーバにバインドされていない場合、アプライアンスはグローバル認証ポリシーをチェックします。
• 認証ポリシーが仮想サーバまたはグローバルにバインドされていない場合、ユーザはデフォルトの認証タイプで認証されます。

LDAP および RADIUS 認証ポリシーを構成し、2 要素認証用にポリシーをグローバルにバインドする場合は、設定ユーティリティでポリシーを選択し、ポリシーがプライマリ認証タイプかセカンダリ認証タイプかを選択できます。グループ抽出ポリシーを構成することもできます。

注：

Citrix ADCまたはCitrix Gateway アプライアンスは、認証用にUTF-8文字のみをエンコードし、ISO-8859-1文字を使用するサーバーとは互換性がありません。

認証ポリシーを作成する

GUI を使用して認証ポリシーを作成する

1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] に移動し、作成するポリシーのタイプを選択します。 Citrix Gateway の場合は、Citrix Gateway > ポリシー > 認証に移動します。

2. 詳細ウィンドウの [ポリシー] タブで、次のいずれかの操作を行います。

   • 新しいポリシーを作成するには、[追加（Add）] をクリックします。
   • 既存のポリシーを変更するには、アクションを選択し、[Edit] をクリックします。

3. [認証ポリシーの作成] または [認証ポリシーの構成] ダイアログで、パラメーターの値を入力または選択します。

   • Name：ポリシー名（設定済みのアクションでは変更不可）
   • 認証タイプ—authtype
   • サーバ—authVsName
   • Expression— rule (式を入力するには、まず [式] ウィンドウの下にある左端のドロップダウンリストで式のタイプを選択し、次に [式] テキスト領域に直接式を入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、ドロップダウンを使用します)。をその中にリストし、式を作成します。)
4. [作成] または[OK]をクリックします。作成したポリシーが [Policies] ページに表示されます。

5. [サーバー] タブをクリックし、詳細ウィンドウで次のいずれかの操作を行います。

   • 既存のサーバを使用するには、そのサーバを選択し、をクリックします。
   • サーバを作成するには、[Add] をクリックし、指示に従います。
6. このポリシーをセカンダリ認証ポリシーとして指定する場合は、[認証] タブで [セカンダリ] をクリックします。このポリシーをプライマリ認証ポリシーとして指定する場合は、この手順をスキップしてください。
7. [ポリシーの挿入] をクリックします。
8. 認証仮想サーバにバインドするポリシーをドロップダウンリストから選択します。
9. 左側の [Priority] 列で、デフォルトの優先度を変更して、ポリシーが適切な順序で評価されるようにします。
10. ［OK］をクリックします。ポリシーが正常に構成されたことを示すメッセージがステータスバーに表示されます。

GUI を使用して認証ポリシーを変更する

認証サーバの IP アドレスや式など、設定済みの認証ポリシーおよびプロファイルを変更できます。

1. 構成ユーティリティの［構成］タブで、［Citrix Gateway］>［ポリシー］>［認証］の順に展開します。注:[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] からポリシーを設定し、変更するポリシーのタイプを選択することもできます。
2. ナビゲーションペインの [認証] で、認証の種類を選択します。
3. 詳細ウィンドウの [サーバー] タブで、サーバーを選択し、[開く] をクリックします。

GUI を使用して認証ポリシーを削除する

ネットワークから認証サーバーを変更または削除した場合は、対応する認証ポリシーをCitrix Gateway から削除します。

1. 構成ユーティリティの［構成］タブで、［Citrix Gateway］>［ポリシー］>［認証］の順に展開します。注:ADC から設定するには、[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] に移動し、削除するポリシーのタイプを選択します。
2. ナビゲーションペインの [認証] で、認証の種類を選択します。
3. 詳細ペインの [ポリシー] タブで、ポリシーを選択し、[削除] をクリックします。

CLI を使用して認証ポリシーを作成する

コマンドプロンプトで、次のコマンドを入力します。

add authentication negotiatePolicy    show authentication localPolicy  bind authentication vserver  -policy  [-priority ][-secondary]] show authentication vserver  

例:

add authentication localPolicy Authn-Pol-1 ns_true Done show authentication localPolicy 1) Name: Authn-Pol-1 Rule: ns_true Request action: LOCAL Done bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1 Done show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Authentication Domain: myCompany.employee.com 1) Primary authentication policy name: Authn-Pol-1 Priority: 0 Done 

CLI を使用して認証ポリシーを変更する

コマンドプロンプトで次のコマンドを入力して、既存の認証ポリシーを変更します。

set authentication localPolicy   [-reqaction ] 

例

set authentication localPolicy Authn-Pol-1 'ns_true' 

CLI を使用して認証ポリシーを削除する

コマンドプロンプトで次のコマンドを入力して、認証ポリシーを削除します。

rm authentication localPolicy  

例

rm authentication localPolicy Authn-Pol-1 

認証ポリシーをバインドする

認証ポリシーを設定したら、ポリシーをグローバルにバインドするか、仮想サーバにバインドします。いずれかの構成ユーティリティを使用して、認証ポリシーをバインドできます。

構成ユーティリティを使用して認証ポリシーをグローバルにバインドするには、次の手順に従います。

1. 構成ユーティリティの［構成］タブで、［Citrix Gateway］>［ポリシー］>［認証］の順に展開します。注:ADC から設定するために、Security > AAA-アプリケーショントラフィック > ポリシー > 認証をナビゲートして下さい
2. 認証タイプをクリックします。
3. 詳細ウィンドウの [ポリシー] タブでサーバーをクリックし、[操作] の [グローバルバインディング] をクリックします。
4. [プライマリ] または [セカンダリ] タブの [詳細] で、[ポリシーの挿入

5. ［ポリシー名］でポリシーを選択し、［OK］をクリックします。

   注：ポリシーを選択すると、Citrix Gateway によって式が自動的に真値に設定されます。

構成ユーティリティを使用してグローバル認証ポリシーをバインド解除するには、次の手順を実行します。

1. 構成ユーティリティの［構成］タブで、［Citrix Gateway］>［ポリシー］>［認証］の順に展開します。注:ADC から設定するために、Security > AAA-アプリケーショントラフィック > ポリシー > 認証をナビゲートして下さい
2. [ポリシー] タブの [操作] で、[グローバルバインディング] をクリックします。
3. [認証ポリシーをグローバルにバインド/バインド解除]ダイアログボックスの[プライマリ]タブまたは [セカンダリ] タブの [ポリシー名] でポリシーを選択し、[ポリシーのバインド解除] をクリックし、[OK] をクリックします。

認証アクションを追加する

CLI を使用して認証アクションを追加する

LOCAL 認証を使用しない場合は、明示的な認証アクションを追加する必要があります。コマンドプロンプトで、次のコマンドを入力します。

add authentication tacacsAction  -serverip  [-serverPort ][-authTimeout ][ ... ] 

例

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" 

CLI を使用して認証アクションを設定する

既存の認証アクションを構成するには、コマンドプロンプトで次のコマンドを入力します。

set authentication tacacsAction  -serverip  [-serverPort ][-authTimeout ][ ... ] 

例

set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" 

コマンドラインインターフェイスを使用して認証アクションを削除する

既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。

rm authentication radiusAction  

例

rm authentication tacacsaction Authn-Act-1 

NoAuth 認証

Citrix ADCアプライアンスはNoAuth認証機能をサポートしており、ユーザーがこのポリシーを実行したときに、noAuthActionコマンドでDefaultAuthenticationGroupパラメーターを構成できます。管理者は、ユーザーのグループ内にこのグループが存在するかどうかをチェックして、NoAuth ポリシーによるユーザーのナビゲーションを判断できます。

コマンドラインインターフェイスを使用して NoAuth 認証を設定するには

コマンドプロンプトで次を入力します。

add authentication noAuthAction  [-defaultAuthenticationGroup ] 

例

add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup 

デフォルトのグローバル認証タイプ

Citrix Gateway をインストールしてCitrix Gateway ウィザードを実行すると、ウィザード内で認証を構成しました。この認証ポリシーは、Citrix Gateway グローバルレベルに自動的にバインドされます。Citrix Gateway ウィザードで構成する認証の種類は、デフォルトの認証の種類です。デフォルトの認証の種類を変更するには、Citrix Gateway ウィザードを再度実行するか、構成ユーティリティでグローバル認証設定を変更します。

他の認証の種類を追加する必要がある場合は、Citrix Gateway で認証ポリシーを構成し、構成ユーティリティを使用してポリシーをCitrix Gateway にバインドできます。認証をグローバルに設定する場合は、認証のタイプを定義し、設定を構成し、認証できる最大ユーザ数を設定します。

ポリシーを設定してバインドしたら、優先度を設定して、優先する認証タイプを定義できます。たとえば、LDAP および RADIUS 認証ポリシーを設定します。LDAP ポリシーのプライオリティ番号が 10 で、RADIUS ポリシーのプライオリティ番号が 15 の場合、各ポリシーをバインドする場所に関係なく、LDAP ポリシーが優先されます。これをカスケード認証と呼びます。

ログオンページは、Citrix Gateway のメモリ内キャッシュまたはCitrix Gateway で実行されているHTTPサーバーから配信するように選択できます。インメモリキャッシュからログオンページを配信することを選択した場合、Citrix Gateway からのログオンページの配信は、HTTPサーバーからのログオンページの配信よりも高速です。インメモリキャッシュからログオンページを配信するように選択すると、多数のユーザーが同時にログオンする場合の待ち時間が短縮されます。キャッシュからのログオンページの配信は、グローバル認証ポリシーの一部としてのみ構成できます。

また、認証用の特定の IP アドレスであるネットワークアドレス変換（NAT）IP アドレスを設定することもできます。このIPアドレスは認証用に一意であり、Citrix Gateway のサブネット、マッピング、または仮想IPアドレスではありません。この設定はオプションです。

注：

• Citrix Gateway ウィザードを使用してSAML認証を構成することはできません。

• クイック構成ウィザードを使用して、LDAP、RADIUS、およびクライアント証明書認証を構成できます。ウィザードを実行すると、Citrix Gateway で構成された既存のLDAPサーバーまたはRADIUSサーバーから選択できます。LDAP または RADIUS の設定を構成することもできます。2要素認証を使用する場合は、プライマリ認証タイプとしてLDAPを使用することをお勧めします。

デフォルトのグローバル認証タイプを構成する

1. GUIの［構成］タブのナビゲーションペインで［Citrix Gateway］を展開し、［グローバル設定］をクリックします。
2. 詳細ウィンドウの [設定] で、[認証設定の変更] をクリックします。
3. [最大ユーザー数] に、この認証の種類を使用して認証できるユーザーの数を入力します。
4. [NAT IP アドレス] に、認証用の一意の IP アドレスを入力します。
5. [静的キャッシュを有効にする] を選択すると、ログオンページが高速に配信されます。
6. 認証が失敗した場合にユーザーにメッセージを表示するには、[拡張認証フィードバックを有効にする] を選択します。ユーザーが受け取るメッセージには、パスワードエラー、アカウントが無効またはロックされている、ユーザーが見つからない、などが含まれます。
7. [既定の認証タイプ] で、認証タイプを選択します。
8. 使用する認証タイプの設定を構成し、「OK」をクリックします。

ユーザーの現在のログイン試行回数の取得をサポート

Citrix ADCアプライアンスには、ユーザーの現在のログイン試行回数の値を新しい式aaa.user.login_attemptsで取得するオプションがあります。式は 1 つの引数 (ユーザー名) を取るか、引数を取らないかのいずれかを取ります。引数がない場合、エクスプレッションはaaa_sessionまたはaaa_infoからユーザ名を取得します。

aaa.user.login_attempts式を認証ポリシーとともに使用して、さらに処理することができます。

CLI を使用してユーザ 1 人あたりのログイン試行回数を設定するには

コマンドプロンプトで入力します。

add expression er aaa.user.login_attempts