認証仮想サーバー
トラフィック管理仮想サーバ(負荷分散またはコンテンツスイッチング)は、すべての認証要求を認証仮想サーバにリダイレクトします。この仮想サーバは、関連付けられた認証ポリシーを処理し、それに応じてアプリケーションへのアクセスを提供します。
注:トラフィック管理ポリシーは、認証、承認、および監査仮想サーバにバインドできません。
認証仮想サーバーをセットアップする
認証仮想サーバーの設定に関連する手順は次のとおりです。
認証、認可、および監査機能を有効にします。
enable ns feature AAA
認証仮想サーバを設定します。SSL タイプで、SSL 証明書とキーのペアを仮想サーバーにバインドする必要があります。
add authentication vserver
SSL bind ssl certkey 認証仮想サーバーのドメインの FQDN を指定します。
set authentication vserver
-authenticationDomain 認証仮想サーバを関連するトラフィック管理仮想サーバに関連付けます。
注意事項:
- ドメインセッション Cookie が正しく機能するには、トラフィック管理仮想サーバの FQDN が認証仮想サーバの FQDN と同じドメインに存在する必要があります。トラフィック管理仮想サーバで、次の操作を行います。
- 認証を有効にします。
- トラフィック管理仮想サーバの認証ホストとして、認証仮想サーバの FQDN を指定します。
- [(オプション)] トラフィック管理仮想サーバーの認証ドメインを指定します。
- 認証ドメインを構成しない場合、アプライアンスは、ホスト名部分のない認証仮想サーバーのFQDNで構成されるFQDNを割り当てます。たとえば、認証仮想サーバーのドメイン名がtm.xyz.bar.comの場合、アプライアンスは認証ドメインとしてxyz.bar.comを割り当てます。
- 負荷分散の場合:
set lb vserver
-authentication ON -authenticationhost [-authenticationdomain ] - コンテンツスイッチングの場合:
set cs vserver
- 認証ドメインにドメイン全体の Cookie を設定する必要がある場合は、負荷分散仮想サーバーで認証プロファイルを有効にする必要があります。
- ドメインセッション Cookie が正しく機能するには、トラフィック管理仮想サーバの FQDN が認証仮想サーバの FQDN と同じドメインに存在する必要があります。トラフィック管理仮想サーバで、次の操作を行います。
両方の仮想サーバが稼働しており、正しく設定されていることを確認します。
显示身份验证vserver <名称> < !——NeedCopy >
GUI を使用して認証仮想サーバーをセットアップするには
認証、認可、および監査機能を有効にします。
[システム] > [設定] に移動し、[基本機能の構成] をクリックして、[認証、承認、監査] を有効にします。
認証仮想サーバを設定します。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、必要に応じて設定します。
認証用にトラフィック管理仮想サーバを設定します。
負荷分散の場合:
[トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。
コンテンツスイッチングの場合:
[トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動し、必要に応じて仮想サーバーを設定します。
-
認証の設定を確認します。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、関連する認証仮想サーバの詳細を確認します。
認証仮想サーバーを構成する
認証、承認、および監査を構成するには、まず認証トラフィックを処理するように認証仮想サーバーを構成します。次に、SSL 証明書とキーのペアを仮想サーバーにバインドして、SSL 接続を処理できるようにします。 SSL の構成および証明書とキーのペアの作成の詳細については、「SSL 証明書」を参照してください。
CLIを使用して認証仮想サーバーを構成します
認証仮想サーバーを構成して構成を確認するには、コマンドプロンプトで次のコマンドを同じ順序で入力します。
add authentication vserver ssl show authentication vserver bind ssl certkey show authentication vserver set authentication vserver show authentication vserver
例:
add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done set authentication vserver Auth-Vserver-2 show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
注:
[認証ドメイン] パラメーターは廃止されました。認証プロファイルを使用して、ドメイン全体の Cookie を設定します。
GUI を使用して認証仮想サーバーを構成する
- セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します。
詳細ウィンドウで、次のいずれかの操作を行います。
- 新しい認証仮想サーバーを作成するには、[追加] をクリックします。
- 既存の認証仮想サーバーを変更するには,仮想サーバーを選択し,(編集] をクリックします。[設定] ダイアログが開き、[基本設定] 領域が展開されます。
パラメータの値を次のように指定します(アスタリスクは必須パラメータを示します)。
- name*—name(以前に作成した仮想サーバでは変更できません)
- IP アドレスタイプ*:認証仮想サーバの IP アドレスタイプ
- IP アドレス*:認証仮想サーバの IP アドレス
- port*:仮想サーバが接続を受け付ける TCP ポート。
- ログイン失敗タイムアウト:failedLoginTimeout(ログインが失敗するまでの秒数。ユーザはログインプロセスを再度開始する必要があります)。
- 最大ログイン試行回数-maxLoginAttempts(ユーザがロックアウトされる前に許可されるログイン試行回数)
注:
認証仮想サーバーは SSL プロトコルとポート 443 のみを使用するため、これらのオプションは灰色表示されます。言及されていないオプションは無視できます。
- [続行] をクリックして、[証明書] 領域を表示します。
[証明書]領域で、この仮想サーバーで使用するすべての SSL 証明書を構成します。
- CA 証明書を構成するには、[CA 証明書] の右側にある矢印をクリックして [CA Cert Key] ダイアログボックスを表示し、この仮想サーバーにバインドする証明書を選択して、[保存] をクリックします。
- サーバ証明書を設定するには、[サーバ証明書(Server Certificate)] の右側にある矢印をクリックし、CA 証明書の場合と同じプロセスに従います。
- [続行] をクリックして、[高度な認証ポリシー] 領域を表示します。
- 高度な認証ポリシーを仮想サーバーにバインドする場合は、行の右側にある矢印をクリックして[認証ポリシー]ダイアログボックスを表示します。サーバーにバインドするポリシーを選択し,優先順位を設定して,(OK]をクリックします。
- [続行] をクリックして、[基本認証ポリシー] 領域を表示します。
- 基本認証ポリシーを作成して仮想サーバにバインドする場合は、プラス記号をクリックして [ポリシー] ダイアログボックスを表示し、プロンプトに従ってポリシーを構成し、この仮想サーバにバインドします。
- [続行] をクリックして、[401 ベースの仮想サーバー] 領域を表示します。
[401 ベースの仮想サーバー] 領域で、この仮想サーバーにバインドする負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを構成します。
- 負荷分散仮想サーバーをバインドするには、負荷分散仮想サーバーの右側にある矢印をクリックして [負荷分散仮想サーバー] ダイアログボックスを表示し、プロンプトに従います。
- コンテンツスイッチ仮想サーバーをバインドするには、コンテンツスイッチ仮想サーバーの右側にある矢印をクリックして [コンテンツスイッチ仮想サーバー] ダイアログボックスを表示し、LB 仮想サーバーをバインドする場合と同じ手順に従います。
- グループを作成または構成する場合は、[グループ] 領域で矢印をクリックして [グループ] ダイアログボックスを表示し、プロンプトに従います。
- 設定を確認し、完了したら [完了] をクリックします。ダイアログボックスが閉じます。新しい認証仮想サーバを作成した場合は、[Configuration] ウィンドウのリストに表示されます。
トラフィック管理仮想サーバー
認証仮想サーバを作成して設定したら、次にトラフィック管理仮想サーバを作成または設定し、認証仮想サーバをそれに関連付けます。トラフィック管理仮想サーバーには、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。 いずれかのタイプの仮想サーバーの作成と構成の詳細については、「Citrix トラフィック管理ガイド」の「トラフィック管理」を参照してください。
注:
ドメインセッションCookieが正しく機能するには、トラフィック管理仮想サーバーのFQDNが認証仮想サーバーのFQDNと同じドメインにある必要があります。
認証を有効にし、認証サーバの FQDN をトラフィック管理仮想サーバに割り当てることで、認証、認可、および監査用のトラフィック管理仮想サーバを設定します。現在、トラフィック管理仮想サーバで認証ドメインを設定することもできます。このオプションを構成しない場合、Citrix ADCアプライアンスは、ホスト名の部分を含まない認証仮想サーバーのFQDNで構成されるFQDNをトラフィック管理仮想サーバーに割り当てます。たとえば、認証仮想サーバーのドメイン名が tm.xyz.bar.com の場合、アプライアンスは認証ドメインとして xyz.bar.com. を割り当てます。
CLI を使用してトラフィック管理仮想サーバを設定するには
コマンドプロンプトで、次のいずれかのコマンドセットを入力します。
set lb vserver –authentication ON -authenticationhost [-authenticationdomain ] show lb vserver set cs vserver –authentication ON -authenticationhost [-authenticationdomain ] show cs vserver
例:
set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com Done
GUI を使用してトラフィック管理仮想サーバを設定するには
ナビゲーションペインで、次のいずれかの操作を行います。
- Traffic Management > Load Balancing > Virtual Serversに移動します。
- [トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動します。
- 詳細ウィンドウで、認証を有効にする仮想サーバーを選択し、[編集] をクリックします。
- [ドメイン] テキストボックスに、認証ドメインを入力します。
- 右側の [詳細設定] メニューで、[認証] を選択します。
[フォームベース認証] または [401 ベース認証] のいずれかを選択し、認証情報を入力します。
- [フォームベース認証] で、認証 FQDN(認証サーバの完全修飾ドメイン名)、認証仮想サーバ(認証仮想サーバの IP アドレス)、および認証プロファイル(認証に使用するプロファイル)を入力します。
- 401 ベースの認証の場合は、認証仮想サーバと認証プロファイルのみを入力します。
- 「OK」をクリックします。ステータスバーに、仮想サーバーが正常に構成されたことを示すメッセージが表示されます。
認証、承認、監査の簡素化されたログインプロトコルのサポート
認証、認可、および監査トラフィック管理仮想サーバと認証、認可、および監査仮想サーバ間のログインプロトコルは、クエリパラメータを介して暗号化されたデータを送信するのではなく、内部メカニズムを使用するように簡素化されています。この機能を使用すると、リクエストのリプレイが防止されます。
DNS を構成する
認証プロセスで使用されるドメインセッション Cookie が正しく機能するには、認証とトラフィック管理の両方の仮想サーバーを同じドメイン内の FQDN に割り当てるように DNS を構成する必要があります。DNS アドレスレコードを構成する方法については、「ドメインネームシステム」を参照してください。
認証仮想サーバーを確認する
認証およびトラフィック管理仮想サーバーを構成した後、ユーザーアカウントを作成する前に、両方の仮想サーバーが正しく構成され、UP 状態であることを確認する必要があります。
CLI を使用した NoAuth 認証の設定
コマンドプロンプトで、次のコマンドを入力します。
显示身份验证vserver <名称> < !——NeedCopy >
例:
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Authentication Domain: myCompany.employee.com Done
GUI を使用して NoAuth 認証を構成する
- [セキュリティ] > [Citrix ADC AAA-アプリケーショントラフィック] > [仮想サーバー] に移動します。 注:Citrix Gateway から、[Citrix Gateway]>[仮想サーバー]に移動します。
- [AAA Virtual Servers] ペインの情報を確認して、設定が正しいこと、および認証仮想サーバがトラフィックを受け入れていることを確認します。特定の仮想サーバーを選択して、詳細ペインに詳細情報を表示できます。