所以,请下载。
偽装による認証を行うようにCitrix ADC SSOを構成することは,委任による認証を行うようにSSOを構成する場合よりも単純であるため,構成で許可されている場合は推奨されます。。。
ユーザーのパスワードがない場合は,委任によって認証されるようにCitrix ADC SSOを構成できます。偽装によって認証するようにSSOを構成するよりも複雑ですが,委任方法を使用すると,すべての状況でCitrix ADCアプライアンスがユーザーの資格情報を使用できないという柔軟性が得られます。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
Web
Kerberos SSOが管理する各网络アプリケーションサーバーでCitrix ADC Kerberos SSOを設定するには,そのサーバーの構成インターフェイスを使用して,認証を要求するようにサーバーを構成します。Kerberosをサポートしていないクライアントの場合はNTLMにフォールバックして,Kerberos(ネゴシエート)認証を優先的に選択します。
次に,認証を要求するように微软インターネットインフォメーションサーバー(IIS)を構成する手順を示します。WebアプリケーションサーバでIIS以外のソフトウェアを使用している場合は,そのWebサーバソフトウェアのマニュアルを参照して手順を確認してください。
微软IIS (windows IIS)
- 这就是:。
- 网页通篇通篇,通篇通篇,通篇通篇。IISMが管理するすべてのIIS Webサーバーに対して統合認証を有効にするには,既定のWebサイトの認証設定を構成します。個々のサービス(交换、Exadmin ExchWeb,公共など)に対して統合認証を有効にするには,これらの認証設定をサービスごとに個別に構成します。
- www.プロパティ[翻译][翻译]ディレクトリセキュリティ[中文]
- [**[中文]:[**]
- 。
- 中文:中文:Windows。統合Windows認証を有効にすると,Webサーバのプロトコルネゴシエーションが谈判,NTLMに自動的に設定される必要があります。これは,Kerberos非対応デバイスのNTLMにフォールバックするKerberos認証を指定します。このオプションが自動的に選択されない場合は,プロトコルネゴシエーションを[谈判,NTLM]に手動で設定します。
这句话的意思是
Citrix ADC SSOのKCDアカウントは,偽装によって構成できます。この構成では,Citrix ADCアプライアンスは,ユーザーが認証サーバーに対して認証されると,ユーザーのユーザー名とパスワードを取得し,その資格情報を使用してユーザーを偽装してチケット許可チケット(TGT)を取得します。。それ以外の場合は,初期認証時に使用されたSSOドメインまたはセッションプロファイルからユーザーの名前とレルムを抽出して取得します。
注
域なしでユーザー名が既に追加されている場合,域でユーザー名を追加することはできません。ドメインのあるユーザー名が最初に追加され、次にドメインのない同じユーザー名が追加された場合、Citrix ADCアプライアンスはユーザー名をユーザーリストに追加します。
KCDアカウントを設定するときは,ユーザーがアクセスしているサービスのレルムに领域パラメーターを設定する必要があります。Citrix ADCアプライアンスでの認証またはセッションプロファイルからユーザーのレルムを取得できない場合は、同じレルムがユーザーのレルムとしても使用されます。
パスワードを使用して偽装してSSOのKCDアカウントを作成するには
。
添加aaa kcdaccount -realmStr
(1)、(2)、(3)、(3)。
- アカウント名。KCDアカウント名。
- 【翻译】。Citrix ADC SSOに割り当てられたドメイン。
例
kcdccount1, KCD, kcdvserver。。
add aaa kcdAccount kcdaccount1 -keytab kcddvserver。keytab < !——NeedCopy >
Citrix ADC GUI Kerberos思杰(Citrix)(思杰。
【翻译
。
- 委任されたユーザー証明書による委任を構成する場合は,一致するCA証明書をCitrix ADCアプライアンスにインストールし,Citrix ADC構成に追加します。
- 。。
- 活动目录。
注:
NetScalerアプライアンスでのKCDアカウントの作成と構成について詳しくは,次のトピックを参照してください。
Citrix ADC
クライアント証明書を使用してCitrix ADC SSOを構成する場合は,クライアント証明書ドメインに一致するCA証明書(クライアントCA証明書)をCitrix ADCアプライアンスにコピーしてから,CA証明書をインストールする必要があります。クライアントCA証明書をコピーするには,選択したファイル転送プログラムを使用して証明書と秘密キーファイルをCitrix ADCアプライアンスに転送し,ファイルをnsconfig / sslに保存します。
Citrix ADC
。
add ssl certKey -cert [(-key [-password]) | -fipsKey ][-inform (DER | PEM)][-expiryMonitor (ENABLED | DISABLED | UNSET) [-notificationPeriod ] [-bundle (YES | NO)]
(1)、(2)、(3)、(3)。
- certKeyName。クライアントCA証明書の名前。ASCII英数字またはアンダースコア(_)文字で始まり,1 ~ 31文字で構成されている必要があります。使用できる文字は,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等号(=),ハイフン(-)です。。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「my cert」や「my cert」など)。
- 証明書。。証明書ファイルは、Citrix ADCアプライアンスの/nsconfig/ssl/ ディレクトリに保存する必要があります。
- キー。X509。キーファイルは、Citrix ADCアプライアンスの/nsconfig/ssl/ ディレクトリに保存する必要があります。
- パスワード。。。
- fipsKey。FIPSアプライアンスのハードウェアセキュリティモジュール(HSM)内で作成されたFIPSキー,またはHSMにインポートされたキーの名前。
注
。
- 通知.。
- passplain.。。
- expiryMonitor.証明書の有効期限が近づいたときにアラートを発行するようにCitrix ADCアプライアンスを構成します。笨笨,笨笨,笨笨。
- notificationPeriod.
expiryMonitor
★★★★★★★★★★★★★★★★★★★★★★★ - 包.サーバー証明書をファイル内の発行者の証明書にリンクした後,証明書チェーンを1つのファイルとして解析します。★★★★★★★★
例
客户证书,客户证书。客户密钥。pemとともにCitrix ADC構成に追加し,パスワード,証明書形式,有効期限モニター,および通知期間を設定します。
。
add ssl certKey customer-cert "/nsconfig/ssl/customer-cert。Pem " -key "/nsconfig/ssl/customer-key。-password "dontUseDefaultPWs!"-inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]
KCDアカウントの作成
Citrix ADC SSOを委任で構成する場合は,ユーザーのログオン名とパスワードを使用するか,ユーザーのログオン名とキータブを使用するか,ユーザーのクライアント証明書を使用するように,KCDアカウントを構成できます。当当当当名とパスワードを使用してSSOを構成すると、Citrix ADCアプライアンスは委任されたユーザーアカウントを使用してチケット交付チケット(TGT)を取得し、TGTを使用して各ユーザーが要求する特定のサービスのサービスチケットを取得します。キータブファイルを使用してSSOを構成すると、Citrix ADCアプライアンスは委任されたユーザーアカウントとキータブ情報を使用します。委任ユーザー証明書を使用してSSOを構成すると、Citrix ADCアプライアンスは委任ユーザー証明書を使用します。
パスワードを使用して委任してSSOのKCDアカウントを作成するには
。
add aaa kcdAccount {-keytab } {-realmStr } {-delegatedUser } {-kcdPassword} {-usercert } {-cacert } [-userRealm ] [-enterpriseRealm ] [-serviceSPN ]
(1)、(2)、(3)、(3)。
- kcdAccount-kcd。草皮、草皮、草皮。最大長:31
- keytab-。。最大長:127
- realmStr-。最大長:255
- delegatedUser-Kerberos:。最大長:255
- kcdPassword-。最大長:31
usercert——委任されたユーザーのSSL証明書(秘密キーを含む)。最大長:255
cacert-用户证书PKINIT。最大長:255
userRealm-。最大長:255
EnterpriseRealm-。これは,KDCがプリンシパル名ではなくエンタープライズユーザー名を要求する特定のKDC展開でのみ指定されます。最大長:255
- serviceSPN-刷刷刷。Kerberos, Kerberos, Kerberos, Kerberos。指定しない場合,Citrix ADCはサービスFQDNを使用してSPNを構築します。最大長:255
(同位语从句)
パスワード1,レルムEXAMPLE.COMを使用して,委任されたユーザーアカウントをUPN形式(根)で指定して,kcdaccount1という名前のKCDアカウントをCitrix ADCアプライアンス構成に追加するには,次のコマンドを入力します。
add aaa kcdaccount kcdaccount1 -delegatedUser root -kcdPassword password1 -realmStr EXAMPLE.COM
【翻译】
パスワード1,レルムEXAMPLE.COMで委任されたユーザーアカウントをSPN形式で指定して,kcdaccount1という名前のKCDアカウントをCitrix ADCアプライアンス構成に追加するには,次のコマンドを入力します。
add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM -delegatedUser "host/kcdvserver.example.com" -kcdPassword password1
キータブを使用した委任によるSSOのKCDアカウントの作成
。キータブファイルは,广告サーバーにログオンしてktpass
ユーティリティを使用して手動で作成することも,Citrix ADC構成ユーティリティを使用してバッチスクリプトを作成し,そのスクリプトを广告サーバーで実行してキータブファイルを生成することもできます。次に、FTPまたは別のファイル転送プログラムを使用してキータブファイルをCitrix ADCアプライアンスに転送し,/ nsconfig krbディレクトリに配置します。最後に,委任によってCitrix ADC SSOのKCDアカウントを構成し,キータブファイルのパスとファイル名をCitrix ADCアプライアンスに指定します。
Keytab
广告服务器コマンドラインにログオンし,コマンドプロンプトで次のコマンドを入力します。
ktpass princ ptype KRB5_NT_PRINCIPAL mapuser pass -out
(1)、(2)、(3)、(3)。
- SPN)。【翻译】【翻译】【翻译】
- ドメイン。活动目录。
- 用户名)中文:Ksa。
- パスワード。Ksa。
- 道。。
Citrix ADC構成ユーティリティを使用して,keytabファイルを生成するスクリプトを作成するには
- 。
- データウィンドウの[Kerberos}, [バッチファイル[中文]键键键键
- 「KCD (Kerberos)“。
- ドメインユーザー名。Ksa。
- ドメインパスワード。Ksa。
- サービスプリンシパルKsa。
- 【翻译。。
- [。[au:] [au:]
- [【翻译[au:]
- 活动目录,。
- [【中文译文】【中文译文】【中文译文、活动目录。キータブが生成され,”出力ファイル名”(输出文件名称)として指定したファイル名のディレクトリに格納されます。
- 選択したファイル転送ユーティリティを使用して,キータブファイルをActive Directory yサーバーからCitrix ADCアプライアンスにコピーし,/ nsconfig krbディレクトリに配置します。
KCDアカウントを作成するには
。
添加aaa kcdaccount -keytab
例
kcdccount1, KCD, kcdvserver。。
添加aaa kcdaccount kcdaccount1 -keytab kcdvserver。keytab < !——NeedCopy >
委任されたユーザー証明書を使用して委任によってSSOのKCDアカウントを作成するには
。
add aaa kcdaccount -realmStr -delegatedUser -usercert -cacert
(1)、(2)、(3)、(3)。
- アカウント名。。
- realmStr。。。
- 齐全齐全。求生求生求生求生求生求生求生。
- usercert。Citrix ADCアプライアンス上の委任ユーザー証明書ファイルのフルパスと名前。委任されたユーザー証明書には、クライアント証明書と秘密キーの両方が含まれていて、PEM 形式である必要があります。スマートカード認証を使用する場合は、秘密キーとともに証明書をインポートできるように、スマートカード証明書テンプレートを作成する必要があります。
- cacert。Citrix ADCアプライアンス上のCA証明書ファイルへのフルパスと名前。
例
kcdccount1, KCD, kcdvserver。。
添加aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM -delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert -cacert /cacerts/cacert
Citrix ADC单点登录活动目录
委任によってSSOを構成する場合は,Citrix ADCアプライアンスにKcdAccountを作成することに加えて,一致するKerberosサービスアカウント(KSA)をActive Directory LDAPサーバー上に作成し,そのサーバーをSSO用に構成する必要があります。KSAを作成するには,Active Directoryサーバでアカウント作成プロセスを使用します。Active DirectoryサーバでSSOを設定するには,KSAのプロパティウィンドウを開きます。[委任]タブで[指定したサービスへの委任に対してのみこのユーザーを信頼する]と[任意の認証プロトコルを使用する]オプションを有効にします。(Kerberos只有オプションは,プロトコルの移行や制約付き委任を有効にしないため,機能しません)。思杰(Citrix) ADC SSO。
注
KSAアカウントのプロパティダイアログボックスに[委任]タブが表示されない場合は,説明どおりにKSAを構成する前に,微软のsetspnコマンドラインツールを使用して,タブが表示されるようにActive Directoryサーバーを構成する必要があります。
Kerberos, Kerberos, Kerberos, Kerberos
- 作成したKerberosサービスアカウントの(LDAPアカウント構成]ダイアログボックスで,(委任[中文]
- [指定したサービスへの委任に対してのみ,このユーザーを信頼する[au:]
- (指定したサービスへの委任に対してのみこのユーザーを信頼する]で,(任意の認証プロトコルを使用する[au:]
- [], [【中文译文】
- [这是我的梦想[翻译][翻译]当当当当] [qh]コンピューター> > > > > > > > > > > > > > > > > > > > >(ok) ? ? ?
注
- 制約付き委任では,Kerberosが他のドメインと信頼関係を持っている場合でも,アカウントに割り当てられたドメイン以外のドメインでホストされているサービスはサポートされません。
- 活动目录(Active Directory)
setspn
? ? ?setspn -A host/kcdvserver.example.com example\kcdtest
- [这是我的梦想]ダイアログボックスの[利用可能なサービス]リストに戻り,サービスアカウントに割り当てられているサービスを選択します。Citrix ADC单点登录,HTTP, MSSQLSVC,。
- 好吧!
KCDアカウントの設定に高度な暗号化を使用する場合の注意点
- 中文:中文:
添加kcdaccount lbvs_keytab_aes256 -keytab "/nsconfig/krb/kcd2_aes256.keytab"
- 。。kcdaccount lbvs_keytab_aes256-keytab " /nsconfig/krb/kcd2_aes256.keytab " .-domainUser " http/lbvs.aaa.LOCAL "
- 。
add kcdaccount kslb2_user -realmStr AAA.LOCAL -delegatedUser lbvs -kcdPassword
. add kcdaccount - ◆◆domainUser中文:我的意思是,我的意思是,我的意思是,我的意思是。广告でユーザーログオン名を検索できます。