Citrix ADC SSOをセットアップする

Citrix ADC SSOは，偽装または委任の2つの方法のいずれかで動作するように構成できます。偽装によるSSOは委任によるSSOよりも単純な構成であるため,通常は,構成で許可されている場合に適しています。偽装によってCitrix ADC SSOを構成するには,ユーザーのユーザー名とパスワードが必要です。

委任によってCitrix ADC SSOを構成するには,ユーザーのユーザー名とパスワード,ユーザー名と暗号化されたパスワードを含むキータブ構成,または委任されたユーザー証明書と一致するCA証明書のいずれかの形式で委任されたユーザーの資格情報が必要です。

Citrix ADC SSOを構成するための前提条件

Citrix ADC SSOを構成する前に,Citrix ADCアプライアンスを完全に構成して,Webアプリケーションサーバーへのトラフィックと認証を管理する必要があります。したがって,これらのWebアプリケーションサーバーに対して負荷分散またはコンテンツスイッチを構成し,認証,承認,および監査を構成する必要があります。アプライアンス、LDAPサーバ,およびKerberosサーバ間のルーティングも確認する必要があります。

ネットワークがこの方法でまだ設定されていない場合は，次の設定作業を実行します。

• 网站アプリケーションサーバーごとにサーバーとサービスを構成します。
• Webアプリケーションサーバーとの間で送受信されるトラフィックを処理するようにトラフィック管理仮想サーバーを構成します。

次に,Citrix ADCコマンドラインからこれらの各タスクを実行するための簡単な手順と例を示します。詳細については，”認証仮想サーバーのセットアップを参照してください。

注

Citrix ADC 13.1リリース以降,Citrix ADCアプライアンスからのバックエンドサーバーのKerberos SSO認証中に,ルートドメインとツリードメイン間のトラバーサルがサポートされます。

cliを使用してサーバーとサービスを作成するには

Citrix ADC SSOがサービスのTGS(サービスチケット)を取得するには,Citrix ADCアプライアンスのサーバーエンティティに割り当てられたFQDNがWebアプリケーションサーバーのFQDNと一致するか,サーバーエンティティ名がWebアプリケーションサーバーのNetBIOS名と一致する必要があります。次のいずれかの方法を使用できます。

• WebアプリケーションサーバーのFQDNを指定して,Citrix ADCサーバーエンティティを構成します。
• WebアプリケーションサーバーのIPアドレスを指定してCitrix ADCサーバーエンティティを構成し,サーバーエンティティにWebアプリケーションサーバーのNetBIOS名と同じ名前を割り当てます。

コマンドプロンプトで，次のコマンドを入力します。

- add服务名称 - add服务名称serverName serviceType端口

変数の場合は，次の値を置き換えます。

• サーバー名。このサーバーを参照するために使用するCitrix ADCアプライアンスの名前。
• serverFQDN。サーバーのfqdn。サーバにドメインが割り当てられていない場合は,サーバのIPアドレスを使用し,サーバエンティティ名がWebアプリケーションサーバのNetBIOS名と一致することを確認します。
• サービス名。このサービスを参照するために使用するCitrix ADCアプライアンスの名前。
• タイプ。サービスによって使用されるプロトコル(httpまたはmssqlsvc)。
• ポート。サービスがリッスンするポート。HTTPサービスは通常，ポート80でリッスンします。セキュアHTTPSサービスは通常，ポート443でリッスンします。

例：

次の例では、Webアプリケーションサーバーwas1.example.comのCitrix ADCアプライアンスにサーバーエントリとサービスエントリを追加します。最初の例ではWebアプリケーションサーバーのFQDNを使用し,2番目の例ではIPアドレスを使用します。

WebアプリケーションサーバーのFQDNであるwas1.example.comを使用してサーバーとサービスを追加するには,次のコマンドを入力します。

add server was1 was1.example.com add service was1 was1 HTTP 80 

WebアプリケーションサーバーのIPアドレスとNetBIOS名(WebアプリケーションサーバーのIPアドレスは10.237.64.87,NetBIOS名はWAS1)を使用してサーバーとサービスを追加するには,次のコマンドを入力します。

add server WAS1 10.237.64.87 add service WAS1 service WAS1 HTTP 8 

Cliを使用してトラフィック管理仮想サーバーを作成するには

トラフィック管理仮想サーバは,クライアントとWebアプリケーションサーバ間のトラフィックを管理します。トラフィック管理サーバーとして,負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーを使用できます。Sso設定はどちらのタイプでも同じです。

負荷分散仮想サーバーを作成するには，コマンドプロンプトで次のコマンドを入力します。

添加lb vserver     

変数の場合は，次の値を置き換えます。

• vServerName:この仮想サーバーを参照するために使用するCitrix ADCアプライアンスの名前。
• 类型:サービスによって使用されるプロトコル(httpまたはmssqlsvc)。
• ［知识产权:仮想サーバに割り当てられたIPアドレス。これは通常，局域网上のiana予約済みの非パブリックIPアドレスです。
• 港口:サービスがリッスンするポート。HTTPサービスは通常，ポート80でリッスンします。セキュアHTTPSサービスは通常，ポート443でリッスンします。

例：

tmvserver1という名前の負荷分散仮想サーバーを,ポート80のHTTPトラフィックを管理する構成に追加し,局域网IPアドレス10.217.28.20を割り当てて,負荷分散仮想サーバーをwasservice1サービスにバインドするには,次のコマンドを入力します。

add lb vserver tmvserver1 HTTP 10.217.28.20 80 bind lb vserver tmvserv1 wasservice1 

Cliを使用して認証仮想サーバーを作成するには

認証仮想サーバは，クライアントと認証(ldap)サーバ間の認証トラフィックを管理します。認証仮想サーバーを作成するには，コマンドプロンプトで次のコマンドを入力します。

添加认证vserver  SSL  443 

変数の場合は，次の値を置き換えます。

• authvServerName:この認証仮想サーバーを参照するために使用するCitrix ADCアプライアンスの名前。文字,数字,またはアンダースコア文字(_)で始まり,文字,数字,ハイフン(-),ピリオド(.)ポンド(#),スペース(),アットマーク(@),等号(=),コロン(:),およびアンダースコア文字のみを含める必要があります。認証仮想サーバーを追加した後で重命名认证vserverコマンドを使用して変更できます。
• ［知识产权:認証仮想サーバに割り当てられたIPアドレス。トラフィック管理仮想サーバと同様に,このアドレスは通常,LAN上のIANA予約済みの非パブリックIPになります。
• 域:仮想サーバに割り当てられたドメイン。これは通常，ネットワークのドメインになります。認証仮想サーバーを構成するときは、必須ではありませんが、すべての大文字でドメインを入力するのが通例です。

例：

authverver1という名前の認証仮想サーバーを構成に追加し,局域网IP 10.217.28.21とドメインEXAMPLE.COMを割り当てるには,次のコマンドを入力します。

添加认证vserver authvserver1 SSL 10.217.28.21 443 

認証プロファイルを使用するようにトラフィック管理仮想サーバを構成するには

認証仮想サーバーは，単一ドメインまたは複数のドメインの認証を処理するように構成できます。複数のドメインの認証をサポートするように構成されている場合は,認証プロファイルを作成し,その認証プロファイルを使用するようにトラフィック管理仮想サーバーを構成して,Citrix ADC SSOのドメインも指定する必要があります。

注

トラフィック管理仮想サーバは,負荷分散(磅)仮想サーバまたはコンテンツスイッチング(cs)仮想サーバのいずれかになります。次の手順は，負荷分散仮想サーバーを使用していることを前提としています。コンテンツスイッチ仮想サーバーを構成するには,集磅vserverを设置cs vserverに置き換えるだけです。それ以外の手順は同じです。

認証プロファイルを作成し,トラフィック管理仮想サーバーで認証プロファイルを構成するには,次のコマンドを入力します。

- add authentication authnProfile  {- authvservername } {- authenticationhost } {- authenticationdomain } - set lb vserver  -authnProfile  

変数の場合は，次の値を置き換えます。

• authnProfileName:認証プロファイルの名前。英字,数字,またはアンダースコア文字(_)で始まり,1 ~ 31の英数字またはハイフン(-),ピリオド(。),ポンド(#),スペース(),アットマーク(@),等号(=),コロン(:),およびアンダースコア文字で構成する必要があります。
• authvServerName:このプロファイルが認証に使用する認証仮想サーバの名前。
• AuthenticationHost:認証仮想サーバのホスト名。
• 認証ドメイン-Citrix ADC SSOが認証を処理するドメイン。認証仮想サーバーが複数のドメインの認証を実行する場合に必要です。これにより、Citrix ADCアプライアンスがトラフィック管理仮想サーバーのCookieを設定するときに正しいドメインが含まれます。

例：

example.comドメインの認証用にauthnProfile1という名前の認証プロファイルを作成し,認証プロファイルauthnProfile1を使用するように負荷分散仮想サーバーvserver1を構成するには,次のコマンドを入力します。

add authentication authnProfile authnProfile1 -authnvsName authvserver1 -authenticationHost authvserver1 -authenticationDomain example.com set lb vserver vserver1 -authnProfile authnProfile1