【翻译】:

Citrix ADCおよびCitrix网关のシングルサインオン(SSO)構成は,グローバルレベルでもトラフィックレベルでも有効にできます。so, so, so从。【中文翻译】思杰斯(Citrix):，。この機能強化は,特定の種類のSSOメソッドをグローバルに適用しないことで,SSO構成をより安全にするためです。

注：

Citrix ADC機能リリース13.0ビルド64.35以降では,以下のSSOタイプはグローバルに無視されています。

• 我非常喜欢你
• ダイジェストアクセス認証
• ネゴシエートNTLM2キーまたはネゴシエートサインなしのNTLM

so

★★★★★★★★★★★★★★★★★★★

• Kerberos格雷米
• saml
• フォームベース認証
• 我很喜欢你
• NTLM

【翻译

因此，我认为这是一个很好的例子。

グローバル構成

set tmsessionparam -SSO ON set vpn参数-SSO ON add tmsessionaction tm_act -SSO ON add vpn sessionaction tm_act -SSO ON 

トラフィックごとの設定

添加vpn流量tf_act http -单点登录——NeedCopy >

あなたはできる启用/禁用SSO全体であり,個々のSSOタイプを変更することはできません。

適用すべきセキュリティ対策

セキュリティ対策の一環として,セキュリティに敏感なSSOタイプはグローバル設定では無視されますが,トラフィックアクション設定でのみ許可されます。そのため,バックエンドサーバーがネゴシエートNTLM2キーやネゴシエートサインなしでベーシック,ダイジェスト,またはNTLMを想定している場合,管理者は次の構成でのみSSOを許可できます。

トラフィックアクション

添加vpn流量tf_act http -单点登录——NeedCopy >

交通政策

添加VPN流量策略  tf_act添加VPN流量策略  tf-act 

信頼できるバックエンドサーバーでのみSSOが有効になるように,管理者はトラフィックポリシーに適切なルールを設定する必要があります。

AAA-TM

グローバル構成に基づくシナリオ:

set tmsessionparam -SSO ON 

回避策:

添加tm trafficaction tf_act -SSO ON添加tm trafficpolicy tf_pol true tf_act——NeedCopy >

因此，。

绑定lb vserver < lb VS Name> -policy tf_pol -priority 65345 

【翻译】

添加tmsessionaction tm_act -SSO ON添加tmsession policy   tm_act添加tmtrafficaction tf_act -SSO ON添加tmtrafficpolicy tf_pol <与会话策略>相同的规则tf_act 

注意点:

• 前のセッションポリシーのCitrix ADC AAAユーザー/グループは,トラフィックポリシーに置き換える必要があります。

• 。

bind lb vserver [lb VS Name] -policy tf_pol -priority 65345 

• 。

次のセクションでは,トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

。SSO機能変更のグローバル設定のため,優先度が高い(SSO設定が必要ない)TMトラフィックポリシーがすでに適用されている場合は,優先度の低いTMトラフィックポリシーを追加で適用できない場合があります。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

負荷分散(磅)仮想サーバーには,優先順位の高い次の3つのトラフィックポリシーが適用されているとします。

add tm trafficaction tf_act1 <新增配置> add tm trafficaction tf_act2 <新增配置> add tm trafficaction tf_act3 <新增配置> add tm trafficpolicy tf_pol1  tf_act1 add tm trafficpolicy tf_pol2  tf_act2 add tm trafficpolicy tf_pol3  tf_act3 bind lb vserver < lb VS Name> -policy tf_pol1 -priority 100 bind lb vserver < lb VS Name> -policy tf_pol2 -priority 200 bind lb vserver < lb VS Name> -policy tf_pol3 -priority 300 

。

add tm trafficaction tf_act_default -SSO ON add tm trafficpolicy tf_pol_default true tf_act_default bind lb vserver < lb VS Name> -policy tf_pol_default -priority 65345 

注:上記の変更により,< tf_pol1 / tf_pol2 / tf_pol3 >トラフィックポリシーとしてヒットするトラフィックのSSOが壊れる可能性があります。< tf_pol_default>}。

正しい方法——これを軽減するには,対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば,前述のシナリオでは,tf_pol1 / tf_pol3に到達するトラフィックに対してSSOが発生するには,次の設定を< tf_pol_default >。

add tm trafficaction tf_act1 <添加配置> -SSO ON添加tm trafficaction tf_act3 <添加配置> -SSO ON 

Citrix网关

グローバル構成に基づくシナリオ:

set vpnparameter -SSO ON 

回避策:

add vpn trafficaction vpn_tf_act http -单点登录ON添加vpn trafficpolicy vpn_tf_pol true vpn_tf_act为所有需要单点登录的vpn虚拟服务器绑定如下流策略:bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345 

【翻译】

添加vpnsessionaction vpn_sess_act -SSO ON添加vpnsession策略  vpn_sess_act 

注意事項：

• 前のセッションポリシーのCitrix ADC AAAユーザー/グループは,トラフィックポリシーに置き換える必要があります。

• 我的意思是，我的意思是，我的意思是绑定lb虚拟服务器[lb VS名称]-policy tf_pol -priority 65345★★★★★★★★★★★★★★★★★

• 。次のセクションでは,トラフィックに関連する複数のトラフィックポリシーとの競合に基づくシナリオについて説明します。

:

特定のCitrix网关トラフィックには,1つのVPNトラフィックポリシーのみが適用されます。SSO機能変更のグローバル設定のため,必要なSSO設定がない優先度の高いVPNトラフィックポリシーが他にある場合は,優先度の低いVPNトラフィックポリシーを追加して適用できない場合があります。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

3 .。

add vpn trafficaction tf_act1 <添加配置> add vpn trafficaction tf_act2 <添加配置> add vpn trafficaction tf_act3 <添加配置>添加vpn trafficpolicy tf_pol1  tf_act1添加vpn trafficpolicy tf_pol2  tf_act2添加vpn trafficpolicy tf_pol3  tf_act3 bind vpn vserver < vpn VS Name> -policy tf_pol1 -priority 100 bind vpn vserver < vpn VS Name> -policy tf_pol2 -priority 200 bind vpn vserver < vpn VS Name> -policy tf_pol3 -priority 300 

【中文译文】グローバルSSO構成を解決するには,次の構成を追加します。

添加vpn trafficaction tf_act_default -SSO ON添加vpn trafficpolicy tf_pol_default true tf_act_default绑定vpn vserver < vpn VS Name> -policy tf_pol_default -priority 65345 

注:上記の変更により,< tf_pol1 / tf_pol2 / tf_pol3 >トラフィックポリシーとしてヒットするトラフィックのSSOが壊れる可能性があります。< tf_pol_default>}。

★★★★★これを軽減するには,対応するトラフィックアクションごとにSSOプロパティを個別に適用する必要があります。

たとえば,前述のシナリオでは,tf_pol1 / tf_pol3に到達するトラフィックに対してSSOが発生するには,次の設定を< tf_pol_default >。

add vpn trafficaction tf_act1[附加配置]-SSO ON add vpn trafficaction tf_act3[附加配置]-SSO ON