ユーザー、ユーザーグループ、およびコマンドポリシー
最初にアカウントを持つユーザーを定義してから、すべてのユーザーをグループに編成する必要があります。コマンドポリシーを作成するか、組み込みのコマンドポリシーを使用して、コマンドへのユーザーアクセスを規制できます。
注:
トラフィック管理のCitrixADC認証および承認セットアップの一部としてユーザーおよびユーザーグループを構成する方法の詳細については、「ユーザーとグループの構成」トピックを参照してください。
また、ユーザーのコマンドラインプロンプトをカスタマイズすることもできます。プロンプトは、ユーザーの構成、ユーザーグループ構成、およびグローバルシステム構成設定で定義できます。ユーザに対して表示されるプロンプトは、次の優先順位です。
- ユーザーの構成で定義されているプロンプトを表示します。
- ユーザーのグループのグループ構成で定義されているプロンプトを表示します。
- システムグローバル設定に定義されているプロンプトを表示します。
システムユーザの非アクティブ CLI セッションのタイムアウト値を指定できるようになりました。ユーザーのCLIセッションがタイムアウト値を超えた時間アイドル状態である場合、Citrix ADCアプライアンスは接続を終了します。タイムアウトは、ユーザーの構成、ユーザーグループ構成、またはグローバルシステム構成設定で定義できます。ユーザの非アクティブ CLI セッションのタイムアウトは、次の優先順位によって決まります。
- [ユーザー設定]:
- ユーザーのグループのグループ構成
- グローバルシステム構成設定。
Citrix ADC ルート管理者は、システムユーザーの最大同時セッション制限を設定できます。制限を制限することで、開いている接続の数を減らし、サーバーのパフォーマンスを向上させることができます。CLI カウントが設定された制限内であれば、同時ユーザは GUI に何回でもログインできます。ただし、CLI セッションの数が設定された制限に達すると、ユーザは GUI にログオンできなくなります。たとえば、同時セッションの数が 20 に設定されている場合、同時ユーザーは 19 の CLI セッションにログオンできます。ただし、ユーザーが20thCLIセッションにログオンしている場合、GUI、CLI、またはNITROにログオンしようとすると、エラーメッセージが表示されます((エラー:CFEへの接続制限を超えました)。
注:
デフォルトでは、同時セッション数は 20 に設定され、同時セッションの最大数は 40 に設定されています。
ユーザーアカウントの構成
ユーザーアカウントを構成するには、ユーザー名とパスワードを指定するだけです。パスワードの変更やユーザーアカウントの削除はいつでも行えます。
注:
パスワードのすべての文字が受け入れられるわけではありません。ただし、引用符で囲んだ文字を入力すると機能します。
また、文字列は最大長の127文字を超えてはなりません。
コマンドラインインターフェイスを使用してユーザーアカウントを作成するには
コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントを作成し、構成を確認します。
add system user[-externalAuth ( ENABLED | DISABLED )] [-promptString ] [-timeout \ ] [-logging ( ENABLED | DISABLED )] [-maxsession ] show system user
外部ユーザーは、「logging」パラメーターを構成して、Webロギングまたは監査ロギングメカニズムを使用して外部ログを収集できます。パラメータが有効になっている場合、監査クライアントはCitrix ADCアプライアンスで自身を認証してログを収集します。
例:
> add system user johnd -promptString user-%u-at-%T
Enter password: Confirm password: > show system user johnd user name: john Timeout:900 Timeout Inherited From: Global External Authentication: ENABLED Logging: DISABLED Maximum Client Sessions: 20 パラメータの説明については、「認証および認可ユーザコマンドリファレンス」を参照してください。
Citrix ADC GUI を使用してユーザーアカウントを構成する
- System>User Administration>用户に移動してユーザーを作成します。
- 詳細ウィンドウで、[追加]をクリックしてシステムユーザーを作成します。
[Create System Group]ページで、次のパラメーターを設定します。
- ユーザー名:ユーザーグループの名前。
- CLIプロンプト。CLIインターフェイスアクセス用に設定するプロンプト。
- アイドルセッションのタイムアウト(秒)。セッションがタイムアウトして閉じる前に、ユーザーが非アクティブにできる時間を設定します。
- 最大セッション数。ユーザーが試行できるセッションの最大数を設定します。
- ロギング特権を有効にします。ユーザーのロギング特権を有効にします。
- 外部認証を有効にする。ユーザーを認証するために外部認証サーバーを使用する場合は、オプションを選択します。
- 許可された管理インターフェイス。 ユーザーグループにアクセス許可が付与されているCitrix ADCインターフェイスを選択します。
- コマンドポリシー。コマンドポリシーをユーザーグループにバインドします。
- パーティション。パーティションをユーザーグループにバインドします。
- [作成]して[閉じる]をクリックします。
ユーザーグループを構成する
ユーザーグループを構成したら、グループ内のすべてのユーザーに同じアクセス権を簡単に付与できます。グループを構成するには、グループを作成し、ユーザーをグループにバインドします。各ユーザーアカウントを複数のグループにバインドできます。ユーザーアカウントを複数のグループにバインドすると、コマンドポリシーをより柔軟に適用できます。
コマンドラインインターフェイスを使用してユーザーグループを作成するには
コマンド・プロンプトで次のコマンドを入力して、ユーザー・グループを作成し、構成を確認します。
add system group[-promptString ] [-timeout ] show system group
例:
>添加系统组经理-promptString Group-Managers-at-%h
CLIを使用してユーザーアカウントをグループにバインドする
コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントをグループにバインドし、構成を確認します。
bind system group-userName show system group
例:
> bind system group Managers -userName user1
Citrix ADC GUI を使用してユーザグループを構成する
- System>User Administration>Groupsに移動してユーザーグループを作成します。
- 詳細ウィンドウで、システムユーザーグループを作成するには、[追加]をクリックします。
[Create System Group]ページで、次のパラメーターを設定します。
- グループ名。ユーザーグループの名前。
- CLIプロンプト。CLIインターフェイスアクセス用に設定するプロンプト。
- アイドルセッションのタイムアウト(秒)。セッションがタイムアウトして閉じる前に、ユーザーが非アクティブにできる時間を設定します。
- 許可された管理インターフェイス。 ユーザーグループにアクセス許可が付与されているCitrix ADCインターフェイスを選択します。
- メンバー。グループにユーザーアカウントを追加します。
- コマンドポリシー。コマンドポリシーをユーザーグループにバインドします。
- パーティション。パーティションをユーザーグループにバインドします。
- [作成]して[閉じる]をクリックします。
注:
グループにメンバーを追加するには、[メンバー]セクションで[追加]をクリックします。「使用可能」リストからユーザーを選択し、「構成済み」リストに追加します。
コマンドポリシーの設定
コマンドポリシーは、ユーザーおよびユーザーグループの使用を許可するコマンド、コマンドグループ、仮想サーバー、およびその他のエンティティを規制します。
アプライアンスには一連の組み込みコマンドポリシーが用意されており、カスタムポリシーを設定できます。ポリシーを適用するには、ポリシーをユーザーまたはグループにバインドします。
ここでは、コマンドポリシーを定義および適用する際に留意すべき重要なポイントを示します。
- グローバルコマンドポリシーは作成できません。コマンドポリシーは、アプライアンス上のユーザーとグループに直接バインドする必要があります。
- コマンドポリシーが関連付けられていないユーザまたはグループは、デフォルト(DENY-ALL)コマンドポリシーに従うため、適切なコマンドポリシーがアカウントにバインドされるまで、構成コマンドを実行できません。
- すべてのユーザーは、自分が属するグループのポリシーを継承します。
- コマンドポリシーをユーザアカウントまたはグループアカウントにバインドするときは、コマンドポリシーに優先順位を割り当てる必要があります。これにより、複数の競合するポリシーが同じユーザーまたはグループに適用される場合に、アプライアンスが優先度を持つポリシーを判断できるようになります。
- 次のコマンドは、デフォルトですべてのユーザが使用でき、指定したコマンドの影響を受けません。
- ヘルプ、CLI 属性の表示、CLI プロンプトの設定、CLI プロンプトのクリア、CLI プロンプトの表示、エイリアス、エイリアスの解除、履歴、終了、whoami、設定、CLI モードの設定、CLI モードの設定解除、CLI モードの表示
次の表は、組み込みポリシーの説明です。
| ポリシー名 | 許可内容 |
|---|---|
| read-only | show ns runningConfig、show ns ns.conf、および Citrix ADC コマンドグループの show コマンドを除くすべての show コマンドへの読み取り専用アクセス。 |
| operator | 読み取り専用のアクセスと、サービスおよびサーバーを有効または無効にするコマンドへのアクセス。 |
| network | フルアクセス。ただしset and unset SSLコマンドの設定と解除、show ns ns.conf、show ns runningConfig、show gslb runningConfigコマンドを除きます。 |
| sysadmin | [Citrix ADC 12.0以降に含まれる] Sysadminはスーパーユーザーよりも低いが、アプライアンスで許可されるアクセス条件です。sysadminユーザーは、Citrix ADCシェルにアクセスできない、ユーザー構成を実行できない、パーティション構成を実行できない、sysadminコマンドポリシーに記載されているその他の構成を除いて、すべてのCitrix ADC操作を実行できます。 |
| superuser | フルアクセス。nsrootユーザーと同じ権限。 |
カスタムコマンドポリシーの作成
よりカスタマイズされた式を維持するためのリソースを持つユーザーや、正規表現が提供する柔軟性を必要とするデプロイメントには、正規表現のサポートが提供されます。ほとんどのユーザーにとって、組み込みのコマンドポリシーで十分です。より多くのレベルの制御が必要であるが正規表現に慣れていないユーザーは、ポリシーの可読性を維持するために、このセクションで提供される例のような単純な式のみを使用することをお勧めします。
正規表現を使用してコマンドポリシーを作成する場合は、次の点に注意してください。
- コマンドポリシーの影響を受けるコマンドを定義するために正規表現を使用する場合は、コマンドを二重引用符で囲む必要があります。たとえば、show で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
- “^show .*$”
- rm で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
- “^rm .*$”
- コマンドポリシーで使用される正規表現では、大文字と小文字が区別されません。
次の表に、コマンドポリシーの正規表現の例を示します。
| コマンド仕様 | これらのコマンドに一致します。 |
|---|---|
| “^rm\s+.*$” | すべての削除アクションはrm文字列で始まり、その後にスペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などのパラメーターが続くため、すべての削除アクション。 |
| “^show\s+.*$” | すべてのshowコマンドは、すべてのshowアクションがshow文字列で始まり、その後にスペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などのパラメーターが続くためです。 |
| “^shell$” | シェルコマンドだけですが、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータと組み合わせることはできません。 |
| “^add\s+vserver\s+.*$” | すべてが仮想サーバーアクションを作成します。これは、仮想サーバーコマンドの追加と、それに続くスペース、およびコマンドグループ、コマンドオブジェクトタイプ、引数などのパラメーターで構成されます。 |
| “^add\s+(lb\s+vserver)\s+.*” | すべてがlb仮想サーバーアクションを作成します。これは、add lb仮想サーバーコマンドとそれに続くスペース、およびコマンドグループ、コマンドオブジェクトタイプ、引数などのパラメーターで構成されます。 |
組み込みコマンドポリシーの詳細については、「組み込みコマンドポリシーテーブル」を参照してください。
コマンドラインインターフェイスを使用してコマンドポリシーを作成するには
コマンドプロンプトで次のコマンドを入力して、コマンドポリシーを作成し、構成を確認します。
add system cmdPolicyshow system cmdPolicy
例:
add system cmdPolicy USER-POLICY ALLOW (\ server\ )|(\ service(Group)*\ )|(\ vserver\ )|(\ policy\ )|(\ policylabel\ )|(\ limitIdentifier\ )|(^show\ (?!(system|ns\ (ns.conf|runningConfig))))|(save)|(stat\ .*serv)
Citrix ADC GUI を使用してコマンドポリシーを設定する
- System>User Administration>Command Policiesに移動します。
- 詳細ウィンドウでAddをクリックして新しいコマンドポリシーを作成します。
[コマンドポリシーの構成]ページで、次のパラメータを設定します。
- ポリシー名
- 操作(アクション)
- コマンド仕様
- [OK]をクリックします。
コマンドポリシーをユーザーアカウントとユーザーグループにバインドする
コマンドポリシーを定義したら、それらを適切なユーザアカウントおよびグループにバインドする必要があります。ポリシーをバインドする場合は、2 つ以上の適用可能なコマンドポリシーが競合している場合に、アプライアンスが従うコマンドポリシーを決定できるように、ポリシーに優先順位を割り当てる必要があります。
コマンドポリシーは、次の順序で評価されます。
- ユーザと対応するグループに直接バインドされたコマンドポリシーは、プライオリティ番号に従って評価されます。プライオリティ番号が小さいコマンドポリシーは、プライオリティ番号が高いポリシーポリシーよりも先に評価されます。したがって、小さい番号のコマンドポリシーが明示的に許可または拒否する特権は、大きい番号のコマンドポリシーによって上書きされません。
- 2 つのコマンドポリシー(1 つはユーザアカウントにバインドされ、もう 1 つはグループにバインドされたコマンドポリシー)が同じプライオリティ番号を持つ場合、ユーザアカウントに直接バインドされたコマンドポリシーが最初に評価されます。
コマンドラインインターフェイスを使用してコマンドポリシーをユーザーにバインドするには
コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーにバインドし、構成を確認します。
bind system user-policyName show system user
例:
> bind system user user1 -policyName read_all 1
Citrix ADC GUI を使用してコマンドポリシーをユーザーにバインドする
System>User Administration>用户に移動してユーザーを選択し、コマンドポリシーをバインドします。
オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。
コマンドラインインターフェイスを使用してコマンドポリシーをグループにバインドするには
コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーグループにバインドし、構成を確認します。
bind system group-policyName show system group
例:
> bind system group Managers -policyName read_all 1
Citrix ADC GUI を使用してコマンドポリシーをグループにバインドする
[システム]>[ユーザー管理]>[グループ]に移動し、グループを選択し、コマンドポリシーをバインドします。
オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。
ユースケースの例:製造組織のユーザーアカウント、ユーザーグループ、およびコマンドポリシーを管理する
次に、ユーザアカウント、グループ、およびコマンドポリシーの完全なセットを作成し、各ポリシーを適切なグループおよびユーザにバインドする例を示します。サンプルマニュファクチャリング社には、Citrix ADCアプライアンスにアクセスできる3人のユーザーがいます。
ジョン・ドーITマネージャ。Johnは、Citrix ADC構成のすべての部分を見ることができる必要がありますが、何も変更する必要はありません。
マリア・ラミエス主任の IT 管理者。Mariaは、Citrix ADCコマンドを除き、Citrix ADC構成のすべての部分を表示および変更できる必要があります(nsrootとしてログオンしている間、ローカル・ポリシーによって指示される必要があります)。
マイケル・バルドロック負荷分散を担当する IT 管理者。Michael は、Citrix ADC 構成のすべての部分を確認できる必要がありますが、変更する必要があるのは負荷分散機能のみです。
次の表に、サンプル会社のネットワーク情報、ユーザーアカウント名、グループ名、およびコマンドポリシーの内訳を示します。
| フィールド | 値 | 注 |
|---|---|---|
| Citrix ADC のホスト名 | ns01.example.net | - |
| ユーザーアカウント | ジョーンズ、マリアー、マイケルブ | ジョン・ドゥー、ITマネージャー、マリア・ラミレス、IT管理者、マイケル・バルドロック、IT管理者。 |
| グループ | マネージャとシステムオペレーション | すべてのマネージャとすべてのIT管理者。 |
| コマンドポリシー | すべて読み取り、変更lb、およびすべて変更 | (完全な読み取り専用アクセスを許可する],[ロードバランシングへの変更アクセスを許可する],および[完全な変更アクセスを許可する]。 |
以下の説明では、ns01.example.netという名前のCitrix ADCアプライアンスにユーザーアカウント、グループ、コマンドポリシーの完全なセットを作成する手順について説明します。
この説明には、適切なユーザアカウントとグループを相互にバインドする手順、および適切なコマンドポリシーをユーザアカウントとグループにバインドする手順が含まれています。
この例では、優先順位付けを使用して、IT 部門の各ユーザーに正確なアクセスと権限を付与する方法を示します。
この例では、Citrix ADCで初期インストールと構成がすでに実行されていることを前提としています。
サンプル組織のユーザーアカウント、グループ、およびコマンドポリシーを構成します
- 「ユーザーアカウントの構成」セクションで説明されている手順を使用して、ユーザーアカウントjohnd、mariar、およびmichaelbを作成します。
- 「ユーザグループの設定」で説明されている手順を使用して、ユーザグループマネージャとSysOpsを作成し、ユーザmariarとmichaelbをSysOpsグループにバインドし、ユーザjohndをマネージャ・グループ。
カスタムコマンドポリシーの作成で説明されている手順を使用して、次のコマンドポリシーを作成します。
- read_allとアクションAllowおよびコマンド仕様
"(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)" - modify_lbとアクションAllowおよびコマンド仕様
"^set\s+lb\s+.*$" - modify_allとアクションAllowおよびコマンド仕様
"^\S+\s+(?!system).*"
- read_allとアクションAllowおよびコマンド仕様
- read_allコマンドポリシーをプライオリティ値1でSysOpsグループにバインドするには、「コマンドポリシーをユーザおよびグループへのバインド」で説明する手順を使用します。
- 「ユーザーおよびグループへのコマンドポリシーのバインド」で説明されている手順を使用して、modify_lbコマンドポリシーをユーザーmichaelbにバインドし、優先度値5を指定します。
作成した構成は、次のようになります。
- IT マネージャである John Doe は、Citrix ADC 構成全体に対して読み取り専用でアクセスできますが、変更を加えることはできません。
- IT責任者であるマリア・ラミレスは、Citrix ADC構成のすべての領域にほぼ完全にアクセスでき、Citrix ADCレベルのコマンドを実行するためだけにログオンする必要があります。
- 負荷分散を担当するIT管理者Michael Baldrockは、Citrix ADC構成に読み取り専用でアクセスでき、負荷分散の構成オプションを変更できます。
特定のユーザーに適用されるコマンドポリシーのセットは、ユーザーのアカウントに直接適用されるコマンドポリシーと、ユーザーがメンバーである1つ以上のグループに適用されるコマンドポリシーの組み合わせです。
ユーザーがコマンドを入力するたびに、オペレーティングシステムは、コマンドに一致する許可または拒否アクションを持つポリシーが見つかるまで、そのユーザーのコマンドポリシーを検索します。一致するものが見つかると、オペレーティングシステムはコマンドポリシーの検索を停止し、コマンドへのアクセスを許可または拒否します。
オペレーティングシステムが一致するコマンドポリシーが見つからない場合、Citrix ADCアプライアンスのデフォルトの拒否ポリシーに従って、コマンドへのユーザーアクセスを拒否します。
注:
ユーザを複数のグループに配置する場合は、意図しないユーザコマンドの制限や権限が発生しないように注意してください。これらの競合を回避するには、ユーザーをグループに編成する場合は、Citrix ADCコマンドのポリシー検索手順とポリシーの順序付け規則に注意してください。