半径を使用したパスワードリターンの設定

ドメインパスワードは,トークンが半径サーバから生成したワンタイムパスワードに置き換えることができます。ユーザーがCitrix网关にログオンすると,トークンから個人識別番号(PIN)とパスコードを入力します。Citrix网关が認証情報を検証すると、RADIUSサーバーはユーザーのWindowsパスワードをCitrix Gateway に返します。Citrix Gateway はサーバーからの応答を受け入れ、ログオン中にユーザーが入力したパスコードを使用する代わりに、返されたパスワードを使用してシングルサインオンします。RADIUSによるこのパスワード返却機能を使用すると、ユーザーがWindowsパスワードを呼び戻す必要なく、シングル・サインオンを構成できます。

ユーザーがパスワードリターンを使用してログオンすると,Citrix端点管理、店面、Web界面など,内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます。

返されたパスワードを使用してシングルサインオンを有効にするには,Citrix网关で”パスワードベンダー識別子”および”パスワード属性の種類”パラメーターを使用して,半径認証ポリシーを構成します。これらの2つのパラメータは,ユーザーのWindowsパスワードをCitrix网关に返します。

Citrix网关は,Imprivataワンサインをサポートしています。Imprivata OneSignの最低限必要なバージョンは,サービスパック3で4.0です。Imprivata OneSignの既定のパスワードベンダーの識別子は398です。Imprivata OneSignの既定のパスワード属性の種類のコードは5です。

RSA、思科、微软など,他の半径サーバを使用してパスワードを返すことができます。ベンダー固有のアトリビュート値のペアでユーザシングルサインオンパスワードを返すように半径サーバを設定する必要があります。Citrix网关認証ポリシーでは、これらのサーバーの「パスワードベンダー識別子」および「パスワード属性の種類」パラメーターを追加する必要があります。

ベンダーIDの完全なリストは,インターネット割り当て番号局(IANA)のウェブサイトを参照してください。たとえば,RSAセキュリティのベンダー識別子は2197年,微软の場合は311年,思科系统の場合は9です。ベンダーがサポートするベンダー固有の属性は,ベンダーに確認する必要があります。たとえば,微软では,ベンダー固有の属性の一覧を微软のベンダー固有の半径アトリビュートに公開しています。

ベンダー固有の属性を選択して,ベンダーの半径サーバ上のユーザーのシングル・サインオン・パスワードを格納できます。半径サーバー上にユーザーパスワードが保存されているベンダー識別子と属性を使用してCitrix网关を構成すると,半径サーバーに送信されるアクセス要求パケット内の属性の値が要求されます。半径サーバがaccess-acceptパケット内の対応するアトリビュートと値のペアで応答した場合,使用する半径サーバに関係なく,パスワードのリターンが機能します。

返されたパスワードを使用してシングル・サインオンを構成するには,次の手順に従います。

1. 構成ユーティリティの[構成]タブで,[Citrix网关]>[ポリシー]>[認証]の順に展開します。
2. ナビゲーションペインで,(半径)をクリックします。
3. 詳細ウィンドウで,追加]をクリックします。
4. [認証ポリシーの作成]ダイアログボックスの[名前]に,ポリシーの名前を入力します。
5. [サーバー]の横にある[新規]をクリックします。
6. (名前]にサーバーの名前を入力します。
7. 半径サーバの設定を構成します。
8. [パスワードベンダー識別子]に,半径サーバーによって返されるベンダー識別子を入力します。この識別子の最小値は1である必要があります。
9. [パスワード属性の種類]で,ベンダー固有のavonコードに半径サーバから返される属性の種類を入力します。値の範囲は1 ~ 255です。
10. [認証ポリシーの作成]ダイアログボックスで,[名前付き式]の横にある式を選択し,[式の追加],[作成],[閉じる]の順にクリックします。