半径グループ抽出の設定

半径許可は,グループ抽出と呼ばれる方法を使用して設定できます。グループ抽出を構成すると,ユーザーをCitrix网关に追加するのではなく,半径サーバー上のユーザーを管理できます。

半径認可を設定するには,認証ポリシーを使用し,グループベンダーID (ID),グループアトリビュートタイプ,グループプレフィクス,およびグループセパレータを設定します。ポリシーを構成するときは,式を追加し,ポリシーをグローバルまたは仮想サーバにバインドします。

2003年Windowsサーバでの半径の構成

微软Windows Server 2003で半径認証にインターネット認証サービス(IAS)を使用している場合は,Citrix网关の構成時に次の情報を提供する必要があります。

• ベンダーIDはIASで入力したベンダー固有のコードです。
• “タイプ“はベンダーによって割り当てられた属性番号です。
• 属性名は,IASで定義した属性名のタイプです。デフォルト名はCTXSUserグループ=です。

IASが半径サーバーにインストールされていない場合は,コントロールパネルの[プログラムの追加と削除]からインストールできます。詳細については,Windowsオンラインヘルプを参照してください。

IASを構成するには,微软管理コンソール(MMC)を使用して,IAS用のスナップインをインストールします。ウィザードに従って,次の設定を選択します。

• ローカルコンピュータを選択します。
• [リモートアクセスポリシー]を選択し,カスタムポリシーを作成します。
• ポリシーの(Windowsグループ]を選択します。
• 次のいずれかのプロトコルを選択します。
  • 微软Challenge-Handshake认证协议バージョン2 (MS-CHAP v2)
  • Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)
  • CHAP (Challenge-Handshake Authentication Protocol)认证协议
  • 暗号化されていない認証(PAP SPAP)

• “ベンダー固有の属性”を選択します。

  ベンダー固有の属性は,サーバー上のグループで定義したユーザーとCitrix网关のユーザーを一致させる必要があります。この要件を満たすには,ベンダー固有の属性をCitrix网关に送信します。(半径)が[标准]であることを確認します。

• 半径のデフォルトは0です。この番号は,ベンダーコードに使用します。

• ベンダーが割り当てたアトリビュート番号は0です。

  これは”ユーザー・グループ”属性に割り当てられた番号です。属性は文字列形式です。

• 属性形式に[文字列]を選択します。

  属性値には,属性名とグループが必要です。

  访问网关の場合,属性値はCTXSUserGroups =グループ名です。売上と財務など2つのグループが定義されている場合,属性値はCTXSUserGroups =销售;金融です。各グループはセミコロンで区切ります。

• [ダイヤルインプロファイルの編集]ダイアログボックスの他のすべてのエントリを削除し,[ベンダー固有]と表示されているエントリを残します。

IASでリモートアクセスポリシーを構成した後,Citrix网关で半径認証と承認を構成します。

半径認証を構成するときは,IASサーバーで構成した設定を使用します。

2008年Windowsサーバーでの認証用に半径を構成する

Windows Server 2008では,インターネット認証サービス(IAS)に代わるネットワークポリシーサーバー(NPS)を使用して半径認証と承認を構成します。サーバーマネージャーを使用して役割としてNPSを追加することで,NPSをインストールできます。

NPSをインストールするときに,ネットワークポリシーサービスを選択します。インストール後[スタート]メニューの[管理サービス]からNPSを起動することで,ネットワークの半径設定を構成できます。NPSを開くと,Citrix网关を半径クライアントとして追加し,サーバーグループを構成します。

半径クライアントを構成するときは,次の設定を選択してください。

• ベンダー名として,半径標準]を選択します。
• Citrix网关で同じ共有シークレットを構成する必要があるため,共有シークレットを書き留めます。

半径,半径グループにはサーバのIPアドレスまたはホスト名が必要です。デフォルト設定は変更しないでください。

半径クライアントとグループを構成したら,次の2つのポリシーで設定を行います。

• 接続要求ポリシー:ネットワークサーバーの種類,ネットワークポリシーの条件,ポリシーの設定など,Citrix网关接続の設定を構成します。
• 拡張認証プロトコル(EAP)認証とベンダー固有の属性を構成するネットワークポリシー。

接続要求ポリシーを構成する場合は,ネットワークサーバーの種類として[未指定]を選択します。次に,条件として[NASポートタイプ]を選択し,値として(仮想(VPN)]を選択して,条件を構成します。

ネットワークポリシーを構成するときは,次の設定を構成する必要があります。

• ネットワークアクセスサーバーの種類として[リモートアクセスサーバー(VPNダイヤルアップ)]を選択します。

• EAPの[暗号化認証(章)]と[暗号化されていない認証(PAPおよびSPAP)]を選択します。

• ベンダー固有の属性に[半径標準]を選択します。

  デフォルトの属性番号は26です。このアトリビュートは,半径認可に使用されます。

  Citrix网关では,サーバー上のグループで定義されたユーザーとCitrix网关上のユーザーを一致させるために,ベンダー固有の属性が必要です。これは,ベンダー固有の属性をCitrix网关に送信することによって行われます。

• 属性形式として[文字列]を選択します。

  属性値には,属性名とグループが必要です。

  Citrix网关の場合,属性値はCTXSUserGroups =グループ名です。売上と財務など2つのグループが定義されている場合,属性値はCTXSUserGroups =销售;金融です。各グループはセミコロンで区切ります。

• 区切り記号は,セミコロン,コロン,スペース,ピリオドなどのグループを区切るためのNPSで使用した区切り記号です。

IASでリモートアクセスポリシーの構成が完了したら,Citrix网关で半径認証と承認を構成できます。