初期構成

初期構成

アプライアンスをラックに取り付けると、初期設定を実行できます。初期設定が完了したら、使用している機能の特定の構成ガイドを参照してください。

初期構成は、多機能Citrix ADC、Citrix Gateway、および専用のCitrix Web App Firewall アプライアンスでも同じです。アプライアンスの初期構成には、次のインターフェイスのいずれかを使用できます。

• 初回使用ウィザード：Webブラウザを使用してアプライアンスに接続する場合、ネットワーク構成とライセンス情報がまだ指定されていない場合は、入力を求められます。
• LCD キーパッド:ネットワーク設定を指定できますが、ライセンスをアップロードするには、別のインターフェイスを使用する必要があります。
• シリアルコンソール：シリアルコンソールに接続した後、Citrix ADCコマンドラインを使用してネットワーク設定を指定し、ライセンスをアップロードできます。
• 動的ホスト構成プロトコル（DHCP）：リモートネットワークからアプライアンスを構成するには、DHCPを使用して、リモート構成のためにアプライアンスにアクセスできる IP アドレスを新しい各アプライアンスに割り当てます。また、DHCPを使用して複数のCitrix ADCアプライアンスをインストールし、コンソールポートを使用せずに構成することもできます。

初期設定の場合、管理ユーザ名とパスワードの両方としてデフォルトのパスワードを使用します。その後のアクセスでは、初回構成時に割り当てるパスワードを使用します。

アプライアンスの初期設定が完了したら、アプライアンスへのセキュアなアクセスを設定できます。その結果、ログオン時にパスワードの入力を求められなくなりました。この設定は、特に多くのパスワードを追跡する必要がある環境で役立ちます。

初回セットアップウィザードを使用する

Citrix ADCアプライアンス（またはCitrix ADC仮想アプライアンス）を初めて構成するには、アプライアンスと同じネットワーク上に管理コンピューターを構成する必要があります。

Citrix ADC IP (NSIP)アドレスをCitrix ADCアプライアンスの管理IPアドレスとして割り当てます。このアドレスでは、構成、監視、およびその他の管理タスクのためにアプライアンスにアクセスします。Citrix ADCがバックエンドサーバーと通信するためのサブネットIP（SNIP）アドレスを割り当てます。アプライアンスを識別するためのホスト名、ドメイン名を解決する DNS サーバーの IP アドレス、アプライアンスが配置されているタイムゾーンを指定します。

ウィザードは、以下のいずれかの条件が満たされると自動的に起動します。

• アプライアンスはデフォルトのIPアドレスで設定されています。
• サブネットIPアドレスが構成されていない。
• アプライアンスにライセンスが存在しない。

アプライアンスの初回構成を実行

1. Web ブラウザで、次のように入力します。

   http://192.168.100.1 

   注：Citrix ADCソフトウェアは、このデフォルトのIPアドレスで事前構成されています。 NSIPアドレスを割り当て済みの場合は、Webブラウザーにそのアドレスを入力します。

2. [ユーザー名]に「nsroot」と入力します。パスワードに,以前のデフォルトパスワードが機能しない場合は,アプライアンスのシリアル番号を入力してみてください。シリアル番号のバーコードは、アプライアンスの背面にあります。最初のログオン後にパスワードを変更することをお勧めします。パスワードの変更については、「管理者パスワードを変更する」を参照してください。

   次の画面が開きます。

   

3. 設定を構成したり変更したりするには、そのセクションをクリックします。設定が完了したら、［Continue］をクリックします。

4. プロンプトが表示されたら、[再起動] を選択します。

LCDキーパッドを使用する

最初にアプライアンスをインストールするときに、アプライアンスの前面パネルにあるLCDキーパッドを使用して、初期設定を構成できます。キーパッドでは、同じくアプライアンスの前面パネルにあるLCDディスプレイモジュールを操作します。

注：LCDキーパッドを使用して、新しいアプライアンスをデフォルト構成で初期設定できます。構成ファイル（ns.conf）には、次のコマンドとデフォルト値が含まれている必要があります。

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0 

次の表で、それぞれのキーの機能について説明します。

表1. LCDキー機能

LCDキーパッドを使用して初回構成を行うには、「<」キーを押します。

サブネットマスク、Citrix ADC IPアドレス（NSIP）、ゲートウェイをそれぞれこの順序で入力するように求められます。サブネットマスクは、NSIPとデフォルトゲートウェイIPアドレスの両方に関連付けられています。NSIPは、Citrix ADCアプライアンスのIPv4アドレスです。デフォルトゲートウェイは、ルータの IPv4 アドレスです。このアドレスは、アプライアンスがルーティングできない外部 IP トラフィックを処理します。NSIP アドレスとデフォルトゲートウェイは、同じサブネット上に存在する必要があります。

サブネットマスクに255.255.255.224などの有効な値を入力すると、IPアドレスを入力するように求められます。同様に、IPアドレスに有効な値を入力すると、ゲートウェイアドレスを入力するように求められます。入力した値が無効の場合は、次のエラーメッセージが 3 秒間表示されます。xxx.xxx.xxx.xxxは入力した IP アドレスで、値の再入力要求が続きます。

Invalid addr! xxx.xxx.xxx.xxx 

数字を変更せずに Enter（.）キーを押すと、ソフトウェアはユーザ終了要求として解釈します。次のメッセージが 3 秒間表示されます。

Exiting menu... xxx.xxx.xxx.xxx 

入力したすべての値が有効な場合は、Enter キーを押すと、次のメッセージが表示されます。

Values accepted, Rebooting... 

サブネットマスク、NSIP、およびゲートウェイの値は、構成ファイルに保存されます。

注:高可用性 (HA) ペアのデプロイについては、「高可用性」を参照してください。

Citrix ADCシリアルコンソールの使用

アプライアンスを最初にインストールするときに、シリアルコンソールを使用して初期設定を行います。シリアルコンソールを使用すると、システムIPアドレスの変更、サブネットまたはマップIPアドレスの作成、高度なネットワーク設定の構成、およびタイムゾーンの変更を行うことができます。

注：アプライアンスのシリアル・コンソール・ポートを確認するには、各アプライアンスの前面パネルの図を参照してください。

シリアルコンソールを使用して初期設定を構成する

1. コンソールケーブルをアプライアンスに接続します。詳細については、「ハードウェアの設置」の「コンソールケーブルの接続」を参照してください。

2. コンピューター上で選択したvt100端末エミュレーションプログラムを実行してアプライアンスに接続し、次の設定を構成します。9600ボー、8データビット、1ストップビット、および「NONE」に設定されたフロー制御。

3. Enterキーを押します。端末画面にログオンプロンプトが表示されます。

   注：使用している端末プログラムによっては、Enterキーを2～3回押す必要があります。

4. 管理者資格情報を使用して、アプライアンスにログオンします。[ユーザー名]に「nsroot」と入力します。パスワードに,以前のデフォルトパスワードが機能しない場合は,アプライアンスのシリアル番号を入力してみてください。シリアル番号のバーコードは、アプライアンスの背面にあります。最初のログオン後にパスワードを変更することをお勧めします。パスワードの変更については、「管理者パスワードを変更する」を参照してください。

5. プロンプトで、config nsと入力してCitrix ADC構成スクリプトを実行します。

6. プロンプトに従って、アプライアンスの初回構成を完了します。

   注：アプライアンスへのパケット送信を攻撃者によって阻止されないように、組織のLANで、ルーティング不可能なIPアドレスをアプライアンスIPアドレスとして選択します。

   手順 5 と 6 を次のコマンドに置き換えることができます。Citrix ADCコマンドプロンプトで、次のように入力します。

set ns config -ipaddress -netmask add ns ip  -type add route   set system user  -password save ns config reboot 

例：

set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0 add ns ip 10.102.29.61 255.255.255.0 -type snip add route 0.0.0.0 0.0.0.0 10.102.29.1 set system user nsroot -password Enter password: ***** Confirm password: ***** save ns config reboot 

これで、アプライアンスの初期構成が完了しました。

初期アクセスにDHCPを使用する

注：Citrix ADCアプライアンスおよびアプライアンスという用語は同じ意味で使用されます。

Citrix ADCアプライアンスの初期構成では、動的ホスト構成プロトコル（DHCP）を使用してコンソールへの依存を排除できます。DHCPは、サブネットIP（SNIP）アドレスを提供します。このアドレスでは、アプライアンスにアクセスしてリモートで構成できます。たとえば、アプライアンスを別のサブネットに移動する場合など、初期設定後に DHCP を使用することもできます。

DHCP を使用するには、まず DHCP サーバーでアプライアンスのベンダークラス識別子を指定する必要があります。オプションで、Citrix ADCアプライアンスがIPアドレスを取得できるIPアドレスのプールを指定することもできます。プールが指定されていない場合、アドレスは一般プールから取得されます。

新しいCitrix ADCアプライアンスには構成ファイルがありません。構成ファイルがないアプライアンスをネットワークに接続すると、そのDHCPクライアントは、DHCPサーバでIPアドレスを自動的にポーリングします。DHCP サーバーでアプライアンスのベンダークラス識別子を指定した場合、サーバーはアドレスを返します。以前に構成したアプライアンスで DHCP クライアントを有効にすることもできます。

前提条件

DHCP を使用するには、次のことが必要です。

1. アプライアンスの背面パネルにあるシリアル番号ステッカーにあるシステムID（sysid）を書き留めます。古いアプライアンスでは、システム ID が使用できない場合があります。この場合、システム ID の代わりに MAC アドレスを使用します。

2. DHCP サーバーをセットアップし、アプライアンスのベンダークラス識別子を使用して構成します。

Citrix ADCアプライアンス用のLinux/UNIXDHCPサーバーの構成

1. サーバーのdhcp.confファイルに次の構成を追加して、Citrix ADCアプライアンスのベンダークラス識別子として「Citrix-NS」を指定します。サブクラス宣言は、サブネット宣言の内側にある必要があります。

option space auto; option auto.key code 1 = text; class "citrix-1" { match option vendor-class-identifier; } subclass "citrix-1" "citrix-NS"{ vendor-option-space auto; option auto.key "citrix-NS"; 

注:dhcp.conf ファイルの場所は、Linux/UNIX ベースのオペレーティングシステムのバージョンやフレーバーによって異なる場合があります。例えば、FreeBSD 6.3 では、ファイルは/etcフォルダ内に存在します。場所については、DHCPサーバのdhcpd manpageを参照してください。

1. Citrix ADCアプライアンスで一般プールのIPアドレスを使用しない場合は、アプライアンスのアドレスプールを指定します。サブネット宣言の中にこのプール宣言を含めます。たとえば、次の構成を dhcp.conf ファイルに追加すると、192.168.2.120 から 192.168.2.127 の範囲の IP アドレスのプールが指定されます。

pool { allow members of "citrix-1"; range 192.168.2.120 192.168.2.127; option subnet-mask 255.255.255.0; } 

1. DHCP プロセスを終了し、再起動して、設定ファイルへの変更を反映します。シェルプロンプトで、次のように入力します。

killall dhcpd dhcpd& 

DHCP 設定の例（dhcpd.conf）

option space auto; option auto.key code 1 = text; class "citrix-1" { match option vendor-class-identifier; } subnet 192.168.2.0 netmask 255.255.255.0 { option routers10.217.242.1; option domain-name"jeffbr.local"; option domain-name-servers8.8.8.8; default-lease-time 21600; max-lease-time 43200; subclass "citrix-1" "citrix-NS" { vendor-option-space auto; option auto.key "citrix-NS"; } pool { allow members of "citrix-1"; range 192.168.2.120 192.168.2.127; option subnet-mask 255.255.255.0; } } 

1. サーバーマネージャーを開き、DHCP サービスが実行されていることを確認します。

2. DHCP マネージャを開き、[DHCP] をクリックし、[IPv4] を選択します。

3. ベンダークラスを..citrix-Nsとして構成するには、IPv4を右クリックし、[ベンダークラスの定義] を選択します。表示名、説明、および ASCII 値として「.citrix-NS」を指定して、新しいクラスを追加します。［OK］ をクリックします。

4. スコープを作成して、IP 範囲、サブネットワーク、DNS サーバー、WIN サーバー、デフォルトゲートウェイ、および除外された IP アドレス範囲を構成します。スコープを作成するには、IPv4リストで [スコープのオプション] を右クリックし、名前と説明を入力します。［次へ］をクリックします。

5. サーバにバインドされたインターフェイスの IP アドレスに対応する IP アドレス範囲とサブネットマスクを指定します。［次へ］をクリックします。

6. IP アドレスを除外するには、[除外の追加] と [遅延] にそのアドレスを追加します。［次へ］をクリックします。

7. リース期間を追加して、[次へ] をクリックします。

8. [はい、これらのオプションを今すぐ設定する] を選択し、[次へ] をクリックします。

9. 必要に応じて、デフォルトゲートウェイを指定し、[Next] をクリックします。

10. 必要に応じて、ドメイン名と DNS サーバーを指定し、[次へ] をクリックします。

11. 必要に応じて、WINSサーバを指定し、［次へ］をクリックします。

12. [はい、このスコープをアクティブにします] を選択してスコープをアクティブにし、[次へ] をクリックします。

13. ［完了］をクリックします。[IPv4] タブで構成されたスコープを表示できます。

リモートコンピュータからのCitrix ADC初期構成の実装

新しいCitrix ADCアプライアンスが起動すると、DHCPサーバーにIPアドレスを自動的にポーリングし、DHCPサーバーにそのsysidを提供します。このアクションは、設定ファイルを持たないアプライアンスにも当てはまります。DHCPサーバは、プールから1つのIPアドレスを選択し、それをサブネットIP（SNIP）アドレスとしてアプライアンスに割り当てます。DHCP サーバには、アプライアンスの dhcpd.leases ファイルに、アプライアンスのsysidと、アプライアンスに割り当てる IP アドレスが含まれます。アプライアンスの IP アドレスを調べるには、dhcpd.leases ファイルで、uid フィールドまたは client-hostname フィールドにアプライアンスのsysidが含まれている最後のエントリを探します。このエントリのバインディング状態がアクティブであることを確認します。バインド状態がアクティブではなく空の場合、IP アドレスはまだアプライアンスに関連付けられていません。

このアドレスを使用して、アプライアンスに接続し、初期設定をリモートで構成できます。たとえば、DHCP サーバーから取得した IP アドレス、サブネットマスク、ゲートウェイの設定を変更できます。初期設定が完了したら、DHCP IP アドレスを手動でサーバプールに戻すことができます。または、アプライアンスを再起動すると、DHCP IP アドレスがサーバープールに自動的に解放されます。

アプライアンスに割り当てられたSNIPアドレスは、Citrix ADCコンソールまたはDHCPサーバーから確認できます。

Citrix ADCコンソールからSNIPアドレスを検索します

コンソールプロンプトで、次のように入力します。

sh dhcpParams DHCP Client on next reboot is ON DHCP Client Current State: Active DHCP Client Default route save: OFF DHCP acquired IP:192.168.2.127 DHCP acquired Netmask:255.255.255.0 DHCP acquired Gateway:192.168.2.1 Done 

DHCP サーバーから SNIP アドレスを検索します

dhcpd.leases ファイルで、アプライアンスの uid フィールドまたは client-hostname フィールドのsysidがある最後のエントリを探します。

例：

DHCP サーバーの dhcpd.leasesファイルの次のエントリは、sysidが45eae1a8157e89b9314f のアプライアンスのバインド状態を確認します。

lease 192.168.2.127 { starts 3 2013/08/19 00:40:37; ends 3 2013/08/19 06:40:37; cltt 3 2013/08/19 00:40:37; binding state active; next binding state free; hardware ethernet 00:d0:68:11:f4:d6; uid "45eae1a8157e89b9314f"; client-hostname "45eae1a8157e89b9314f"; 

前の例では、バインディング状態は ACTIVE で、アプライアンスに割り当てられた IP アドレスは192.168.2.127です。

次の表は、新しいCitrix ADCアプライアンスの構成時に使用するDHCP関連のCLIコマンドを示しています。

表2. 新しいCitrix ADCアプライアンスでDHCPを使用するためのCitrix ADC CLIコマンド

設定ファイルが存在する場合の DHCP の使用

Citrix ADCアプライアンスを別のサブネットに移動する必要がある場合は、DHCPを使用して、すでに構成ファイルがあるアプライアンスにアクセスできます。アプライアンスを移動する前に、DHCPクライアントを有効にし、設定を保存します。その結果、アプライアンスが再起動すると、DHCPサーバでIPアドレスを自動的にポーリングします。アプライアンスをシャットダウンする前に、DHCP クライアントを有効にし、設定を保存してください。を有効にしなかった場合は、コンソールからアプライアンスに接続し、アプライアンス上で DHCP クライアントを動的に実行する必要があります。DHCP サーバは、IP アドレス、ゲートウェイ、およびサブネットマスクを提供します。IPアドレスを使用してアプライアンスにアクセスし、その他の設定をリモートで構成できます。

DHCP クライアントが構成ファイル内で有効になっている場合は、それを無効にしてから、構成ファイルを保存します。DHCPクライアントが有効になっている場合、アプライアンスは再起動時にDHCPサーバを再度ポーリングし、IPアドレスを確認します。

各タスクに関連付けられた CLI コマンドは次のとおりです。

• DHCP クライアントを動的に実行して DHCP サーバーから IP アドレスを取得するには

  set dhcpParams dhcpClient on

• アプライアンスの再起動時に実行されるようにDHCPクライアントを構成するには

  set dhcpParams dhcpClient on

  save config

• アプライアンスの再起動時に DHCP クライアントが実行されないようにするには

  set dhcpParams dhcpClient off

  save config

  注:このコマンドは、ON 設定が保存された場合にのみ必要です。

• アプライアンスの再起動時にDHCPが取得したルートを使用できるように保存するには

  > set dhcpParams -dhcpclient on -saveroute on

  > save config

• DHCP 取得ルートを保存しないようにするには（デフォルトの動作）set dhcpParams -dhcpclient on -saveroute off

  save config

  注:このコマンドは、ON 設定が保存された場合にのみ必要です。

SSHキーを使用し、パスワードなしでCitrix ADCアプライアンスにアクセスする

多くのCitrix ADCアプライアンスを管理する場合、個々のアプライアンスにログオンするためのパスワードの保存と検索は面倒です。パスワードの入力を求められないように、各アプライアンスで公開鍵暗号化を使用したセキュアシェルアクセスを設定できます。

Citrix ADC機能は、内部ユーザーが無効になっている場合（set ns param-internaluserlogin disabled コマンドを使用して）内部通信にSSHキーベースの認証を使用することもできます。そのような場合は、キー名をns_comm_keyとして設定する必要があります。

SSHキーを使用してアクセスを設定するには、クライアントで公開鍵と秘密鍵のペアを生成し、その公開鍵をリモートのCitrix ADCアプライアンスにコピーする必要があります。

SSHキーを使用してキーを生成し、リモートのCitrix ADCアプライアンスに接続する

1. クライアント（LinuxクライアントまたはCitrix ADC）で、ディレクトリを/root/.sshに変更します。

   cd /root/.ssh

2. 公開鍵と秘密鍵のペアを生成します。

   ssh-keygen -t -f

   例：

   デフォルトのファイル名で RSA キーを作成します。

   ssh-keygen -t rsa

3. キーペアのファイル名の入力を求められたら、Enter キーを押します。

   注：

   • キーペアのデフォルトのファイル名を更新する場合は、この手順の残りの部分では、デフォルト名の代わりに新しい名前を使用します。
   • 内部ユーザログインを無効にする場合は、公開鍵と秘密鍵のペアのファイル名として「ns_comm_key」を使用します。

4. パスフレーズの入力を求められたら、Enter キーを 2 回押します。

   注：クライアントがCitrix ADCアプライアンスの場合は、/flashディレクトリや/varディレクトリのサブディレクトリなどの永続的な場所に秘密キーファイルを移動します。

5. FTPを使用してクライアントからリモートのCitrix ADCアプライアンスにログオンし、次の手順に従います。

   1. ディレクトリを /nsconfig/ssH に変更します。プロンプトで、次のように入力します。

      cd /nsconfig/ssh

   2. バイナリ転送モードを使用して、パブリックキーをこのディレクトリにコピーします。

      binput id_rsa.pub

6. PuTTYなどのSSHクライアントを使用してリモートのCitrix ADCアプライアンスへの接続を開き、次の手順に従います。

   1. 管理者の資格情報を使用してリモートアプライアンスにログオンします。

   2. Citrix ADCシェルに移動します。

      shell

   3. シェルプロンプトで、ディレクトリを /nsconfig/ssH に変更します。

      root@ns# cd /nsconfig/ssh

   4. authorized_keys ファイルに公開鍵を追加します。シェルプロンプトで、次のように入力します。

      root@ns# cat id_rsa.pub >> authorized_keys

      注:authorized_keys ファイルがアプライアンス上に存在しない場合は、まずファイルを作成してから内容を追加する必要があります。

   5. /flash、nsconfig、sshディレクトリの権限を755に変更します。

      root@ns# chmod 755 /flashroot@ns# chmod 755 /flash/nsconfigroot@ns# chmod 755 /flash/nsconfig/ssh

   6. authorized_keys ファイルの権限を 744 に変更します。

      root@ns# chmod 744 authorized_keys

   7. 必要に応じて、公開キーを削除します。

      root@ns# rm id_rsa.pub

7. クライアントで、パスワードを入力せずに、SSHを使用してリモートのCitrix ADCアプライアンスに接続できることを確認します。

   パブリックキーと秘密キーのペアにデフォルトのファイル名を使用する場合。

   ssh @

   公開鍵と秘密鍵のペアに「ns_comm_key」(内部ユーザーが無効の場合) を使用する場合。

   ssh –i /nsconfig/ssh/ns_comm_key @

   パブリックキーと秘密キーのペアに他の名前を使用する場合。

   ssh –i @

管理パスワードの変更

デフォルトのユーザーアカウントは管理者アカウントで、Citrix ADCアプライアンスのすべての機能に完全にアクセスできます。セキュリティを維持するには、必要な場合にのみ管理者アカウントを使用する必要があります。フルアクセスを必要とする職務の個人だけが、管理者アカウントのパスワードを知っている必要があります。

注：管理者パスワードを頻繁に変更することをお勧めします。

GUI を使用して管理パスワードを変更する

1. 管理者資格情報を使用してアプライアンスにログオンします。
2. ［System］>［User Administration］>［Users］の順に選択します。
3. [ユーザー] ウィンドウで、既定のユーザーアカウントをクリックし、[パスワードの変更] をクリックします。
4. [パスワードの変更] ダイアログボックスの [パスワード] と [パスワードの確認] ボックスに、任意のパスワードを入力します。
5. ［OK］をクリックします。

CLI を使用して管理パスワードを変更する

コマンドプロンプトで入力します。

set system user  -password 

例：

set system user nsroot -password Enter password: ***** Confirm password: ***** Done