citrix gateway 13...認証の無効化 92 特定の時間に対する認証の設定 92...
TRANSCRIPT
Citrix Gateway 130
Machine translated content
Disclaimerこのコンテンツの正式なバージョンは英語で提供されていますCitrixドキュメントのコンテンツの部はお客様の利便性のみを的として機械翻訳されていますCitrixは機械翻訳されたコンテンツを管理していないため誤り不正確な情報不適切な語が含まれる場合があります英語の原から他語への翻訳について精度信頼性適合性正確性またはお使いの Citrix製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証該当するライセンス契約書またはサービス利規約あるいは Citrixとのその他すべての契約に基づき提供される保証および製品またはサービスのドキュメントとの致に関する保証は明的か黙的かを問わずかかるドキュメントの機械翻訳された範囲には適されないものとします機械翻訳されたコンテンツの使に起因する損害または問題についてCitrixは責任を負わないものとします
Citrix Product Documentation | docscitrixcom August 20 2020
Citrix Gateway 130
Contents
Citrix Gatewayのリリースノート 3
Citrix Gatewayについて 3
Citrix Gatewayアーキテクチャ 4
ユーザー接続の仕組み 6
般的な展開 8
DMZでのデプロイ 9
セキュリティで保護されたネットワークでの展開 10
クライアントソフトウェアの要件 10
Citrix Gatewayプラグインのシステム要件 11
エンドポイント分析の要件 12
Citrix製品との互換性 14
ライセンス 15
Citrix Gatewayのライセンスの種類 16
プラットフォームまたはユニバーサルライセンスファイルの 17
Citrix Gatewayにライセンスをインストールするには 18
ユニバーサルライセンスのインストールの確認 19
よくある質問 20
はじめに 22
セキュリティの計画 23
前提条件 25
インストール前のチェックリスト 25
アップグレードしています 31
システムのインストール 32
copy 1999-2020 Citrix Systems Inc All rights reserved 2
Citrix Gateway 130
Citrix Gatewayの構成 33
構成ユーティリティの使 34
Citrix Gatewayのポリシーとプロファイル 34
ポリシーのしくみ 35
ポリシーの優先順位の設定 36
条件付きポリシーの設定 36
Citrix Gatewayでのポリシーの作成 37
システム式の設定 37
単純な式と複合式を作成する 38
カスタム式の追加 39
ポリシー式での演算と演算の使 39
Citrix Gatewayの構成設定の表 45
Citrix Gateway構成の保存 45
Citrix Gateway構成のクリア 47
ウィザードを使した Citrix Gatewayの構成 47
初回セットアップウィザードを使した Citrix Gatewayの構成 50
Configuring Settings with the Quick ConfigurationWizard 51
Citrix Gatewayウィザードを使した設定の構成 55
Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成 56
証明書のインストールと管理 56
証明書署名要求の作成 57
Citrix Gatewayへの署名付き証明書のインストール 58
中間証明書の構成 59
認証にデバイス証明書を使する 60
copy 1999-2020 Citrix Systems Inc All rights reserved 3
Citrix Gateway 130
既存の証明書のインポートとインストール 62
証明書を PFX形式から PEM形式に変換する 63
証明書失効リスト 65
OCSPによる証明書ステータスのモニタリング 69
OCSP証明書ステータスの設定 71
Citrix Gateway構成のテスト 72
仮想サーバーの作成 73
追加の仮想サーバーを作成するには 74
仮想サーバでの接続タイプの設定 74
ワイルドカード仮想サーバに対するリッスンポリシーの設定 75
Citrix Gatewayでの IPアドレスの構成 77
マッピングされた IPアドレスの変更または削除 78
サブネット IPアドレスの設定 78
ユーザ接続の IPv6の設定 79
セキュリティで保護されたネットワークにある DNSサーバーの解決 80
DNS仮想サーバの構成 81
ネームサービスプロバイダの設定 82
サーバ起動接続の構成 83
Citrix Gatewayでのルーティングの構成 84
動ネゴシエーションの設定 86
認証と承認 87
デフォルトのグローバル認証タイプの設定 87
認可なしの認証の設定 89
認可の設定 89
copy 1999-2020 Citrix Systems Inc All rights reserved 4
Citrix Gateway 130
認可ポリシーの設定 89
デフォルトのグローバル認可の設定 91
認証の無効化 92
特定の時間に対する認証の設定 92
認証ポリシーのしくみ 93
認証プロファイルの設定 94
認証ポリシーのバインド 95
認証ポリシーの優先順位の設定 96
ローカルユーザの構成 97
グループの構成 98
グループへのユーザーの追加 99
グループを使したポリシーの設定 99
LDAP認証の構成 100
構成ユーティリティを使して LDAP認証を構成するには 102
LDAPディレクトリ内の属性の決定 104
LDAPグループ抽出の設定 105
LDAPグループ抽出のユーザーオブジェクトからの直接の動作 105
LDAPグループ抽出がグループオブジェクトから間接的に機能する法 106
LDAP認可グループのアトリビュートフィールド 106
LDAP認可を設定するには 106
LDAPネストされたグループ抽出の設定 107
複数のドメインに対する LDAPグループ抽出の設定 108
グループ抽出のセッションポリシーの作成 109
複数のドメインの LDAP認証ポリシーの作成 110
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix Gateway 130
複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成 111
クライアント証明書認証の構成 112
クライアント証明書認証ポリシーの構成およびバインド 113
2要素クライアント証明書認証の設定 114
スマートカード認証の構成 114
共通アクセスカードの設定 116
RADIUS認証の構成 117
RADIUS認証を構成するには 118
RADIUS認証プロトコルの選択 119
IPアドレス抽出の設定 119
RADIUSグループ抽出の設定 120
RADIUS認可を設定するには 123
RADIUSユーザアカウンティングの設定 123
SAML認証の構成 126
SAML認証を設定するには 129
SAML認証を使して Citrix Gatewayにログインする 130
SAML認証の認証の改善 131
TACACS+認証の設定 133
基本設定のクリアTACACS設定をクリアしない 134
多要素認証の設定 135
カスケード認証の設定 136
2要素認証の設定 137
シングルサインオンの認証タイプの選択 138
クライアント証明書および LDAP 2要素認証の設定 138
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix Gateway 130
シングルサインオンの設定 141
Windowsでのシングルサインオンの設定 141
Webアプリケーションへのシングルサインオンの構成 142
LDAPを使したWebアプリケーションへのシングルサインオンの構成 144
ドメインへのシングルサインオンの設定 145
Microsoft Exchange 2010でシングルサインを構成する 145
ワンタイムパスワードの使の設定 147
RSAセキュリティ ID認証の設定 148
RADIUSを使したパスワードリターンの設定 149
Configuring SafeWord Authentication 150
Gemalto Protiva認証の設定 151
Gateway認証の nFactor 151
Unified Gateway Visualizer 168
モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように Citrix Gatewayを構成する 173
VPNユーザエクスペリエンスの設定 175
Citrix Gatewayプラグインでのユーザー接続のしくみ 176
セキュアトンネルの確 177
ファイアウォールとプロキシを介した操作 178
Citrix Gatewayプラグインのアップグレード制御 178
Citrix Gatewayで完全な VPNセットアップを構成する 181
ユーザーアクセス式の選択 187
ユーザーアクセスの Citrix Gatewayプラグインの展開 188
ユーザーの Citrix Gatewayプラグインの選択 190
Windowsの Citrix Gatewayプラグインのインストール 192
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix Gateway 130
Active Directoryからの Citrix Gatewayプラグインの展開 193
Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除 195
Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング 196
Java Citrix Gatewayプラグインを使した接続 196
Citrix Gatewayプラグインと Citrix Workspaceアプリの統合 198
ユーザー接続と Citrix Workspaceアプリの仕組み 199
Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加 199
Citrix Workspaceアプリのアイコンの切り離し 202
ICA接続の IPv6の構成 203
CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成 204
ログオンページへの Receiverテーマの適 205
ログオンページのカスタムテーマの作成 206
ユーザーポータルのカスタマイズ 207
クライアントレスアクセスの設定 215
クライアントレスアクセスの有効化 216
Webアドレスのエンコーディング 217
クライアントレスアクセスポリシーのしくみ 218
新しいクライアントレスアクセスポリシーの作成 220
Citrix Gatewayを使した度なクライアントレス VPNアクセス 221
ユーザーのドメインアクセスの構成 223
クライアントレスアクセスの構成 224
SharePointサイトをホームページとして設定する 225
SharePoint 2007サーバーの名前解決を有効にする 225
クライアントレスアクセスパーシステント Cookieの有効化 226
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix Gateway 130
SharePointのクライアントレスアクセスの永続的な Cookieの構成 227
Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存 228
クライアント選択ページの設定 229
ログオン時のクライアント選択ページの表 230
クライアント選択オプションの構成 231
アクセスシナリオフォールバックの設定 233
アクセスシナリオフォールバックのポリシーの作成 234
Citrix Gatewayプラグインの接続を構成する 237
ユーザセッション数の設定 238
タイムアウト設定の構成 238
強制タイムアウトの設定 239
セッションまたはアイドルタイムアウトの設定 240
内部ネットワークリソースへの接続 241
分割トンネリングの構成 242
クライアントインターセプションの設定 244
Citrix Gatewayプラグインのイントラネットアプリケーションの構成 244
Java Citrix Gatewayプラグインのイントラネットアプリケーションの構成 246
ネームサービス解決の設定 247
ユーザ接続のプロキシサポートの有効化 248
アドレスプールの設定 249
アドレスプールの設定 252
アドレスプールオプションの定義 252
VoIP電話のサポート 254
Java Citrix Gatewayプラグインのアプリケーションアクセスの構成 255
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix Gateway 130
アクセスインターフェイスの設定 257
アクセスインタフェースのカスタムホームページへの置換 257
アクセスインターフェイスの変更 258
Webリンクとファイル共有リンクの作成と適 259
ブックマークでのユーザー名トークンの設定 260
トラフィックポリシーの仕組み 261
トラフィックポリシーの作成 261
フォームベースのシングルサインオンの設定 263
SAMLシングルサインオンの設定 264
トラフィックポリシーのバインディング 265
トラフィックポリシーの削除 265
セッションポリシーの設定 266
セッションプロファイルの作成 267
セッションポリシーのバインド 270
StoreFrontの Citrix Gatewayセッションポリシーの構成 270
エンタープライズブックマークの度なポリシーサポート 274
エンドポイントポリシーの設定 277
エンドポイントポリシーのしくみ 277
ユーザーログオンオプションの評価 279
事前認証ポリシーのプライオリティの設定 280
事前認証ポリシーおよびプロファイルの設定 280
エンドポイント分析式の設定 282
カスタム式の設定 283
複合式を設定する 284
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix Gateway 130
事前認証ポリシーのバインド 285
事前認証ポリシーのバインド解除と削除 286
認証後ポリシーの設定 287
認証後ポリシーの設定 287
認証後スキャンの頻度の設定 288
検疫および認可グループの設定 289
隔離グループの設定 289
認可グループの設定 290
ユーザデバイスのセキュリティ事前認証式の設定 291
ウイルス対策ファイアウォールインターネットセキュリティまたはスパム対策の式を構成する 292
サービスポリシーの設定 293
プロセスポリシーの設定 294
オペレーティングシステムポリシーの構成 295
レジストリポリシーの構成 297
複合クライアントセキュリティ式の設定 299
度なエンドポイント分析スキャン 302
度なエンドポイント分析スキャンの設定 302
度なエンドポイント分析ポリシー式リファレンス 307
度なエンドポイント分析スキャンのトラブルシューティング 315
ユーザーセッションの管理 315
AlwaysON 317
Windowsログオン前に AlwaysON VPN (正式には AlwaysOnサービス) 322
Windowsログオン前に AlwaysONの VPNを構成する 323
Citrix Gatewayの構成 327
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix Gateway 130
Unified Gatewayに関する FAQ 330
ダブルホップ DMZでの展開 339
ダブルホップ DMZでの Citrix Gatewayの展開 340
ダブルホップ展開の仕組み 340
ダブルホップ DMZ配置における通信フロー 341
ユーザーの認証 342
セッションチケットの作成 343
Citrix Workspaceアプリの起動 343
接続の完了 344
ダブルホップ DMZ配置の準備 345
ダブルホップ DMZでの Citrix Gatewayのインストールと構成 346
Citrix Gatewayプロキシ上の仮想サーバーでの設定の構成 347
アプライアンスのプロキシと通信するためのアプライアンスの設定 348
STAトラフィックと ICAトラフィックを処理するように Citrix Gatewayを構成する 349
ファイアウォールで適切なポートを開く 350
ダブルホップ DMZ配置での SSL証明書の管理 352
可性の使 354
可性の仕組み 355
可性の設定 356
RPCノードのパスワードの変更 358
プライマリアプライアンスとセカンダリアプライアンスの可性の構成 359
通信間隔の構成 360
Citrix Gatewayアプライアンスの同期 360
可性セットアップでの構成ファイルの同期 362
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix Gateway 130
コマンド伝播の設定 362
コマンド伝播のトラブルシューティング 363
フェールセーフモードの設定 364
仮想MACアドレスの設定 366
IPv4仮想MACアドレスの設定 366
IPv4仮想MACアドレスの作成または変更 367
IPv6仮想MACアドレスの設定 368
IPv6の仮想MACアドレスの作成または変更 368
異なるサブネットでの可性ペアの設定 369
リモートノードの追加 371
ルートモニタの設定 372
ルートモニタの追加または削除 374
リンク冗性の設定 375
フェイルオーバーの原因の理解 376
ノードからのフェイルオーバーの強制実 377
プライマリまたはセカンダリノードでのフェイルオーバーの強制実 377
プライマリノードを強制的にプライマリに留める 378
セカンダリノードを強制的にセカンダリ状態にする 378
クラスタリングの使 379
クラスタリングの構成 380
システムのメンテナンスとモニタリング 384
委任された管理者の構成 384
委任された管理者のコマンドポリシーの設定 385
委任された管理者のカスタムコマンドポリシーの設定 386
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix Gateway 130
Citrix Gatewayでの監査の構成 388
Citrix Gatewayでのログの設定 389
ACLロギングの設定 391
Citrix Gatewayプラグインのログ記録の有効化 392
ICA接続を監視するには 393
Citrix製品との統合 394
ユーザーがアプリケーションデスクトップShareFileに接続する法 395
Citrix Endpoint ManagementCitrix Virtual Appsおよびデスクトップを使した展開 396
Web Interfaceを使した Citrix Virtual Apps and Desktopsリソースへのアクセス 397
Citrix Gatewayと Citrix Virtual Apps and Desktopsの統合 398
サーバファームへのセキュアな接続の確 398
Web Interfaceを使したデプロイ 400
セキュアネットワークでのWeb Interfaceの展開 401
DMZでの Citrix Gatewayと並してWebインターフェイスを展開する 402
DMZでの Citrix Gatewayの背後にあるWebインターフェイスの展開 402
Web Interfaceサイトの動作設定 403
Web Interfaceの機能 403
Web Interfaceのサイトのセットアップ 404
Web Interface 54サイトの作成 404
Citrix Web Interface管理コンソールを使したサイトの構成 406
Web Interface54での Citrix Gateway設定の構成 406
Web Interface 53サイトの作成 408
Web Interface53での Citrix Gateway設定の構成 410
単のサイトへの Citrix Virtual Apps and Desktopsの追加 411
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix Gateway 130
Citrix Gatewayを介したユーザー接続のルーティング 412
Web Interfaceとの通信の設定 413
公開アプリケーションおよびデスクトップのポリシーの構成 414
公開アプリケーションウィザードによる設定の構成 415
Citrix Gatewayでの Secure Ticket Authorityの構成 416
Citrix Gatewayでの追加のWeb Interface設定の構成 417
Web Interfaceフェールオーバーの設定 417
Web Interfaceを使したスマートカードアクセスの構成 418
Web Interfaceでのアプリケーションおよび Virtual Desktopsへのアクセスの構成 419
SmartAccess設定 421
Citrix Virtual Apps and Desktopsでの SmartAccessのしくみ 422
Citrix Virtual Appsポリシーとフィルターの構成 423
SmartAccessのセッションポリシーを構成するには 424
Citrix Virtual Appsでのユーザーデバイスマッピングの構成 424
Citrix XenApp 65で制限ポリシーを構成するには 425
Citrix XenApp 65で制限ポリシーを構成するには 426
隔離アクセス法としての Citrix Virtual Apps有効化 426
隔離グループのセッションポリシーおよびエンドポイント分析スキャンの作成 427
SmartAccessの Citrix Virtual Desktopsの構成 428
Citrix Virtual Desktopsを使した SmartAccessのセッションポリシーを構成するには 428
Citrix Virtual Desktopsでポリシーとフィルターを構成するには 5 429
デスクトップ Delivery Controllerを STAとして追加するには 430
スマートコントロールの設定 430
Web Interfaceへのシングルサインオンの設定 448
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix Gateway 130
Webアプリケーションへのシングルサインオンをグローバルに設定するには 449
セッションポリシーを使してWebアプリケーションへのシングルサインオンを構成するには 449
WebアプリケーションへのシングルサインオンのHTTPポートを定義するには 450
その他の設定時の注意事項 450
Web Interfaceへのシングルサインオン接続をテストするには 451
スマートカードを使したWeb Interfaceへのシングルサインオンの構成 451
スマートカードを使してシングルサインオンにクライアント証明書を構成するには 453
Citrix Virtual Appsファイル共有のシングルサインオンを構成するには 453
ファイルタイプの関連付けの許可 454
Web Interfaceサイトの作成 455
ファイルタイプの関連付けのための Citrix Gatewayの構成 456
Citrix Gatewayと Citrix Virtual Apps and Desktopsの統合 457
Citrix Gatewayと StoreFrontの統合 458
Citrix Endpoint Management環境の設定の構成 461
Citrix Endpoint Managementまたは Citrix XenMobileサーバーの負荷分散サーバーの構成 464
電メールセキュリティフィルタリングを使したMicrosoft Exchangeのロードバランシングサーバーの構成 466
Citrix Endpoint Management Citrix ADCコネクタ(XNC)ActiveSyncフィルタリングの構成 467
Citrixモバイル産性アプリを使したモバイルデバイスからのアクセスの許可 467
Citrix Endpoint Managementのためのドメインおよびセキュリティトークン認証の構成 474
クライアント証明書またはクライアント証明書およびドメイン認証の設定 476
CloudBridgeによるネットワークトラフィックの最適化 478
Gateway UX設定での RfWebUIパーソナ 479
RDPプロキシ 482
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix Gateway 130
ステートレス RDPプロキシ 490
RDP接続リダイレクト 495
LDAP属性に基づいて RDP URLを設定する 496
RDPプロキシを使して RDPファイル名をランダム化する 497
RDPアプリのファイル名を構成する 498
Citrix Gatewayが VMwareホライゾンビューに対して PCoIPプロキシサポートを有効にしました 499
VMWare Horizonビューの Citrix Gatewayが有効になっている PCoIPプロキシの構成 500
VMware Horizon View接続サーバの構成 504
HDX対応のデータ転送サポート 504
Enlightened Data Transportサポートを使するタイミング 505
EDTおよびHDX Insightをサポートするように Citrix Gatewayを構成 505
L7遅延しきい値 509
Microsoft Intune統合 513
統合 Intune MDMソリューションを使するタイミング 514
Citrix Gatewayと Intune MDMの統合について 514
単要素ログインの Citrix Gateway仮想サーバーのネットワークアクセス制御デバイスチェックの構成 515
Azure ADALトークン認証について 518
Microsoft ADALトークン認証の Citrix Gateway仮想サーバーの構成 518
Microsoftエンドポイントマネージャーでマイクロ VPNを使するための Citrix Gatewayのセットアップ 520
UDPトラフィックに対するサービスサポートのタイプ 525
Citrix Gatewayでのアウトバウンドプロキシのプロキシ動構成サポート 525
アウトバウンド ICAプロキシのサポート 526
アウトバウンド ICAプロキシの構成 527
Citrix Gatewayと Citrix Virtual Apps and Desktopsの統合 529
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix Gateway 130
認証のネイティブOTPサポート 529
OTPのプッシュ通知 538
サーバ名表拡張の設定 544
SSLハンドシェイク中のサーバー証明書の検証 544
アドバンスポリシーを使した VPNポリシーの作成 545
テンプレートを使した簡略化された SaaSアプリケーション設定 548
EPAコンポーネントとしての nFactorでのデバイス証明書 556
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix Gateway 130
Citrix Gatewayのリリースノート
March 26 2020
リリースノートでは特定のビルドでソフトウェアがどのように変更されたかおよびそのビルドに存在することがわかっている問題について説明します
リリースノートドキュメントには次のセクションのすべてまたは部が含まれています
bull 新機能 ビルドでリリースされた拡張機能やその他の変更bull 修正された問題 ビルドで修正される問題bull 既知の問題 ビルドに存在する問題bull 注ビルドを使する際に留意すべき重要な側bull 制限事項 ビルドに存在する制限事項
注
bull 問題の説明の下の [ XXXXXX]ラベルはCitrix ADCチームが使する内部トラッキング IDです
bull これらのリリースノートにはセキュリティ関連の修正は記載されていませんセキュリティに関する修正とアドバイスの覧についてはCitrixセキュリティ情報を参照してください
最新のリリースノートのドキュメントを表するにはリリースノートページを参照してください
コピー完了Failed
Citrix Gatewayについて
April 9 2020
Citrix Gatewayは導が容易で管理も簡単です最も般的な展開構成はDMZ内に Citrix Gatewayアプライアンスを配置することです複数の Citrix Gatewayアプライアンスをネットワークにインストールすることでより複雑な展開環境を実現できます
Citrix Gatewayを初めて起動するときはシリアルコンソール構成ユーティリティのセットアップウィザードまたは動的ホスト構成プロトコル(DHCP)を使して初期構成を実できますMPXアプライアンスではアプライアンスの前パネルにある LCDキーパッドを使して初期構成を実できますIPアドレスサブネットマスクデフォルト Gateway IPアドレスドメインネームシステム (DNS)アドレスなど内部ネットワークに固有の基本設定を構成できます基本的なネットワーク設定を構成したら認証承認ネットワークリソース仮想サーバーセッションポリシーエンドポイントポリシーのオプションなどCitrix Gatewayの操作に固有の設定を構成します
Citrix Gatewayをインストールして構成する前にこのセクションのトピックを参照して展開を計画してください導計画にはアプライアンスのインストール場所の決定DMZへの複数のアプライアンスのインストール法
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix Gateway 130
の理解およびライセンス要件が含まれますCitrix Gatewayはセキュリティで保護されたネットワークで実されている既存のハードウェアやソフトウェアを変更することなくあらゆるネットワークインフラストラクチャにインストールできますCitrix GatewayはサーバーロードバランサーキャッシュエンジンファイアウォールルーターIEEE 80211ワイヤレスデバイスなど他のネットワーク製品と連携します
Citrix Gatewayを構成する前にインストール前のチェックリストに設定を書き込むことができます
Citrix Gatewayアプライアンス Citrix Gatewayアプライアンスおよびアプライアンスのインストール順について説明します
インストール前のチェックリスト ネットワークに Citrix Gatewayをインストールする前に確認する計画情報と完了する必要のあるタスクの覧をします
般的な展開 ネットワーク DMZへの Citrix Gatewayの導DMZのない安全なネットワークへの展開および負荷分散とフェイルオーバーをサポートする追加のアプライアンスに関する情報を提供しますまたCitrixVirtual Apps and Desktopsを使した CitrixGatewayの展開についても説明します
ライセンス アプライアンスへのライセンスのインストールに関する情報を提供しますまた複数の Citrix Gatewayアプライアンスへのライセンスのインストールについても説明します
コピー完了Failed
Citrix Gatewayアーキテクチャ
April 9 2020
Citrix Gatewayのコアコンポーネントは次のとおりです
bull 仮想サーバCitrix Gateway仮想サーバーはユーザーが利できるすべての構成済みサービスを代表する内部エンティティです仮想サーバはユーザがこれらのサービスにアクセスするためのアクセスポイントでもあります1つのアプライアンスに複数の仮想サーバーを構成して1つの Citrix Gatewayアプライアンスが異なる認証およびリソースアクセス要件を持つ複数のユーザーコミュニティにサービスを提供できるようにすることができます
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix Gateway 130
bull 認証認可アカウンティング認証承認アカウンティングを構成するとCitrix Gatewayまたは LDAPや RADIUSなどの安全なネットワークにある認証サーバーが認識する資格情報を使してユーザーが CitrixGatewayにログオンできるようになります承認ポリシーはユーザーのアクセス許可を定義し特定のユーザーがアクセスを許可するリソースを決定します認証と認可の詳細については認証と承認を参照してくださいアカウンティングサーバーはユーザーログオンイベントリソースアクセスインスタンス操作エラーなどCitrix Gatewayアクティビティに関するデータを保持しますこの情報はCitrix Gatewayまたは外部サーバーに保存されますアカウンティングの詳細については「Citrix Gatewayでの監査の構成」を参照してください
bull ユーザー接続ユーザーは次のアクセス法を使して Citrix Gatewayにログオンできます
ndash Windowsの Citrix GatewayプラグインはWindowsベースのコンピュータにインストールされるソフトウェアですユーザーはWindowsベースのコンピューター上の通知領域のアイコンを右クリックしてログオンしますCitrix Gatewayプラグインがインストールされていないコンピューターを使している場合はWebブラウザーを使してログオンしプラグインをダウンロードしてインストールできますユーザーが Citrix Workspaceアプリをインストールしている場合ユーザーは Citrix Workspaceアプリから Citrix Gatewayプラグインを使してログオンしますCitrixWorkspaceアプリと Citrix Gatewayプラグインがユーザーデバイスにインストールされている場合Citrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加します
ndash Mac OS Xを実しているユーザーがログオンできるようにするMac OS Xの Citrix GatewayプラグインこれはWindowsの Citrix Gatewayプラグインと同じ機能と機能を備えていますCitrix ADC Gatway 101ビルド 1201316eをインストールすることでこのプラグインバージョンのエンドポイント分析のサポートを提供できます
ndash Java Citrix GatewayプラグインMac OS XLinuxおよびオプションでWindowsユーザーがWebブラウザーを使してログオンできるようにします
ndash Web Interfaceまたは Citrix StoreFrontを使してサーバーファーム内の公開アプリケーションおよび仮想デスクトップへのユーザー接続を許可する Citrix Workspaceアプリ
ndash Citrix WorkspaceアプリSecure HubWorxMailおよび WorxWebを使してユーザーがWebアプリケーションSaaSアプリケーションiOSおよび Androidモバイルアプリおよび CitrixEndpoint Managementでホストされている ShareFileデータにアクセスできます
ndash ユーザーはCitrix GatewayのWebアドレスを使する Androidデバイスから接続できますユーザーがアプリを起動すると接続はMicro VPNを使してネットワークトラフィックを内部ネットワークにルーティングしますユーザーが Androidデバイスから接続する場合はCitrix GatewayでDNS設定を構成する必要があります詳しくは「Androidデバイスで DNSサフィックスを使したDNSクエリのサポート」を参照してください
ndash ユーザーはCitrix GatewayのWebアドレスを使する iOSデバイスから接続できますSecureBrowseはグローバルまたはセッションプロファイルで構成しますユーザーが iOSデバイスでアプリを起動するとVPN接続が開始されCitrix Gateway経由で接続がルーティングされます
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix Gateway 130
ndash クライアントレスアクセスユーザーデバイスにソフトウェアをインストールしなくても必要なアクセスをユーザーに提供します
Citrix Gatewayを構成するときにポリシーを作成してユーザーのログオン法を設定できますセッションおよびエンドポイントの分析ポリシーを作成してユーザーのログオンを制限することもできます
bull ネットワークリソースこれにはファイルサーバーアプリケーションWebサイトなどユーザーがCitrix Gateway経由でアクセスするすべてのネットワークサービスが含まれます
bull 仮想アダプタCitrix Gateway仮想アダプタはIPスプーフィングを必要とするアプリケーションをサポートします仮想アダプタはCitrix Gatewayプラグインのインストール時にユーザーデバイスにインストールされますユーザーが内部ネットワークに接続するとCitrix Gatewayと内部サーバー間の送信接続ではイントラネット IPアドレスが送信元 IPアドレスとして使されますCitrix Gatewayプラグインは構成の部としてサーバーからこの IPアドレスを受け取ります
Citrix Gatewayで分割トンネリングを有効にするとすべてのイントラネットトラフィックが仮想アダプタ経由でルーティングされますイントラネットにバインドされたトラフィックを代受信する場合仮想アダプタは Aおよび AAAAレコードタイプ DNSクエリーをインターセプトしその他すべての DNSクエリーはそのまま残します内部ネットワークにバインドされていないネットワークトラフィックはユーザーデバイスにインストールされているネットワークアダプタを介してルーティングされますインターネットおよびプライベートローカルエリアネットワーク (LAN)接続は開いたままであり接続されたままです分割トンネリングを無効にするとすべての接続が仮想アダプタを介してルーティングされます既存の接続はすべて切断されユーザーはセッションを再確する必要があります
イントラネット IPアドレスを構成すると内部ネットワークへのトラフィックは仮想アダプタを介してイントラネット IPアドレスでスプーフィングされます
コピー完了Failed
ユーザー接続の仕組み
March 26 2020
ユーザーはリモートロケーションから分の電メールファイル共有およびその他のネットワークリソースに接続できますユーザーは次のソフトウェアを使して内部ネットワークリソースに接続できます
bull Citrix Gatewayプラグインbull Citrix Workspaceアプリbull WorxMailおよびWorxWebbull Androidと iOSのモバイルデバイス
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix Gateway 130
Citrix Gatewayプラグインを使した接続
Citrix Gatewayプラグインを使すると次の順で内部ネットワークのリソースにユーザーがアクセスできます
1 ユーザーはWebブラウザーでWebアドレスをして Citrix Gatewayに初めて接続しますログオンページが表されユーザー名とパスワードをするよう求められます外部認証サーバーが構成されている場合Citrix Gatewayはサーバーに接続し認証サーバーはユーザーの資格情報を確認しますローカル認証が構成されている場合Citrix Gatewayはユーザー認証を実します
2 事前認証ポリシーを構成する場合ユーザーがWindowsベースのコンピューターまたはMac OS XコンピューターのWebブラウザーで Citrix GatewayのWebアドレスをするとログオンページが表される前にクライアントベースのセキュリティポリシーが設定されているかどうかが Citrix Gatewayによって確認されますセキュリティチェックではオペレーティングシステムの更新ウイルス対策保護適切に構成されたファイアウォールなどユーザーデバイスがセキュリティ関連の条件を満たしていることを確認しますユーザーデバイスがセキュリティチェックに失敗した場合Citrix Gatewayはユーザーのログオンをブロックしますログオンできないユーザーは必要な更新プログラムまたはパッケージをダウンロードしユーザーデバイスにインストールする必要がありますユーザーデバイスが事前認証ポリシーを通過するとログオンページが表されユーザーは分の資格情報をできますCitrix Gateway 101ビルド 1201316eをインストールする場合はMac OS Xコンピューターで度なエンドポイント分析を使できます
3 Citrix Gateway がユーザーの認証に成功するとVPN トンネルが開始されますCitrix Gateway ではWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインをダウンロードしてインストールするように求められますJavaの Network Gatewayプラグインを使している場合はユーザーデバイスも事前に構成されたリソース IPアドレスとポート番号のリストで初期化されます
4 認証後のスキャンを構成するとユーザーが正常にログオンするとCitrix Gatewayはユーザーデバイス上で必要なクライアントセキュリティポリシーをスキャンします事前認証ポリシーと同じセキュリティ関連の条件を要求できますユーザーデバイスがスキャンに失敗した場合ポリシーが適されないかユーザーが検疫グループに配置されユーザーのネットワークリソースへのアクセスが制限されます
5 セッションが確されるとユーザーは Citrix Gatewayのホームページにリダイレクトされユーザーはアクセスするリソースを選択できますCitrix Gatewayに含まれているホームページをアクセスインターフェイスと呼びますユーザーがWindowsの Citrix Gatewayプラグインを使してログオンするとWindowsデスクトップの通知領域にアイコンが表されユーザーが接続されていることをすメッセージがユーザーに表されますまたユーザーはMicrosoft Outlookを開いたり電メールを取得したりするなどアクセスインターフェイスを使せずにネットワーク上のリソースにアクセスすることもできます
6 ユーザー要求が事前認証と認証後の両のセキュリティチェックに合格した場合Citrix Gatewayは要求されたリソースに接続しユーザーデバイスとそのリソース間の安全な接続を開始します
7 ユーザーはWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックし[ログオフ]をクリックするとアクティブなセッションを閉じることができますセッションはアクティブが原因でタイムアウトすることもありますセッションが閉じられるとトンネルはシャットダウンされユーザは内部リソースにアクセスできなくなりますユーザーはブラウザーで Citrix GatewayのWebアドレスをすることもできますユーザーが Enterキーを押すとユーザーがログオフできるアクセスインターフェイスが表されます
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix Gateway 130
注内部ネットワークに Citrix Endpoint Managementを展開する場合は内部ネットワークの外部から接続するユーザーが最初に Citrix Gatewayに接続する必要がありますユーザーが接続を確するとユーザーはWebアプリケーションおよび SaaSアプリケーションAndroidおよび iOSモバイルアプリおよび Citrix EndpointManagementでホストされている ShareFileデータにアクセスできますユーザーはクライアントレスアクセスまたは Citrix Workspaceアプリまたは Secure Hubを使してCitrix Gatewayプラグインを使して接続できます
Citrix Workspaceアプリとの接続
ユーザーはCitrix Workspaceアプリに接続してWindowsベースのアプリケーションと仮想デスクトップにアクセスできますユーザーはEndpoint Managementからアプリケーションにアクセスすることもできますリモートの場所から接続するにはCitrix GatewayプラグインもデバイスにインストールしますCitrix WorkspaceアプリはCitrix Gatewayプラグインをプラグインの覧に動的に追加しますユーザーはCitrix WorkspaceアプリにログオンするときにCitrix Gatewayプラグインにもログオンできますまたユーザーが Citrix GatewayWorkspaceアプリにログオンするときにCitrix Gatewayプラグインへのシングルサインオンを実するようにCitrix Gatewayを構成することもできます
iOSデバイスと Androidデバイスとの接続
ユーザーはSecure Hubを使して iOSまたは Androidデバイスから接続できますユーザーはSecure Mailを使して電メールにアクセスしWorxWebを使してWebサイトに接続できます
ユーザーがモバイルデバイスから接続する場合接続は Citrix Gatewayを介して内部リソースにアクセスしますユーザーが iOSに接続する場合はセッションプロファイルの部として「Secure Browse」を有効にしますユーザーが Androidで接続する場合接続は動的にマイクロ VPNを使しますさらにSecure Mail と WorxWeb はマイクロ VPN を使して Citrix Gateway を介して接続を確しますCitrixGatewayでマイクロ VPNを構成する必要はありません
コピー完了Failed
般的な展開
April 9 2020
組織の内部ネットワーク(またはイントラネット)の境界に Citrix Gatewayを展開して内部ネットワークに存在するサーバーアプリケーションおよびその他のネットワークリソースへの安全な単アクセスポイントを提供できますすべてのリモートユーザーは内部ネットワーク上のリソースにアクセスする前にCitrix Gatewayに接続する必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix Gateway 130
Citrix Gatewayは通常ネットワーク内の次の場所にインストールされます
bull ネットワーク DMZでbull DMZltを持たないセキュアなネットワークの場合
またCitrix Virtual AppsCitrix Virtual DesktopsStoreFrontおよび Citrix Endpoint Managementを使して Citrix Gatewayを展開してユーザーがWindowsWebモバイルSaaSアプリケーションにアクセスできるようにすることもできます展開環境に Citrix Virtual AppsStoreFrontデスクトップ 7が含まれている場合はシングルホップまたはダブルホップの DMZ構成で Citrix Gatewayを展開できますダブルホップ展開は以前のバージョンの Citrix Virtual Desktopsまたは Citrix Endpoint Managementではサポートされません
これらの Citrix ソリューションおよびサポートされているその他の Citrix ソリューションを使して CitrixGatewayインストールを拡張する法の詳細についてはCitrix製品との統合トピックを参照してください
コピー完了Failed
DMZでのデプロイ
March 26 2020
多くの組織はDMZを使して内部ネットワークを保護しますDMZは組織の安全な内部ネットワークとインターネット (または任意の外部ネットワーク)の間にあるサブネットですDMZに Citrix Gatewayを展開するとユーザーは Citrix Gatewayプラグインまたは Citrix Workspaceアプリを使して接続します
図 1DMZにデプロイされた Citrix Gateway
前の図にす構成ではDMZに Citrix Gatewayをインストールしインターネットと内部ネットワークの両に接続するように構成します
DMZでの Citrix Gateway接続
DMZに Citrix Gatewayを展開する場合ユーザー接続は最初のファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLを使してこの接続を確します内部ネットワークへのユーザー接続を許可するには最初のファイアウォールを介してポート 443で SSLを許可する必要があります
Citrix Gatewayはユーザーデバイスからの SSL接続を復号化しユーザーの代わりに 2番のファイアウォールの背後にあるネットワークリソースへの接続を確します2番のファイアウォールを介して開く必要があるポートは外部ユーザーにアクセスを許可するネットワークリソースによって異なります
たとえば外部ユーザに内部ネットワーク内のWebサーバへのアクセスを許可しこのサーバがポート 80でHTTP接続をリッスンする場合ポート 80で HTTPを 2番のファイアウォール経由で許可する必要がありますCitrix
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix Gateway 130
Gatewayは外部ユーザーデバイスの代わりに2番のファイアウォールを経由して内部ネットワーク上のHTTPサーバーへの接続を確します
コピー完了Failed
セキュリティで保護されたネットワークでの展開
March 26 2020
Citrix Gatewayはセキュリティで保護されたネットワークにインストールできますこのシナリオでは1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にありますCitrix Gatewayはネットワークリソースへのアクセスを制御するためにファイアウォール内に存在します
図 1セキュアなネットワークにデプロイされた Citrix Gateway
Citrix Gatewayをセキュリティで保護されたネットワークに展開する場合はCitrix Gateway上の 1つのインターフェイスをインターネットに接続しもう 1つのインターフェイスをセキュリティで保護されたネットワークで実されているサーバーに接続しますCitrix Gatewayを安全なネットワークに置くとローカルユーザーおよびリモートユーザーにアクセスできるようになりますただしこの構成にはファイアウォールが 1つしかないためではリモートロケーションから接続するユーザに対する配置の安全性が低下しますCitrix Gatewayはインターネットからのトラフィックを傍受しますがトラフィックはセキュリティで保護されたネットワークにってからユーザーを認証しますCitrix Gatewayを DMZに展開するとネットワークトラフィックが安全なネットワークに到達する前にユーザーが認証されます
Citrix Gatewayをセキュアなネットワークに展開する場合Citrix Gatewayプラグイン接続はファイアウォールを通過して Citrix Gatewayに接続する必要がありますデフォルトではユーザー接続はポート 443で SSLプロトコルを使してこの接続を確しますこの接続をサポートするにはファイアウォールでポート 443を開く必要があります
コピー完了Failed
クライアントソフトウェアの要件
March 26 2020
このセクションではCitrix Gatewayクライアントソフトウェアのシステム要件について説明します
Citrix GatewayではCitrix Gatewayプラグインを使したユーザー接続がサポートされますユーザーがプラグインを使してログオンすると完全な VPNトンネルが確されますCitrix Gatewayプラグインを使すると
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix Gateway 130
ユーザーはアクセスを許可するネットワークリソースに接続して操作できます
Citrix Gatewayでエンドポイントポリシーを構成する場合ユーザーがログオンするとCitrix Gatewayによってエンドポイント分析プラグインが動的にダウンロードされユーザーデバイスにインストールされます
コピー完了Failed
Citrix Gatewayプラグインのシステム要件
March 26 2020
Citrix Gatewayプラグインはクライアントマシンから Citrix Gatewayアプライアンスへの安全な接続を確します
このプラグインはMicrosoft WindowsmacOS Xおよび Linuxオペレーティングシステムのデスクトップアプリとして配布されますWebブラウザで Citrix Gatewayアプライアンスのセキュアな URLを認証するとプラグインがダウンロードされマシンに動的にインストールされます
プラグインはAndroidおよび iOSデバイスのモバイルアプリとしてプロビジョニングされます
注プラグインをインストールするにはオペレーティングシステムで admin権限または root権限が必要です
デスクトップアプリケーションとしての Citrix Gatewayプラグインは以下のオペレーティングシステムとWebブラウザーでサポートされています
オペレーティングシステム サポートされているブラウザー
macOS X (109以降) Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降
Windows 10 (x86および x64) Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium
Windows 81 Internet Explorer 11Google Chrome Release30以降Mozilla Firefox Release 24以降EdgeChromium
Windows 8 Internet Explorer 9および 10Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium
Windows 7 Internet Explorer 91011Google ChromeRelease 30以降Mozilla Firefox Release 24以降Edge Chromium
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix Gateway 130
オペレーティングシステム サポートされているブラウザー
LinuxUbuntu 1804 LTS1604 LTS1404 LTS1204 LTS 32ビットおよび 64ビットOSがサポートされています
Mozilla Firefox Release 44以降Google Chrome50以降
重要Ubuntu 1604 LTSのバグ(1573408)によりVPNプラグインのインストールが失敗します同じ場合の回避策は次のようにリストされます
コマンドラインインターフェイスを使して次のコマンドをします
1 sudo dpkg -i nsgclientdeb
必要な依存関係パッケージがつからない場合コマンドはそれらを覧表しプラグインのインストールは失敗しますこれらの依存関係パッケージは動でインストールする必要があります管理者はコマンドラインインターフェイスを使して次のコマンドをして不しているパッケージをインストールできます
1 apt-get install ltdependency packagegt
モバイルアプリとしての Citrix Gatewayプラグインは以下のオペレーティングシステムでサポートされています
VPNアプリ サポートされるオペレーティングシステム
Android Android 41以降
iOS iOS 8以降
コピー完了Failed
エンドポイント分析の要件
March 26 2020
Citrix Gatewayがユーザーデバイスにエンドポイント分析プラグインをインストールするとプラグインによってユーザーデバイスがスキャンされCitrix Gatewayで設定したエンドポイントのセキュリティ要件が確認されます要件にはオペレーティングシステムウイルス対策Webブラウザーのバージョンなどの情報が含まれます
Windowsユーザーがブラウザを使して Citrix Gatewayに初めて接続する場合ポータルはエンドポイント分析プラグインのインストールを要求しますその後のログオン試時にプラグインはアップグレード制御構成をチェ
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix Gateway 130
ックしクライアントエンドポイント分析プラグインのアップグレードが必要かどうかを判断します必要であれば新しい Endpoint Analysisプラグインをダウンロードしてインストールするかどうかを確認するメッセージが表されますWindowsエンドポイント分析プラグインはWindows 32ビットアプリケーションとしてインストールされますインストールまたは使に特別な権限は必要ありません
Mac OS Xの場合ユーザーはエンドポイント分析プラグインをインストールする必要がありますMac OS Xのプラグインは32ビットアプリケーションとしてインストールされますインストールに特別な権限は必要ありませんその後のログオン試時にプラグインのバージョンが致しない場合プラグインをダウンロードしてインストールするように求められます
Endpoint Analysisプラグインを使するにはユーザーデバイスに以下のソフトウェアが必要です
|オペレーティングシステム |サポートされているブラウザー ||ndash|ndash||Mac OS X (109以降)|Safari 71以降Google Chrome Release 30以降Mozilla Firefox Release 30以降 ||Windows 10|Internet Explorer 11Google Chrome Release 30 以降Mozilla Firefox Release 24 以降Microsoft Edgeはサポートされません||Windows 81|Internet Explorer 11Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 8|Internet Explorer 9および 10Google Chrome Release 30以降Mozilla Firefox Release 24以降 ||Windows 7|Internet Explorer 9 および 10 および 11Google Chrome Release 30 以降Mozilla FirefoxRelease 24以降 ||Windows Vista|Internet Explorer 9 Mozilla Firefox Release 9および 10||Linux Ubuntu 1204 LTS1404 LTS1604 LTS注32ビットおよび 64ビットOSがサポートされています|Mozilla Firefox Release 44以降Google Chrome50以降 |
注 1 上記のオペレーティングシステムバリアント のすべてのエディションがサポートされています
注 2 Windowsエディションではすべてのサービスパックと重要な更新プログラムをインストールする必要があります
注 3 Internet Explorerのバージョン ではクッキーを有効にする必要があります最低限必要なバージョンは 70です
注 4 Mozilla Firefoxのバージョンではエンドポイント分析はプラグインを有効にする必要があり最低限必要なバージョンは 30です
重要認証前エンドポイント分析の場合ユーザーがユーザーデバイスに Endpoint Analysisプラグインをインストールしていない場合またはスキャンをスキップした場合ユーザーは Citrix Gatewayプラグインを使してログオンできません認証後のエンドポイント分析の場合ユーザーはクライアントレスアクセスまたは CitrixWorkspaceアプリを使してスキャンが不要なリソースにアクセスできます
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix Gateway 130
Citrix製品との互換性
March 26 2020
次の表にCitrix製品および Citrix Gateway 130と互換性があるバージョンをします
注 Citrix Gatewayの機能はCitrix ADC VPXで使できます
Citrix製品とサポートされているバージョン
Citrix製品 リリースバージョン
Citrix SD-WAN 102 110
Citrix ADC ADCプラットフォーム FIPS準拠のアプライアンスを含む現在のすべてのMPXおよび VPXモデル
StoreFront 38 39 310 311 312 313 314 315
Web Interface 54
Citrix Virtual Apps and Desktops 76 712 713 714 715 716 717 718
XenMobile 105 106 107 108 109 1010 1011 1012
注 Citrix XenApp 65がサポートされています
Citrix WorkspaceアプリCitrixモバイル産性アプリおよびプラグイン
Citrix Workspaceアプリまたはプラグイン サポートされる最バージョン
Citrix Gatewayプラグイン (macOS X) 318
Windows向け Citrix Gatewayプラグイン 120
iOS Citrix Gatewayプラグイン 314
Android向け Citrix Gatewayプラグイン 2014
Android向け Citrix Workspaceアプリ 311
iOS向け Citrix Workspaceアプリ 713
Mac向け Citrix Workspaceアプリ 124
Windows向け Citrix Workspaceアプリ 44
Linux向け Citrix Workspaceアプリ 134
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix Gateway 130
Citrix Workspaceアプリまたはプラグイン サポートされる最バージョン
HTML5向け Citrix Workspaceアプリ 23
Chrome Citrix Workspaceアプリ 23
Secure Hub for iOS 105
Secure Hub for Android 105
Secure Mail for iOS 105
SecureWeb for iOS 105
Secure Mail for Android 105
SecureWeb for Android 105
WindowsGatewayプラグインでサポートされる Citrix Gateway機能
Citrix Gateway 130ビルド 3627以降では以下の機能がサポートされています
bull デバイスガードのサポートbull nファクターのサポートbull Opswat v4のサポートbull SAMLのサポートbull AlwaysOnオンサービス
コピー完了Failed
ライセンス
March 26 2020
Citrix Gatewayを展開してユーザー接続をサポートするにはアプライアンスのライセンスを適切に取得する必要があります
重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードしたすべてのライセンスファイルもバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要になります
Citrix Gatewayにライセンスをインストールする前にアプライアンスのホスト名を設定してからCitrix Gatewayを再起動してくださいセットアップウィザードを使してホスト名を構成しますCitrix Gatewayのユニバーサルライセンスを成するとホスト名がそのライセンスで使されます
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix Gateway 130
コピー完了Failed
Citrix Gatewayのライセンスの種類
March 26 2020
Citrix Gatewayにはプラットフォームライセンスが必要ですプラットフォームライセンスではICAプロキシを使して Citrix Virtual AppsCitrix Virtual Desktopsまたは StoreFrontへの無制限の接続が可能ですCitrixGatewayプラグインSmartAccessログオンポイントまたは Secure HubWorxWebまたは Secure Mailからの VPN接続を許可するにはユニバーサルライセンスも追加する必要がありますCitrix Gateway VPXにはプラットフォームライセンスが付属しています
プラットフォームライセンスは以下の Citrix Gatewayバージョンでサポートされています
bull Citrix Gateway 130bull Citrix Gateway 121bull NetScaler Gateway 120bull NetScaler Gateway 111bull NetScaler Gateway 110bull NetScaler Gateway 105bull NetScaler Gateway 101bull Access Gateway 10bull Citrix ADC VPX
重要受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことをお勧めします構成ファイルのバックアップコピーを保存するとアップロードされたすべてのライセンスファイルがバックアップに含まれますCitrix Gatewayアプライアンスソフトウェアを再インストールする必要があり構成のバックアップがない場合は元のライセンスファイルが必要です
プラットフォームライセンス
プラットフォームライセンスではCitrix Virtual Apps上の公開アプリケーションまたは Citrix Virtual Desktopsからの仮想デスクトップへの無制限のユーザー接続が可能ですCitrix Workspaceアプリを使した接続ではCitrix Gatewayユニバーサルライセンスは使されませんこれらの接続に必要なのはプラットフォームライセンスのみですプラットフォームライセンスは物理ライセンスと仮想ライセンスにかかわらず新しい CitrixGatewayのすべての注とともに電的に提供されます保証契約または保守契約の対象となるアプライアンスをすでに所有している場合はシトリックスWebサイトからプラットフォームライセンスを取得できます
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix Gateway 130
重要プラットフォームライセンスに基づき次の数のユニバーサルライセンスが含まれています
bull スタンダードエディションmdash 500bull アドバンスドエディションmdash 1000bull プレミアムmdash無制限
ユニバーサルライセンス
ユニバーサルライセンスでは同時ユーザーセッションの数は購したライセンス数に制限されます
ユニバーサルライセンスでは次の機能がサポートされています
bull 完全 VPNトンネルbull マイクロ VPNbull エンドポイント解析bull ポリシーベースの SmartAccessbull Webサイトやファイル共有へのクライアントレスアクセス
Standardエディションのライセンスを購するといつでも 500の同時セッションを持つことができますユーザーがセッションを終了するとそのライセンスは次のユーザーのために解放されます複数のコンピューターからCitrix Gatewayにログオンするユーザーはセッションごとにライセンスを占有します
すべてのライセンスが使されている場合ユーザーがセッションを終了するかセッションを終了するまで追加の接続を開くことはできません接続が閉じられるとライセンスが解放され新しいユーザーが使できるようになります
Citrix Gatewayアプライアンスを受け取るとライセンスは次の順序でわれます
bull ライセンス認証コード (LAC)が電メールで送信されますbull セットアップウィザードを使してホスト名で Citrix Gatewayを構成しますbull Citrixのウェブサイトから Citrix Gatewayのライセンスを割り当てますホスト名を使して割り当てプロセス中にライセンスをアプライアンスにバインドします
bull ライセンスファイルはCitrix Gatewayにインストールします
ユニバーサルライセンスの詳細についてはCitrix Gatewayユニバーサルライセンスを参照してください
コピー完了Failed
プラットフォームまたはユニバーサルライセンスファイルの
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix Gateway 130
Citrix GatewayをインストールするとCitrixからプラットフォームまたはユニバーサルライセンスファイルをできますCitrixのWebサイトにログオンして使可能なライセンスにアクセスしライセンスファイルを成しますライセンスファイルが成されたらコンピュータにダウンロードしますライセンスファイルがコンピューター上に存在したらCitrix GatewayにアップロードしますCitrixライセンスサーバーについて詳しくは「Citrixライセンスシステム」を参照してください
ライセンスファイルを取得する前にセットアップウィザードを使してアプライアンスのホスト名を構成してからアプライアンスを再起動してください
重要ライセンスは Citrix Gatewayにインストールする必要がありますアプライアンスはCitrixライセンスサーバーからライセンスを取得しません
ライセンスを取得するにはCitrixライセンスのアクティブ化アップグレード管理Webページに移動しますこのページでは新しいライセンスを取得しCitrixライセンスのライセンス認証アップグレード管理をうことができます
コピー完了Failed
Citrix Gatewayにライセンスをインストールするには
March 26 2020
ライセンスファイルをコンピューターに正常にダウンロードしたらCitrix Gatewayにライセンスをインストールできますライセンスは nsconfiglicenseディレクトリにインストールされます
セットアップウィザードを使して Citrix Gatewayの初期設定を構成した場合ウィザードの実時にライセンスファイルがインストールされますライセンスの部を割り当てた後後で追加番号を割り当てる場合はセットアップウィザードを使せずにライセンスをインストールできます
1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]を展開し[ライセンス]をクリックします
2 詳細ウィンドウで[ライセンスの管理]をクリックします
3 [新しいライセンスの追加]をクリックし[参照]をクリックしてライセンスファイルに移動し[OK]をクリックします
構成ユーティリティにCitrix Gatewayを再起動する必要があるというメッセージが表されます[再起動]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix Gateway 130
最ユーザー数を設定するには
アプライアンスにライセンスをインストールしたらアプライアンスに接続できるユーザーの最数を設定する必要がありますグローバル認証ポリシーの最ユーザー数を設定します
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ペインの [設定]で[認証 AAA設定の変更]をクリックします
3 [最ユーザー数]にユーザーの合計数をし[OK]をクリックします
このフィールドの数字はライセンスファイルに含まれるライセンスの数に対応しますこの数はアプライアンスにインストールされているライセンスの合計数以下である必要がありますたとえば100のユーザライセンスを含む 1つのライセンスと 400のユーザライセンスを含む 2番のライセンスをインストールするとしますライセンスの合計数は 500ですログオンできるユーザーの最数は 500以下です500のユーザーがログオンしている場合その数を超えてログオンしようとするユーザーはユーザーがログオフするかセッションを終了するまでアクセスが拒否されます
コピー完了Failed
ユニバーサルライセンスのインストールの確認
March 26 2020
続する前にユニバーサルライセンスが正しくインストールされていることを確認してください
構成ユーティリティを使してユニバーサルライセンスのインストールを確認するには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]を展開し[ライセンス]をクリックします
[ライセンス]ペインで[Citrix Gateway]の横に緑のチェックマークが表されます[許可される CitrixGatewayユーザーの最数]フィールドにはアプライアンスでライセンスされた同時ユーザーセッションの数が表されます
コマンドラインを使してユニバーサルライセンスのインストールを確認するには
1 PuTTYなどの SSHクライアントを使してアプライアンスへのセキュアシェル(SSH)接続を開きます2 管理者の資格情報を使してアプライアンスにログオンします
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix Gateway 130
3 コマンドプロンプトで次のようにしますshow licenseパラメータ SSL VPNが Yesでmaximumusersパラメータがライセンス数に等しい場合ライセンスは正しくインストールされます
コピー完了Failed
よくある質問
March 26 2020
ライセンス
ユニバーサルライセンス (CCU)とは何ですか
ユニバーサルライセンスはCitrix ADCプラットフォームライセンスの上に置かれているアドオンライセンスですこれらのライセンスは次の場合に必要です
ICAセッションの保護
1 SmartAccess
2 SmartControl
3 EPA
SSL VPN
1 すべての SSL VPNユースケース(Unified GatewayCVPNRDPプロキシなど)
2 Portalを有効にするには
新しいライセンスポリシーの変更点は何ですか
ユニバーサルライセンスの価格は以下の通りです
1 0〜 2499のユーザー-1ユーザーあたり 100ドル2 2500以上のユーザー-ユーザー 1あたり 50ドル
以前のパッケージは以下の通りです
1 標準およびアドバンストには 5つのユニバーサルライセンスが含まれています2 プレミアムライセンスには 100個のユニバーサルライセンスが含まれています
変更は次のとおりです
1 標準には 500ライセンスが含まれます
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix Gateway 130
2 アドバンストには 1000のライセンスが含まれます3 Premiumには CCU要件はありませんつまりお客様は Premiumの CCUを必要としません
Premium 111以降を購した場合はすべてのユースケースでユニバーサルライセンスを使できます
ユーザー数 価格
1-10000 $5
10001-20000 $2
20001+ $15
新しい価格はいつ購者に提供されますか
新しいパッケージは2016年 9 26にリリースされたNS 1114916ビルドに含まれます新しい SKUは 2016年 9 19に公開されます
どのようなバージョンの Citrix ADCが必要ですか
CCUで新しいパッケージをするにはNS 111-4916以降が必要です
既存のお客様はどのようにしてこれをにれるのですか
既存のお客様は新しいパッケージをするには既存の NSバージョンを 11149xxにアップグレードする必要があります
お客様がアップグレードを希望しない場合でSSL VPNにNSを使することを希望する場合は次の点を確認してください
1 Unified Gatewayはアドバンス版またはプレミアム版のみで使できます2 Citrix Virtual Apps and Desktopsプレミアムエディションで CCUを無料で受け取った場合はSSL VPNの CCUを購するか11149xxを実する NSプレミアムエディションを購する必要があります
3 現時点では使シナリオを反映してオンライン EULAが更新されていますそれはここに掲載されますhttpswwwcitrixcombuylicensingproducthtml
4 販売例外プロセスを通じて同じ価格設定を得ることができます
Standardエディションを実しているお客様が 5000ライセンスを購する場合料はいくらですか
お客様が標準エディションを実している場合最初の 500個のユニバーサルライセンスが無料でできます残りの部分は1〜 10000ユーザーに対して 5ドルである新しい価格ごとに課されます
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix Gateway 130
同じお客様が戻ってきてさらに 6000ライセンスを購した場合料はいくらですか
お客様が再び 6000ライセンスを購した場合6000ユーザー 1ユーザーあたり 5ドル = 30000ドルになりますこのを 11000ライセンスで使してもメリットは得られません
年間メンテナンスもこの料に課されます
Standardエディションを実しているお客様が 11000ライセンスを購する場合料はいくらですか
Standard エディションを実している場合は最初の 500 ライセンスが無料でできます残りの場合は10500のユーザー 1ユーザーあたり 2ドル = 21000ドルをお払いいただきます
他のベンダーはどのように課されますかまたお客様に伝えるには何が必要ですか
すべての SSL VPNベンダーはユーザセッションライセンスごとに課されますCitrix社はお客様が CitrixADC Premiumエディションを購する場合ユーザーセッションライセンスごとに課されない唯の企業です
お客様が Citrix Virtual Apps and Desktopsプレミアムエディションで受け取った CCUが 100個ありUnified Gatewayに 100個の CCUを購した場合現在は 200個の CCUがありますか
はい彼らは 200個の CCUを持っていますただしSSL VPNのユースケースには 100個の CCUしか使できませんただしCitrix Virtual Apps and Desktopsのユースケースには 200個の CCUを使できます
コピー完了Failed
はじめに
April 9 2020
Citrix Gatewayをインストールする前にインフラストラクチャを評価し情報を収集して組織の特定のニーズを満たすアクセス戦略を計画する必要がありますアクセス戦略を定義するときはセキュリティへの影響を考慮しリスク分析を完了する必要がありますまたユーザーが接続を許可するネットワークを決定しユーザー接続を有効にするポリシーを決定する必要もあります
ユーザーが使できるリソースの計画に加えて展開シナリオも計画する必要がありますCitrix Gatewayは次の Citrix製品で動作します
bull Citrix Endpoint Managementbull Citrix Virtual Apps
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix Gateway 130
bull Citrix Virtual Desktopsbull StoreFrontbull Web Interfacebull CloudBridge
Citrix Gatewayの展開について詳しくは「般的な展開」および「Citrix製品との統合」を参照してください
アクセス戦略を準備する際には次の予備的な順を実します
bull リソースを特定しますWebSaaSモバイルまたは公開アプリケーション仮想デスクトップサービスリスク分析で定義したデータなどアクセスを提供するネットワークリソースを覧表します
bull アクセスシナリオを作成しますユーザーがネットワークリソースにアクセスする法を説明するアクセスシナリオを作成しますアクセスシナリオはネットワークへのアクセスに使される仮想サーバーエンドポイント分析スキャン結果認証タイプまたはその組み合わせによって定義されますまたユーザーがネットワークにログオンする法を定義することもできます
bull クライアントソフトウェアを識別しますCitrix Gatewayプラグインで完全な VPNアクセスを提供しユーザーは Citrix WorkspaceアプリSecure Hubまたはクライアントレスアクセスを使してログオンする必要がありますまたOutlook Web AppまたはWorxMailへの電メールアクセスを制限することもできますこれらのアクセスシナリオはユーザーがアクセス権を取得したときに実できるアクションも決定しますたとえば公開アプリケーションを使するかファイル共有に接続してユーザーがドキュメントを変更できるかどうかを指定できます
bull ポリシーをユーザーグループまたは仮想サーバーに関連付けますCitrix Gatewayで作成するポリシーは個またはユーザーのセットが指定した条件を満たしたときに適されます作成したアクセスシナリオに基づいて条件を決定します次にユーザーがアクセスできるリソースとそれらのリソースに対してユーザーが実できるアクションを制御することによってネットワークのセキュリティを拡張するポリシーを作成しますポリシーは適切なユーザーグループ仮想サーバーまたはグローバルに関連付けます
この項ではアクセス戦略の計画に役つ次のトピックについて説明します
bull セキュリティの計画には認証と証明書に関する情報が含まれますbull 必要なネットワークハードウェアとソフトウェアを定義する前提条件bull Citrix Gatewayを構成する前に設定を書き留めるために使できるインストール前のチェックリスト
コピー完了Failed
セキュリティの計画
March 26 2020
Citrix Gatewayの展開を計画する際には証明書と認証と承認に関連する基本的なセキュリティ上の問題を理解する必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 39
Citrix Gateway 130
セキュアな証明書管理の設定
デフォルトではCitrix Gatewayには署名の SSL(Secure Sockets Layer)サーバー証明書が含まれておりアプライアンスで SSLハンドシェイクを完了できます署名証明書はテストやサンプル展開には適していますが実稼働環境での使はお勧めしませんCitrix Gatewayを本番環境に展開する前に認証局(CA)から署名された SSLサーバー証明書をリクエストして受信しCitrix Gatewayにアップロードすることをお勧めします
Citrix Gatewayを SSLハンドシェイクでクライアントとして動作させる必要のある環境で(別のサーバーとの暗号化された接続を開始する)Citrix Gatewayを展開する場合は信頼されたルート証明書も Citrix Gatewayにインストールする必要がありますたとえばCitrix Virtual AppsおよびWeb Interfaceを使して Citrix Gatewayを展開する場合Citrix GatewayからWeb Interfaceへの接続を SSLで暗号化できますこの構成では信頼されたルート証明書を Citrix Gatewayにインストールする必要があります
認証のサポート
Citrix Gatewayを構成してユーザーを認証しユーザーが内部ネットワーク上のネットワークリソースに対して持つアクセス(または承認)のレベルを制御できます
Citrix Gatewayを展開する前にネットワーク環境に次のいずれかの認証タイプをサポートするディレクトリと認証サーバーを配置する必要があります
bull LDAPbull RADIUSbull TACACS+bull 監査およびスマートカードをサポートするクライアント証明書bull RADIUSを使した RSA構成bull SAML認証
環境が前述のリストの認証タイプをサポートしていない場合またはリモートユーザーの数が少ない場合はCitrixGatewayでローカルユーザーのリストを作成できますその後このローカルリストに対してユーザーを認証するように Citrix Gatewayを構成できますこの設定ではユーザアカウントを別の外部ディレクトリに保存する必要はありません
Citrix Gatewayのデプロイメントを保護する
展開によってはセキュリティに関する考慮事項が異なる場合がありますCitrix ADC安全な展開ガイドラインにはセキュリティに関する般的なガイダンスが記載されていますこのガイドラインは特定のセキュリティ要件に基づいて適切な安全な展開を決定する際に役ちます
詳しくは「Citrix ADC安全な導ガイドライン」を参照してください
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 40
Citrix Gateway 130
前提条件
April 9 2020
Citrix Gatewayの設定を構成する前に次の前提条件を確認してください
bull Citrix Gatewayはネットワークに物理的にインストールされネットワークにアクセスできますCitrixGatewayはファイアウォールの内側にある DMZまたは内部ネットワークに展開されますダブルホップDMZで Citrix Gatewayを構成しサーバーファームへの接続を構成することもできますDMZにアプライアンスを展開することをお勧めします
bull Citrix Gatewayはユーザーがネットワーク上のリソースにアクセスできるようにデフォルト Gatewayまたは内部ネットワークへの静的ルートを使して構成しますCitrix Gatewayはデフォルトで静的ルートを使するように構成されています
bull 認証および認可に使される外部サーバが設定され実されています詳しくは「認証と承認」を参照してください
bull ネットワークには適切な Citrix Gatewayユーザー機能を提供するために名前解決のドメインネームサーバー(DNS)またはWindowsインターネットネームサービス(WINS)サーバーがあります
bull Citrix Gatewayプラグインを使してユーザー接続するためのユニバーサルライセンスを Citrix Webサイトからダウンロードしライセンスは Citrix Gatewayにインストールできます
bull Citrix Gatewayには信頼された証明機関(CA)によって署名された証明書があります詳しくは「証明書のインストールと管理」を参照してください
Citrix Gatewayをインストールする前にインストール前のチェックリストを使して設定を書き留めます
コピー完了Failed
インストール前のチェックリスト
April 9 2020
チェックリストはCitrix Gatewayをインストールする前に完了する必要があるタスクと計画情報の覧で構成されています
タスクを完了してメモを作成するときに各タスクをチェックオフできるようにスペースが意されていますインストールプロセス中および Citrix Gatewayの構成中にする必要がある構成値をメモしておくことをお勧めします
Citrix Gatewayのインストールと構成の順についてはCitrix Gatewayのインストールを参照してください
copy 1999-2020 Citrix Systems Inc All rights reserved 41
Citrix Gateway 130
ユーザーデバイス
bull ユーザーデバイスがCitrix Gatewayプラグインのシステム要件で説明されているインストールの前提条件を満たしていることを確認します
bull ユーザーが接続するモバイルデバイスを識別します注意 ユーザーが iOSデバイスに接続する場合はセッションプロファイルで「Secure Browse」を有効にする必要があります
Citrix Gatewayの基本的なネットワーク接続
アプライアンスの構成を開始する前にライセンスと署名付きサーバー証明書を取得することをお勧めします
bull Citrix Gatewayのホスト名を特定して書き留めます注 これは完全修飾ドメイン名 (FQDN)ではありませんFQDNは仮想サーバーにバインドされている署名付きサーバー証明書に含まれています
bull ユニバーサルライセンスをCitrixから取得しますbull 証明書署名要求(CSR)を成し認証局(CA)に送信しますCSRを CAに送信する付をしますbull システム IPアドレスとサブネットマスクを書き留めますbull サブネット IPアドレスとサブネットマスクを書き留めますbull 管理者パスワードを書き留めますCitrix Gatewayに付属するデフォルトのパスワードは nsrootですbull ポート番号を書き留めますこれはCitrix Gatewayがセキュアなユーザー接続をリッスンするポートですデフォルトは TCPポート 443ですこのポートはセキュリティで保護されていないネットワーク(インターネット)と DMZの間のファイアウォール上で開かれている必要があります
bull デフォルト Gatewayの IPアドレスを書き留めますbull DNSサーバの IPアドレスとポート番号を書き留めますデフォルトのポート番号は 53ですさらにDNSサーバーを直接追加する場合はアプライアンスで ICMP (ping)も構成する必要があります
bull 最初の仮想サーバの IPアドレスとホスト名を書き留めますbull 2番の仮想サーバの IPアドレスとホスト名 (該当する場合)を書き留めますbull WINSサーバの IPアドレスを書き留めます (該当する場合)
Citrix Gatewayを介してアクセス可能な内部ネットワーク
bull ユーザーが Citrix Gateway経由でアクセスできる内部ネットワークを書き留めます例10100024bull ユーザーが Citrix Gatewayプラグインを使して Citrix Gateway経由で接続するときにアクセスする必要があるすべての内部ネットワークとネットワークセグメントをします
可性
Citrix Gatewayアプライアンスが 2つある場合は1つの Citrix Gatewayが接続を受けれて管理する可性構成でそれらを展開し2つの Citrix Gatewayが最初のアプライアンスを監視します最初の Citrix Gatewayが何らかの理由で接続の受けれを停すると2番の Citrix Gatewayが引き継ぎアクティブな接続の受けれを開始します
copy 1999-2020 Citrix Systems Inc All rights reserved 42
Citrix Gateway 130
bull Citrix Gatewayソフトウェアのバージョン番号をメモしますbull バージョン番号は両の Citrix Gatewayアプライアンスで同じである必要がありますbull 管理者パスワード(nsroot)を書き留めますパスワードは両のアプライアンスで同じである必要があります
bull プライマリ Citrix Gatewayの IPアドレスと IDを書き留めます最 ID番号は 64ですbull セカンダリ Citrix Gatewayの IPアドレスと IDを書き留めますbull ユニバーサルライセンスを取得し両のアプライアンスにインストールしますbull 両のアプライアンスに同じユニバーサルライセンスをインストールする必要がありますbull RPCノードのパスワードを書き留めます
認証と承認
Citrix Gatewayではさまざまな種類の認証と承認がサポートされておりさまざまな組み合わせで使できます認証と認可の詳細については認証と承認を参照してください
LDAP認証
環境に LDAPサーバーが含まれている場合はLDAPを使して認証できます
bull LDAPサーバの IPアドレスとポートを書き留めます
LDAPサーバへのセキュアでない接続を許可する場合デフォルトはポート 389ですSSLを使して LDAPサーバーへの接続を暗号化する場合デフォルトはポート 636です
bull セキュリティの種類を書き留めます
セキュリティは暗号化の有無にかかわらず設定できます
bull 管理者のバインド DNを書き留めます
LDAPサーバーで認証が必要な場合はLDAPディレクトリへのクエリを実するときに Citrix Gatewayが認証に使する管理者 DNをしますたとえばcn =管理者cn =ユーザーdc =エースdc = comなどです
bull 管理者パスワードを書き留めます
これは管理者のバインド DNに関連付けられたパスワードです
bull ベース DNを書き留めます
ユーザーを検索する DN(またはディレクトリレベル)ですたとえばou=usersdc=acedc=comです
bull サーバーのログオン名属性を書き留めます
ユーザーのログオン名を指定する LDAP ディレクトリの物オブジェクト属性をします既定値はsAMAccountNameですActive Directoryを使していない場合この設定に共通する値は cnまたは
copy 1999-2020 Citrix Systems Inc All rights reserved 43
Citrix Gateway 130
uidですLDAPディレクトリ設定の詳細については「LDAP認証の構成」を参照してください
bull グループ属性を書き留めますユーザーが属するグループを指定する LDAPディレクトリ個オブジェクト属性をしますデフォルトはmemberOfですこの属性によりCitrix Gatewayはユーザーが属するディレクトリグループを識別できます
bull サブアトリビュート名を書き留めます
RADIUS認証および認可
環境に RADIUSサーバが含まれている場合は認証に RADIUSを使できますRADIUS認証にはRSA SecurIDセーフワードおよびゲマルトプロティバ製品が含まれます
bull プライマリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull プライマリ RADIUSサーバシークレット(共有シークレット)を書き留めますbull セカンダリ RADIUSサーバの IPアドレスとポートを書き留めますデフォルトのポートは 1812ですbull セカンダリ RADIUSサーバシークレット(共有シークレット)を書き留めますbull パスワードエンコードのタイプ(PAPCHAPMS-CHAP v1MSCHAP v2)を書き留めます
SAML認証
セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準です
bull セキュアな IdP証明書を取得して Citrix Gatewayにインストールしますbull リダイレクト URLを書き留めますbull ユーザフィールドを書き留めますbull 署名証明書の名前を書き留めますbull SAML発者名を書き留めますbull デフォルトの認証グループを書き留めます
ファイアウォールを介したポートのオープン(シングルホップ DMZ)
組織が単の DMZで内部ネットワークを保護しDMZに Citrix Gatewayを展開する場合はファイアウォールを介して次のポートを開きますダブルホップ DMZ展開に 2つの Citrix Gatewayアプライアンスをインストールする場合はファイアウォールで適切なポートを開くを参照してください
copy 1999-2020 Citrix Systems Inc All rights reserved 44
Citrix Gateway 130
セキュリティで保護されていないネットワークと DMZ間のファイアウォール
bull インターネットと Citrix Gatewayの間のファイアウォールで TCPSSLポート(デフォルト 443)を開きますユーザーデバイスはこのポートで Citrix Gatewayに接続します
セキュリティで保護されたネットワーク間のファイアウォール
bull DMZとセキュリティで保護されたネットワーク間のファイアウォールで 1つ以上の適切なポートを開きますCitrix Gatewayは1つ以上の認証サーバーまたはこれらのポート上の保護されたネットワーク内の CitrixVirtual Apps and Desktopsを実しているコンピューターに接続します
bull 認証ポートを書き留めます
Citrix Gateway構成に適したポートのみを開きます
ndash LDAP接続の場合デフォルトは TCPポート 389ですndash RADIUS接続の場合デフォルトはUDPポート 1812ですCitrix Virtual Apps and Desktopsのポートをメモします
bull Citrix Virtual Apps and Desktopsで Citrix Gatewayを使している場合はTCPポート 1494を開きますセッション画の保持を有効にする場合は1494ではなく TCPポート 2598を開きますこれらのポートは両とも開いたままにしておくことをお勧めします
Citrix Virtual DesktopsCitrix Virtual AppsWeb Interfaceまたは StoreFront
Citrix Gatewayを展開してWeb Interfaceまたは StoreFront経由で Citrix Virtual Apps and Desktopsにアクセスできるようにする場合は以下のタスクを実しますこの展開ではCitrix Gatewayプラグインは必要ありませんユーザーはWebブラウザーと Citrix Receiverのみを使してCitrix Gateway経由で公開アプリケーションおよびデスクトップにアクセスします
bull Web Interfaceまたは StoreFrontを実しているサーバーの FQDNまたは IPアドレスを書き留めますbull Secure Ticket Authority(STA)を実しているサーバの FQDNまたは IPアドレスを書き留めます(Web
Interfaceの場合のみ)
Citrix Endpoint Management
内部ネットワークに Citrix Endpoint Managementを展開する場合は以下のタスクを実しますユーザーがインターネットなどの外部ネットワークから Endpoint Managementに接続する場合ユーザーはモバイルWebSaaSアプリケーションにアクセスする前に Citrix Gatewayに接続する必要があります
bull Endpoint Managementの FQDNまたは IPアドレスを書き留めますbull ユーザーがアクセスできるウェブSaaSモバイル iOSまたは Androidアプリケーションを特定します
copy 1999-2020 Citrix Systems Inc All rights reserved 45
Citrix Gateway 130
Citrix Virtual Appsを使したダブルホップ DMZ展開
ダブルホップ DMZ構成で 2つの Citrix Gatewayアプライアンスを展開してCitrix Virtual Appsを実しているサーバーへのアクセスをサポートする場合は以下のタスクを実します
最初の DMZでの Citrix Gateway
最初の DMZは内部ネットワークの最も外側のエッジ (インターネットまたは安全でないネットワークに最も近い)にある DMZですクライアントはDMZとインターネットを分離するファイアウォールを介して最初の DMZのCitrix Gatewayに接続します最初の DMZに Citrix Gatewayをインストールする前にこの情報を収集してください
bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションの項にします
これらの項を完了するとインターフェイス 0はこの Citrix Gatewayをインターネットに接続しインターフェイス 1はこの Citrix Gatewayを 2番の DMZの Citrix Gatewayに接続します
bull プライマリアプライアンスで 2番の DMZアプライアンス情報を設定します
ダブルホップ DMZの最初のホップとして Citrix Gatewayを構成するには最初の DMZのアプライアンス上の 2番の DMZで Citrix Gatewayのホスト名または IPアドレスを指定する必要があります最初のホップでアプライアンス上で Citrix Gatewayプロキシーをいつ構成するかを指定したらCitrix Gatewayにグローバルにバインドするか仮想サーバーにバインドします
bull アプライアンス間の接続プロトコルとポートをメモします
重 DMZ の最初のホップとして Citrix Gateway を構成するには接続プロトコルと 2 番の DMZ のCitrix Gatewayが接続をリッスンするポートを指定する必要があります接続プロトコルとポートは SSLを使する SOCKS (デフォルトのポート 443)ですプロトコルとポートは最初の DMZと 2番の DMZを分離するファイアウォールを介して開かれている必要があります
2番の DMZの Citrix Gateway
2 番の DMZ は内部のセキュアなネットワークに最も近い DMZ です2 番の DMZ に展開された CitrixGatewayはICAトラフィックのプロキシとして機能し外部ユーザーデバイスと内部ネットワーク上のサーバー間で 2番の DMZを通過します
bull この Citrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションのタスクを完了します
これらの項を完了するとインターフェイス 0がこの Citrix Gatewayを最初の DMZの Citrix Gatewayに接続することに注意してくださいインターフェイス 1はこの Citrix Gatewayをセキュリティ保護されたネットワークに接続します
copy 1999-2020 Citrix Systems Inc All rights reserved 46
Citrix Gateway 130
コピー完了Failed
アップグレードしています
March 26 2020
Citrix Gatewayにあるソフトウェアは新しいリリースが利可能になったときにアップグレードできますあなたはCitrixのウェブサイト上で更新を確認することができます 新しいリリースにアップグレードできるのはアップデートがリリースされたときに Citrix Gatewayライセンスが Subscription Advantageプログラムに登録されている場合のみですSubscription Advantageはいつでも更新できます詳細についてはシトリックスサポートWebサイトを参照してください
Citrix Gatewayの最新のメンテナンスリリースについてはCitrix Knowledge Centerを参照してください
ソフトウェアの更新を確認するには
1 シトリックスのWebサイトにアクセスします2 [My Account]をクリックしてログオンします3[ダウンロード]をクリックします4[ダウンロードの検索]で Citrix Gatewayを選択します5 [ダウンロードの種類を選択]で[製品ソフトウェア]を選択し[検索]をクリックします仮想アプライアンスを選択してCitrix ADC VPXをダウンロードすることもできますこの場合対象のハイパーバイザーを選択するためのページが開きます
6[Citrix Gatewayページで[Citrix ADC Gateway]または[Access Gateway]を展開します7 ダウンロードするアプライアンスソフトウェアのバージョンをクリックします8 ダウンロードするバージョンのアプライアンスソフトウェアページで仮想アプライアンスを選択しダウンロードをクリックします
9 画の指に従ってソフトウェアをダウンロードしてください
ソフトウェアをコンピュータにダウンロードしたらアップグレードウィザードまたはコマンドプロンプトを使してソフトウェアをインストールできます
アップグレードウィザードを使して Citrix Gatewayをアップグレードするには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム]をクリックします2 詳細ウィンドウで[アップグレードウィザード]をクリックします3[Next]をクリックしてウィザードの指に従います
copy 1999-2020 Citrix Systems Inc All rights reserved 47
Citrix Gateway 130
コマンドプロンプトを使して Citrix Gatewayをアップグレードするには
1 ソフトウェアを Citrix GatewayにアップロードするにはWinSCPなどのセキュアな FTPクライアントを使してアプライアンスに接続します
2 ソフトウェアをコンピュータからアプライアンスの varnsinstallディレクトリにコピーします
3 PuTTYなどのセキュアシェル(SSH)クライアントを使してアプライアンスへの SSH接続を開きます
4 Citrix Gatewayにログオンします
5 コマンドプロンプトで次のコマンドを実しますshell
6 nsinstall ディレクトリに移動するにはコマンドプロンプトで次のようにしますcd varnsinstall
7 ディレクトリの内容を表するには次のようにしますls
8 ソフトウェアを解凍するにはtar mdashxvzfビルド _X_XXtgzとします
ここでbuild_X_XXtgzはアップグレードするビルドの名前です
9 インストールを開始するにはコマンドプロンプトで次のようにしますinstallns
10 インストールが完了したらCitrix Gatewayを再起動します
Citrix Gatewayの再起動後インストールが正常に完了したことを確認するには構成ユーティリティーを起動しますアプライアンスの Citrix Gatewayのバージョンが右上隅に表されます
コピー完了Failed
システムのインストール
April 9 2020
Citrix Gatewayアプライアンスを受け取ったらアプライアンスを開梱しサイトとラックを準備しますアプライアンスを設置する場所が環境基準を満たしており指に従ってサーバラックが設置されていることを確認したらハードウェアを取り付けますアプライアンスをマウントしたらネットワーク電源および初期設定に使するコンソール端末に接続しますアプライアンスの電源をれたら初期構成を実し管理およびネットワーク IPアドレスを割り当てますインストール順に記載されている注意事項と警告を必ず守ってください
Citrix ADC VPX仮想アプライアンスをインストールする場合はまず仮想アプライアンスのイメージを取得しHypervisorまたは他の仮想マシンモニターにインストールする必要があります
Citrix Gatewayアプライアンスを構成する前に設定を書き留めておくことができるようにCitrix Gatewayのインストール前のチェックリストトピックを使することをお勧めしますこのチェックリストにはCitrix Gatewayとアプライアンスのインストールに関する情報が含まれています
copy 1999-2020 Citrix Systems Inc All rights reserved 48
Citrix Gateway 130
コピー完了Failed
Citrix Gatewayの構成
March 26 2020
Citrix Gatewayで基本ネットワーク設定を構成したらユーザーがセキュリティで保護されたネットワーク上のネットワークリソースに接続できるように詳細設定を構成しますこれらの設定には次のものがあります
bull 仮想サーバCitrix Gatewayで複数の仮想サーバーを構成できるため実装する必要のあるユーザーシナリオに応じて異なるポリシーを作成できます各仮想サーバには独の IPアドレス証明書およびポリシーセットがありますたとえば仮想サーバーを構成しグループのメンバシップと仮想サーバーにバインドするポリシーに応じて内部ネットワークのネットワークリソースにユーザーを制限できます仮想サーバーを作成するには次の法を使します
ndash クイック構成ウィザードndash Citrix Gatewayウィザードndash 構成ユーティリティ
bull 可性ネットワークに 2つの Citrix Gatewayアプライアンスを展開するときに可性を構成できますプライマリアプライアンスに障害が発した場合セカンダリアプライアンスはユーザーセッションに影響を与えずに引き継ぐことができます
bull 証明書証明書を使してCitrix Gatewayへのユーザー接続をセキュリティで保護できます証明書署名要求 (CSR)を作成するときは証明書に完全修飾ドメイン名を追加します証明書を仮想サーバーにバインドできます
bull 認証Citrix Gatewayではローカル LDAPRADIUSSAMLクライアント証明書TACACS+など複数の認証タイプがサポートされていますさらにカスケード認証と 2要素認証を構成できます注認証に RSASafewordまたは Gemalto Protivaを使している場合はRADIUSを使してこれらのタイプを構成します
bull ユーザー接続セッションプロファイルを使してユーザー接続を構成できますプロファイル内ではユーザーがログオンできるプラグインとユーザーが必要とする制限事項を決定できます次に1つのプロファイルでポリシーを作成できますセッションポリシーはユーザーグループ仮想サーバーにバインドできます
bull ホームページデフォルトのアクセスインタフェースをホームページとして使することもカスタムホームページを作成することもできますユーザーが Citrix Gatewayに正常にログオンするとホームページが表されます
bull エンドポイント解析Citrix Gatewayではユーザーのログオン時にユーザーデバイスにソフトウェアファイルレジストリエントリプロセスおよびオペレーティングシステムがないかチェックするポリシーを構成できますエンドポイント分析ではユーザーデバイスに必要なソフトウェアが必要とされるためネットワークのセキュリティを強化できます
copy 1999-2020 Citrix Systems Inc All rights reserved 49
Citrix Gateway 130
コピー完了Failed
構成ユーティリティの使
April 9 2020
構成ユーティリティではほとんどの Citrix Gateway設定を構成できます構成ユーティリティにアクセスするにはWebブラウザを使します
構成ユーティリティにログオンするには
1 WebブラウザでCitrix Gatewayのシステム IPアドレスをします(http1921681001など)注Citrix Gatewayにはデフォルトの IPアドレス1921681001とサブネットマスク25525500が事前構成されています
2 [ユーザー名]と [パスワード]に「nsroot」とします3[展開の種類]で Citrix Gatewayを選択し[ログイン]をクリックします
構成ユーティリティに初めてログオンするとデフォルトで [ホーム]タブにダッシュボードが開きます[ホーム]タブではクイック構成ウィザードを使して仮想サーバー認証証明書および Citrix Endpoint Managementの設定を構成できますクイック構成ウィザードではStoreFrontまたはWeb Interface設定を構成することもできます
Citrix Gatewayの構成について詳しくは以下を参照してください
bull「セットアップウィザードを使した初期設定の構成」を参照してくださいbull Configuring Settings with the Quick Configuration Wizardbull「Citrix Gatewayウィザードを使した設定の構成」を参照してください
コピー完了Failed
Citrix Gatewayのポリシーとプロファイル
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 50
Citrix Gateway 130
Citrix Gatewayのポリシーとプロファイルを使すると特定のシナリオまたは条件下で構成設定を管理および実装できます個々のポリシーでは指定した連の条件が満たされたときに有効になる構成設定を規定または定義します各ポリシーには意の名前がありポリシーにバインドされたプロファイルを持つことができます
Citrix Gatewayでのポリシーの詳細については以下のトピックを参照してください
コピー完了Failed
ポリシーのしくみ
April 9 2020
ポリシーはブール条件とプロファイルと呼ばれる設定の集まりで構成されます条件は実時に評価されポリシーを適する必要があるかどうかを判断します
プロファイルとは特定のパラメータを使した設定の集まりですプロファイルには任意の名前を付けることができ複数のポリシーで再利できますプロファイル内で複数の設定を構成できますがポリシーごとに含めることができるプロファイルは 1つだけです
ポリシーを設定した条件とプロファイルを使して仮想サーバグループユーザーまたはグローバルにバインドできますポリシーは管理する構成設定のタイプによって参照されますたとえばセッションポリシーではユーザーのログオン法やユーザーのログオン状態を維持できる時間を制御できます
Citrix Virtual Appsで Citrix Gatewayを使している場合Citrix Gatewayのポリシー名がフィルターとしてCitrix Virtual Appsに送信されますCitrix Virtual Appsおよび SmartAccessと連携するようにCitrix Gatewayを構成する場合はCitrix Virtual Appsで次の設定を構成します
bull アプライアンス上で構成されている仮想サーバーの名前この名前はCitrix Gatewayファーム名としてCitrix Virtual Appsに送信されます
bull 事前認証またはセッションポリシーの名前はフィルタ名として送信されます
Citrix Endpoint Management と連携するように Citrix Gateway を設定する法の詳細については「CitrixEndpoint Management環境の設定の構成」を参照してください
Citrix Virtual Apps and Desktopsで機能する Citrix Gateway構成について詳しくは「Web Interfaceを使した Citrix Virtual Apps および Citrix Virtual Desktops リソースへのアクセス」および「Citrix EndpointManagementまたは StoreFrontとの統合」を参照してください
事前認証ポリシーの詳細についてはエンドポイントポリシーの設定を参照してください
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 51
Citrix Gateway 130
ポリシーの優先順位の設定
March 26 2020
ポリシーはポリシーがバインドされている順序で優先順位付けされ評価されます
ポリシープライオリティは次の 2つの法で決定します
bull ポリシーがバインドされるレベル(グローバル仮想サーバグループまたはユーザー)ポリシーレベルは次のように上位から下位にランク付けされます
ndash ユーザー(最もい優先度)ndash グループndash 仮想サーバndash グローバル(最も低い優先度)
bull ポリシーがバインドされているレベルに関係なく数値優先順位が優先されますグローバルにバインドされたポリシーの優先順位番号が 1でユーザーにバインドされた別のポリシーの優先順位番号が 2の場合グローバルポリシーが優先されますプライオリティ番号がさいほどポリシーの優先順位がくなります
コピー完了Failed
条件付きポリシーの設定
March 26 2020
ポリシーを設定する場合任意のブール式を使してポリシーが適される条件を表すことができます条件付きポリシーを設定する場合次のような使可能な任意のシステム式を使できます
bull クライアントセキュリティストリングbull ネットワーク情報bull HTTPヘッダーとクッキーbull 時間帯bull クライアント証明書の値
SmartAccessのセッションポリシーなどユーザーデバイスが特定の条件を満たしている場合にのみ適するポリシーを作成することもできます
条件付きポリシーを設定するもう 1つの例はユーザーの認証ポリシーを変更することですたとえば宅のコンピュータやモバイルデバイスからMicro VPNを使するなど内部ネットワークの外部から Citrix Gatewayプラグインを使して接続しているユーザーはLDAPを使して認証されワイドエリアネットワーク(WAN)経由で接続しているユーザーは認証されるように要求できますを使してRADIUSを使します
copy 1999-2020 Citrix Systems Inc All rights reserved 52
Citrix Gateway 130
注ポリシー規則がセッションプロファイルのセキュリティ設定の部として構成されている場合エンドポイント分析結果に基づくポリシー条件は使できません
コピー完了Failed
Citrix Gatewayでのポリシーの作成
March 26 2020
構成ユーティリティを使してポリシーを作成できますポリシーを作成したら適切なレベル (ユーザーグループ仮想サーバーまたはグローバル)にポリシーをバインドしますポリシーをこれらのレベルの 1つにバインドするとポリシー条件が満たされていればユーザーはプロファイル内で設定を受け取ります各ポリシーとプロファイルには意の名前があります
展開の部として Citrix Endpoint Managementまたは StoreFrontを使している場合はクイック構成ウィザードを使してこの展開の設定を構成できますウィザードの詳細についてはConfiguring Settings with theQuick Configuration Wizardを参照してください
コピー完了Failed
システム式の設定
March 26 2020
システム式はポリシーが適される条件を指定しますたとえば事前認証ポリシーの式はユーザーがログオンしているときに適されますセッションポリシーの式はユーザーが認証されCitrix Gatewayにログオンした後に評価され適されます
Citrix Gatewayでは次の式を使できます
bull Citrix Gatewayへの接続を確するときにユーザーが使できるオブジェクトを制限する般的な式bull ユーザーデバイスにインストールして実する必要があるソフトウェアファイルプロセスまたはレジストリ値を定義するクライアントセキュリティ式
bull ネットワーク設定に基づいてアクセスを制限するネットワークベースの式
Citrix GatewayはCitrix ADCアプライアンスとして使することもできますアプライアンス上の部の式はCitrix ADCにより適可能です般的な式とネットワークベースの式はCitrix ADCで般的に使され般的に Citrix Gatewayでは使されませんCitrix Gatewayではクライアントセキュリティ式を使して正しいアイテムがユーザーデバイスにインストールされているかどうかを判断します
copy 1999-2020 Citrix Systems Inc All rights reserved 53
Citrix Gateway 130
クライアントセキュリティ式の設定
式はポリシーのコンポーネントです式は要求または応答に対して評価される単の条件を表します次のような条件をチェックする単純な式のセキュリティ字列を作成できます
bull サービスパックを含むユーザーデバイスのオペレーティングシステムbull ウイルス対策ソフトウェアのバージョンとウイルス定義bull ファイルbull プロセスbull レジストリ値bull ユーザー証明書
コピー完了Failed
単純な式と複合式を作成する
March 26 2020
単純な式は単の条件をチェックします単純な式の例を次にします
REQHTTPURL == HTTPwwwmycompanycom
複合式は複数の条件をチェックします複合式を作成するには論理演算 ampampと
シンボルを使して評価の順序で式をグループ化できます
複合式は次のように分類できます
bull 名前の付いた式独したエンティティとして名前付き式は他のポリシーで再利できポリシーの部になります名前付き式は設定ユーティリティのシステムレベルで設定します定義済みの名前付き式をポリシーで使することも独の式を作成することもできます
bull インライン式インライン式はポリシーに固有のポリシー内で構築する式です
名前付き式を作成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[AppExpert]を展開し[式]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [ポリシー式の作成]ダイアログボックスの [式名]に式の名前をします
copy 1999-2020 Citrix Systems Inc All rights reserved 54
Citrix Gateway 130
4 式を作成するには[追加]をクリックします5 次のいずれかをいます
a) [よく使する式]で覧から式を選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします
b) [式を作成]で式字列のパラメータを選択し[OK]をクリックし[作成]をクリックして[閉じる]をクリックします
コピー完了Failed
カスタム式の追加
March 26 2020
ポリシーを作成する場合はポリシーの設定中にカスタム式を作成できますたとえばユーザーが Citrix Gatewayプラグインを使してログオンしたりセッションの制限時間を設定したりWindowsでシングルサインオンを許可したりするためのセッションプロファイルを作成するとしますセッションプロファイルを作成したら[セッションポリシーの作成]ダイアログボックスで式を作成できます次の例はプロセスおよびウイルス対策アプリケーションをチェックする式をしています
クライアントアプリケーションプロセス (ccappexe)は存在する-頻繁な 5 ampampampクライアントアプリケーションAV (シマンテック) バージョン ==1420029-新鮮さ 5 ampampampns_true
コピー完了Failed
ポリシー式での演算と演算の使
March 26 2020
演算は1つまたは複数のオブジェクト (オペランドを操作する演算ブール演算リレーショナルなど)を識別する記号ですこのトピックの最初のセクションでは使できる演算を定義し定義をします2番のセクションではメソッドURLクエリなどの特定の修飾で使できる演算をします
演算と定義
このセクションではポリシー式を作成するときに使できる演算を定義しその演算について説明します
bull == =等式次数
copy 1999-2020 Citrix Systems Inc All rights reserved 55
Citrix Gateway 130
これらの演算は完全致をテストします字と字が区別されます(rsquolsquocmdexerdquoは ldquocMdexerdquo lsquoと等しくありません)これらの演算は正確な構を満たす特定の字列を許可するが他の字列を除外する権限を作成する場合に便利です
bull GT
この演算は数値較に使されますこれはURLとクエリ字列のさに使されます
bull CONTAINS NOTCONTAINS
これらの演算は指定された修飾に対してチェックを実し指定された字列が修飾に含まれているかどうかを判断しますこれらの演算では字と字は区別されません
bull EXISTS NOTEXISTS
これらの演算は特定の修飾の存在をチェックしますたとえばこれらの演算を HTTPヘッダーに適して特定の HTTPヘッダーが存在するかまたは URLクエリが存在するかを判断できます
bull CONTENTS
この演算は修飾が存在し内容があるかどうか(つまり値に関係なくヘッダーが存在しそれに関連付けられた値があるかどうか)をチェックします
修飾演算オペランドアクションおよび例
このセクションでは演算とオペランドに使できるパラメータをします各項は修飾で始まり関連する演算とオペランドがリストされ式が実するアクションが記述され例がされます
bull 法
演算EQNEQオペランド必須-標準 HTTPメソッド-サポートされているメソッド- GET HEAD POST PUT DELETE OPTIONS TRACE CONNECTアクション設定されたメソッドへの着信要求メソッドを検証します例メソッド EQ GET
URL
bull
演算EQ NEQオペランド必須URL (形式[プレフィックス] [] [サフィックス])アクション設定された URLで着信 URLを確認します例URL EQFooaspURL EQ foo
copy 1999-2020 Citrix Systems Inc All rights reserved 56
Citrix Gateway 130
URL EQ aspURL EQ fooasp
bull
演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)アクション構成されたパターンの有無について着信 URLを検証します(URLおよび URLクエリを含む)例URLは lsquoZZZrsquoを含み
bull URL LEN
演算GTオペランド必須さ (整数値)処理着信 URLのさと設定されたさを較します(URLおよび URLクエリを含む)例URLLEN GT 60
bull URL QUERY
演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信 URLクエリーで構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の URLクエリ全体が使されますオプションが存在する場合パターンの後のクエリのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例URLQUERY CONTAINS lsquoZZZrsquo
bull URL QUERY LEN
演算GTオペランド必須さ (整数値)処理着信 URLクエリのさと設定されたさを較します例URLQUERYLN GT 60
bull URL TOKENS
演算EQ NEQオペランド必須URLトークン (サポートされている URLトークン = + amp)アクション着信URLを較して設定されたトークンの存在を確認します疑問符の前にバックスラッシュ()をする必要があります例URLTOKENS EQ lsquo + amp rsquo
bull VERSION
copy 1999-2020 Citrix Systems Inc All rights reserved 57
Citrix Gateway 130
演算EQ NEQオペランド必須標準 HTTPバージョン有効な HTTPバージョン字列 HTTP10HTTP11アクション着信リクエストの HTTPバージョンと設定された HTTPバージョンを較します例VERSION EQ HTTP11
Header
bull
演算EXISTSNOTEXISTSオペランドなし処理受信要求で HTTPヘッダーの存在を検査します例Header Cookie EXISTS
bull
演算CONTAINSNOTCONTAINSオペランド必須任意の字列 (引符で囲む)オプションさおよびオフセット処理着信要求で特定のヘッダーに構成されたパターンが存在するかどうかを検証しますCONTENTSと同様に使されますオプションが指定されていない場合はパターンの後の HTTPヘッダー値全体が使されますオプションが存在する場合パターンの後のヘッダーのさのみが使されますオフセットはパターンの検索を開始する位置をすために使されます例Header Cookie CONTAINS ldquoampsidrdquo
bull
演算CONTENTSオペランドオプションさおよびオフセット処理HTTPヘッダーの内容を使しますオプションを指定しない場合はHTTPヘッダー値全体が使されますオプションが存在する場合オフセットから始まるヘッダーのさのみが使されます例Header User-Agent CONTENTS
bull SOURCEIP
オペレータEQ NEQオペランド必須IPアドレスオプションサブネットマスクアクション着信要求の送信元 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550
bull DESTIP
オペレータEQ NEQオペランド必須IPアドレス
copy 1999-2020 Citrix Systems Inc All rights reserved 58
Citrix Gateway 130
オプションサブネットマスクアクション着信要求の宛先 IPアドレスを設定された IPアドレスと照合して検証しますオプションのサブネットマスクが指定されている場合着信要求は設定された IPアドレスおよびサブネットマスクに対して検証されます例Sourceip EQ 1921681000 -netmask 2552552550
bull SOURCEPORT
オペレータEQ NEQオペランド必須ポート番号オプションポート範囲アクション着信要求の送信元ポート番号を設定されたポート番号と照合して検証します例SOURCEPORT EQ 10-20
bull DESTPORT
オペレータEQNEQオペランド必須ポート番号オプションポート範囲アクション着信要求の宛先ポート番号を設定されたポート番号と照合して検証します例DESTPORT NEQ 80
bull CLIENTSSLVERSION
演算EQ NEQオペランド必須SSLバージョンアクションセキュアな接続で使されている SSLまたは TLSバージョンのバージョンを確認します例CLIENTSSLVERSION EQ SSLV3
bull CLIENTCIPHERTYPE
演算EQ NEQオペランド必須クライアント暗号タイプアクション使されている暗号の種類 (エクスポートまたはエクスポート)をチェックします例CLIENTCIPHERTYPE EQ EXPORT
bull CLIENTCIPHERBITS
演算EQNEQGELEGTLTオペランド必須クライアント暗号ビットアクション使されている暗号の鍵強度をチェックします例CLIENTCIPHERBITS GE 40
bull CLIENTCERT
演算EXISTSNOTEXISTSオペランドnoneアクションクライアントが SSLハンドシェイク中に有効な証明書を送信したかどうかを確認します例CLIENTCERT EXISTS
copy 1999-2020 Citrix Systems Inc All rights reserved 59
Citrix Gateway 130
bull CLIENTCERTVERSION
オペレータEQ NEQ GE LE GT LTオペランドクライアント証明書バージョンアクションクライアント証明書のバージョンを確認します例CLIENTCERTVERSION EQ 2
bull CLIENTCERTSERIALNUMBER
オペレータEQ NEQオペランド必須クライアント証明書のシリアル番号アクションクライアント証明書のシリアル番号を確認しますシリアル番号は字列として扱われます例CLIENTCERTSER IALNUMBER EQ 2343323
bull CLIENTCERTSIGALGO
演算EQ NEQオペランド必須クライアント証明書の署名アルゴリズムアクションクライアント証明書で使されている署名アルゴリズムをチェックします例CLIENTCERTSIGALGO EQ md5WithRSAEncryption
bull CLIENTCERTSUBJECT
演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書のサブジェクトオプションさオフセットアクションクライアント証明書のサブジェクトフィールドをチェックします例CLIENTCERTSUBJECT CONTAINS CN= Access_Gateway
bull CLIENTCERTISSUER
演算CONTAINSNOTCONTAINSオペランド必須クライアント証明書発者オプションさオフセットアクションクライアント証明書の発者フィールドをチェックします例CLIENTCERTISSUER CONTAINS O=VeriSign
bull CLIENTCERTVALIDFROM
演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効である付を確認します有効な付フォーマットは1994年 11 5()081231(グリニッジ標準時)曜11 9〜 94午前 8時 12分 31秒(グリニッジ標準時)曜11 14午前 8時 12分 31秒()です
copy 1999-2020 Citrix Systems Inc All rights reserved 60
Citrix Gateway 130
bull CLIENTCERTVALIDTO
演算EQ NEQ GE LE GT LTオペランド必須付処理クライアント証明書が有効になるまでの付をチェックします有効な付フォーマットは次のとおりですTue 05 Nov 1994 081231 GMTTuesday 05-Nov-94 081231 GMTTue Nov 14 081231 1994Example CLIENTCERTVALIDTO GE lsquoTue Nov 14 081231 1994rsquo
コピー完了Failed
Citrix Gatewayの構成設定の表
March 26 2020
Citrix Gatewayの構成を変更するとその変更はログファイルに保存されますいくつかのタイプの構成設定を表できます
bull 保存された設定Citrix Gatewayに保存した設定を確認できますbull 実構成仮想サーバーや認証ポリシーなどCitrix Gatewayに保存した構成として保存していないアクティブな設定を表できます
bull 実構成と保存構成の較Citrix Gatewayで実中および保存済みの構成を並べて較できます
Citrix Gatewayの構成設定をクリアすることもできます
重要Citrix Gatewayの設定をクリアすると証明書仮想サーバーポリシーが削除されます構成をクリアしないことをお勧めします
コピー完了Failed
Citrix Gateway構成の保存
March 26 2020
Citrix Gatewayの現在の構成をネットワーク上のコンピューターに保存したり現在の実構成を表したり保存済み構成と実構成を較したりできます
copy 1999-2020 Citrix Systems Inc All rights reserved 61
Citrix Gateway 130
Citrix Gateway上に構成を保存するには
1 構成ユーティリティの詳細ペインの上にある [保存]アイコンをクリックし[はい]をクリックします
Citrix Gatewayで構成ファイルを表および保存するには
保存された構成は仮想サーバーポリシーIPアドレスユーザーグループ証明書の設定などCitrix Gatewayのログファイルに保存される設定です
Citrix Gatewayで設定を構成するときにその設定をコンピューター上のファイルに保存できますCitrix Gatewayソフトウェアを再インストールする必要がある場合や誤って部の設定を削除した場合はこのファイルを使して構成を復元できます設定を復元する必要がある場合はファイルを Citrix GatewayにコピーしコマンドラインインターフェイスまたはWinSCPなどのプログラムを使してアプライアンスを再起動してファイルを CitrixGatewayにコピーします
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします
2 詳細ペインの [構成の表]で[保存された構成]をクリックします3 [保存された構成]ダイアログボックスで[出テキストをファイルに保存]をクリックしファイルに名前を付け[保存]をクリックします注nsconfというファイル名でファイルを保存することをお勧めします
現在の実構成を表するには
Citrix Gatewayに加えた変更を保存する間をかけずに実構成と呼びますこれらの設定は Citrix Gatewayで有効ですがアプライアンスには保存されませんポリシー仮想サーバユーザグループなどの追加設定を構成した場合は実構成でこれらの設定を表できます
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします
2 詳細ペインの [構成の表]で[実構成]をクリックします
保存された構成と実構成を較するには
アプライアンスに保存されている設定を確認しそれらの設定を実構成と較できます実構成を保存するか構成を変更するかを選択できます
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします
2 詳細ペインの [構成の表]で[保存済み vs実中]をクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 62
Citrix Gateway 130
Citrix Gateway構成のクリア
March 26 2020
Citrix Gatewayの構成設定をクリアできます次の 3つのレベルのうちクリアする設定を選択できます
重要Citrix Gatewayの構成設定をクリアする前に構成を保存することをお勧めします
bull 基本システム IPアドレスデフォルト Gatewayマッピングされた IPアドレスサブネット IPアドレスDNS設定ネットワーク設定可性設定管理パスワード機能およびモード設定を除きアプライアンス上のすべての設定をクリアします
bull [拡張] システム IPアドレスマッピング IPアドレスサブネット IPアドレスDNS設定および可性定義を除くすべての設定をクリアします
bull フルアプライアンスへのネットワーク接続を維持するために必要なシステム IP(NSIP)アドレスとデフォルトルートを除く場出荷時の設定に構成を復元します
構成のすべてまたは部をクリアすると機能設定は場出荷時のデフォルト設定に設定されます
構成をクリアしても証明書やライセンスなどCitrix Gatewayに保存されているファイルは削除されませんファイル nsconfは変更されません構成をクリアする前に構成を保存する場合はまず構成をコンピュータに保存します構成を保存するとCitrix Gatewayで nsconfファイルを復元できますアプライアンスにファイルを復元して Citrix Gatewayを再起動するとnsconfの構成設定が復元されます
rcconfなどの設定ファイルへの変更は元に戻りません
可性ペアを使している場合両の Citrix Gatewayアプライアンスが同じように変更されますたとえば1つのアプライアンスの基本設定をクリアすると変更内容が 2番のアプライアンスに伝播されます
Citrix Gatewayの構成設定をクリアするには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします
2 詳細ペインの [メンテナンス]で[構成のクリア]をクリックします3 [構成レベル]でクリアするレベルを選択し[実]をクリックします
コピー完了Failed
ウィザードを使した Citrix Gatewayの構成
April 9 2020
Citrix Gatewayにはアプライアンスの設定に使できる次の 6つのウィザードがあります
copy 1999-2020 Citrix Systems Inc All rights reserved 63
Citrix Gateway 130
bull Citrix Gatewayアプライアンスに初めてログオンすると初回セットアップウィザードが表されますbull セットアップウィザードではCitrix Gatewayの基本設定を初めて構成できますbull Citrix Endpoint Managementの統合構成はCitrix Gatewayと Citrix Endpoint Management環境を構成するのに役ちます
bull クイック構成ウィザードではCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceへの接続に関する正しいポリシー式および設定を構成できます
bull Citrix GatewayウィザードではCitrix Gateway固有の設定を構成できますbull 公開アプリケーションウィザードではCitrix Workspaceアプリを使してユーザー接続の設定を構成できます
初回セットアップウィザードの仕組み
Citrix Gatewayアプライアンスの初期設定のインストールと構成が完了したら構成ユーティリティに初めてログオンするときに次の条件が満たされない場合は初回セットアップウィザードが表されます
bull アプライアンスにライセンスがインストールされていませんbull サブネットまたはマッピング IPアドレスを設定していませんbull アプライアンスのデフォルト IPアドレスが 1921681001の場合
セットアップウィザードの仕組み
セットアップウィザードを使してアプライアンスで次の初期設定を構成します
bull システム IPアドレスとサブネットマスクbull マッピングされた IPアドレスとサブネットマスクbull ホスト名bull デフォルトゲートウェイbull ライセンス
注セットアップウィザードを実する前にCitrixのWebサイトからライセンスをダウンロードしてください詳細については「Citrix Gatewayのライセンス」を参照してください
統合 Citrix Endpoint Management構成の仕組み
Citrix Endpoint Management MDMを使して Citrix Gatewayを展開するとアプリケーションのスケーリング可性の確保およびセキュリティの維持が可能ですCitrix Endpoint Management構成を使するにはバージョン 101ビルド 1201316eをインストールする必要があります
統合 Citrix Endpoint Management構成では次のものが作成されます
bull デバイスマネージャのロードバランシングサーバ
copy 1999-2020 Citrix Systems Inc All rights reserved 64
Citrix Gateway 130
bull メールフィルタリング機能を備えたMicrosoft Exchangeのサーバーの負荷分散bull ShareFileのサーバーの負荷分散
統合 Citrix Endpoint Management構成での設定の作成について詳しくは「Citrix Endpoint Management環境の設定の構成」を参照してください
クイック構成ウィザードの仕組み
クイック構成ウィザードではCitrix Gatewayで複数の仮想サーバーを構成できます仮想サーバーを追加編集削除できます
クイック構成ウィザードでは次の展開をシームレスに構成できます
bull Citrix Virtual Apps and DesktopsへのWeb Interface接続Secure Ticket Authority(STA)の複数のインスタンスを構成できます
bull Citrix Endpoint Managementのみbull StoreFrontのみbull Citrix Endpoint Managementと StoreFrontの併
クイック構成ウィザードではアプライアンスで次の設定を構成できます
bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull LDAPサーバーbull RADIUSサーバーbull 証明書bull DNSサーバーbull Citrix Endpoint Managementと Citrix Virtual Apps and Desktops
Citrix GatewayはCitrix Endpoint Managementへのユーザー接続を直接サポートしますこれによりユーザーは ShareFileへのアクセスに加えて分のWebSaaSおよびモバイルアプリケーションにアクセスできるようになりますStoreFrontの設定を構成してユーザーがWindowsベースのアプリケーションおよび仮想デスクトップにアクセスできるようにすることもできます
クイック構成ウィザードを実するとCitrix Endpoint ManagementStoreFrontおよびWeb Interfaceの設定に基づいて次のポリシーが作成されます
bull セッションポリシー(ReceiverReceiver for WebCitrix Gatewayプラグインおよびプログラムネイバーフッドエージェントのポリシーとプロファイルなど)
bull クライアントレスアクセスbull LDAPおよび RADIUS認証
Citrix Gatewayウィザードの仕組み
Citrix Gatewayウィザードを使してアプライアンスで次の設定を構成します
copy 1999-2020 Citrix Systems Inc All rights reserved 65
Citrix Gateway 130
bull 仮想サーバーbull 証明書bull ネームサービスプロバイダbull 認証bull 承認bull ポートのリダイレクトbull クライアントレスアクセスbull SharePointのクライアントレスアクセス
公開アプリケーションウィザードの仕組み
公開アプリケーションウィザードを使して内部ネットワーク内の Citrix Virtual Apps and Desktopsを実しているサーバーに接続するように Citrix Gatewayを構成します公開アプリケーションウィザードでは次の操作を実できます
bull サーバファームに接続する仮想サーバを選択しますbull Web Interfaceまたは StoreFrontのユーザー接続シングルサインオンおよび Secure Ticket Authorityの設定を構成します
bull SmartAccessのセッションポリシーを作成または選択します
ウィザード内ではユーザー接続のセッションポリシー式を作成することもできますサーバーファームに接続するように Citrix Gatewayを構成する法の詳細については「Web Interfaceを使した公開アプリケーションおよび Virtual Desktopsへのアクセスの提供」を参照してください
コピー完了Failed
初回セットアップウィザードを使した Citrix Gatewayの構成
March 26 2020
Citrix Gateway(物理アプライアンスまたは VPX仮想アプライアンス)を初めて構成するにはアプライアンスと同じネットワーク上に構成された管理コンピューターが必要です
アプライアンスの管理 IPアドレスとしてCitrix Gateway IP(NSIP)アドレスとサーバーが接続できるサブネット IP(SNIP)アドレスを割り当てる必要がありますCitrix Gatewayと SNIPアドレスの両に適されるサブネットマスクを割り当てますタイムゾーンも設定する必要がありますホスト名を割り当てる場合はNSIPアドレスの代わりに名前を指定してアプライアンスにアクセスできます
初回セットアップウィザードには2つのセクションがあります最初のセクションではCitrix Gatewayアプライアンスの基本的なシステム設定を構成します
copy 1999-2020 Citrix Systems Inc All rights reserved 66
Citrix Gateway 130
bull NSIPアドレスSNIPアドレスサブネットマスクbull アプライアンスのホスト名bull DNSサーバーbull タイムゾーンbull 管理者パスワード
2番のセクションではライセンスをインストールしますDNSサーバーのアドレスを指定するとローカルコンピューターからアプライアンスにライセンスをアップロードする代わりにハードウェアシリアル番号 (HSN)またはライセンスアクティベーションコード (LAC)を使してライセンスを割り当てることができます
注ライセンスをローカルコンピュータに保存することをお勧めします
これらの設定の構成が完了するとCitrix Gatewayからアプライアンスの再起動を求めるメッセージが表されますアプライアンスに再度ログオンすると他のウィザードと構成ユーティリティを使して追加設定を構成できます
コピー完了Failed
Configuring Settings with the Quick ConfigurationWizard
April 9 2020
Citrix Gatewayでクイック構成ウィザードを使してCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceとの通信を有効にするための設定を構成できます構成が完了するとウィザードによってCitrixGatewayEndpoint ManagementStoreFrontまたはWeb Interface間の通信に関する適切なポリシーが作成されますこれらのポリシーには認証セッションおよびクライアントレスアクセスポリシーが含まれますウィザードが完了するとポリシーが仮想サーバにバインドされます
クイック構成ウィザードを完了するとCitrix Gatewayは Endpoint Managementまたは StoreFrontと通信できユーザーはWindowsベースのアプリケーション仮想デスクトップWebSaaSおよびモバイルアプリケーションにアクセスできますユーザーは Endpoint Managementに直接接続できます
ウィザードでは次の設定を構成します
bull 仮想サーバ名IPアドレスおよびポートbull セキュアポートからセキュアポートへのリダイレクションbull 証明書bull LDAPサーバーbull RADIUSサーバーbull 認証のクライアント証明書 (2要素認証のみ)bull Endpoint ManagementStoreFrontまたはWeb Interface
copy 1999-2020 Citrix Systems Inc All rights reserved 67
Citrix Gateway 130
クイック構成ウィザードはLDAPRADIUSおよびクライアント証明書の認証をサポートしますウィザードで 2要素認証を構成するには次のガイドラインに従います
bull プライマリ認証タイプとして LDAPを選択した場合はセカンダリ認証タイプとして RADIUSを設定できます
bull プライマリ認証タイプとして RADIUSを選択した場合はセカンダリ認証タイプとして LDAPを設定できます
bull プライマリ認証タイプとしてクライアント証明書を選択した場合はセカンダリ認証タイプとして LDAPまたは RADIUSを設定できます
クイック構成ウィザードを使して複数の LDAP認証ポリシーを作成することはできませんたとえば[サーバーログオン名の属性]フィールドで sAMAccountNameを使するポリシーと[サーバーログオン名の属性]フィールドでユーザープリンシパル名 (UPN)を使する LDAPポリシーを構成するとしますこれらの個別のポリシーを構成するにはCitrix Gateway構成ユーティリティを使して認証ポリシーを作成します詳しくは「LDAP認証の構成」を参照してください
簡易構成ウィザードでは以下の法を使してCitrix Gatewayの証明書を構成できます
bull アプライアンスにインストールされている証明書を選択しますbull 証明書と秘密キーをインストールしますbull テスト証明書を選択します注テスト証明書を使する場合は証明書に含まれる完全修飾ドメイン名 (FQDN)を追加する必要があります
クイック構成ウィザードは次の 2つの法のいずれかで開くことができます
bull Citrix Gatewayのログオンページで[展開の種類]で[Citrix Gateway]を選択すると[ホーム]タブが表されます[展開の種類]で他のオプションを選択すると[ホーム]は表されません
bull Citrix Gatewayの詳細ペインの[Citrix Gatewayの作成監視]リンクから選択しますCitrix ADC機能を有効にするライセンスをインストールするとこのリンクが表されますCitrix Gatewayのみのアプライアンスのライセンスを取得した場合リンクは表されません
ウィザードを最初に実した後ウィザードを再度実して追加の仮想サーバーと設定を作成できます
重要クイック構成ウィザードを使して追加の Citrix Gateway仮想サーバーを構成する場合は意の IPアドレスを使する必要があります既存の仮想サーバーで使されている IPアドレスと同じ IPアドレスを使することはできませんたとえばIPアドレスが 192168105でポート番号が 80の仮想サーバーがあるとしますポート番号 443の IPアドレス 192168105の 2番の仮想サーバーを作成するのにはクイック構成ウィザードを実します構成を保存しようとするとエラーが発します
クイック構成ウィザードで設定を構成するには
1 構成ユーティリティで次のいずれかの操作をいますa) アプライアンスに Citrix Gatewayのみのライセンスが付与されている場合は[ホーム]タブをクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 68
Citrix Gateway 130
b) アプライアンスに Citrix ADC機能を含めるライセンスが付与されている場合は[構成]タブのナビゲーションペインで[Citrix Gateway]をクリックし詳細ペインの[はじめに]で[エンタープライズストアの Citrix Gatewayの構成]をクリックします
2 ダッシュボードで[新しい Citrix Gatewayの作成]をクリックします3 Citrix Gatewayの設定で以下を構成します
a) [名前]に仮想サーバーの名前をしますb) [IPアドレス]に仮想サーバーの IPアドレスをしますc)[Port]ボックスにポート番号をしますデフォルトのポート番号は 443ですd) ポート 80からポート 443へのユーザー接続を許可するには[ポート 80からセキュアポートへ要求をリダイレクト]を選択します
4[続]をクリックします5 [証明書]ページで次のいずれかの操作をいます
a) [証明書の選択]をクリックし[証明書]で証明書を選択しますb) [証明書のインストール]をクリックし[証明書の選択]で [キーの選択]の [参照]をクリックして証明書と秘密キーに移動します
c) [テスト証明書の使]をクリックし[証明書 FQDN]にテスト証明書に含まれる完全修飾ドメイン名(FQDN)をします
6[続]をクリックします7 [認証設定]で次の操作をいます
a) [プライマリ認証]で[LDAP][RADIUS]または [証明書]を選択しますb) 認証サーバーを選択するか前の順で選択した認証タイプの設定を構成します[Cert]を選択した場合はクライアント証明書を選択するか新しいクライアント証明書をインストールします
c) [セカンダリ認証]で認証の種類を選択し認証サーバーの設定を構成します8[続]をクリックします
ネットワークと認証の設定が完了したらCitrix Endpoint Management または Citrix Virtual Apps andDesktops(StoreFrontまたはWeb Interface)の設定を構成できます
エンタープライズストア設定の構成
Citrix Gateway ではWebSaaSモバイルアプリケーションおよび ShareFile へのユーザーアクセスはEndpoint Management経由でのみサポートされますStoreFrontまたはWeb Interfaceも展開するとユーザーはWindowsベースのアプリと仮想デスクトップにアクセスできます次のオプションの設定を構成できます
bull Endpoint Managementのみbull StoreFrontのみbull Endpoint Managementと StoreFrontの併bull Web Interfaceのみ
前の順で [続]をクリックすると展開シナリオの設定を構成できます次の順はCitrixの統合設定ページで開始します
copy 1999-2020 Citrix Systems Inc All rights reserved 69
Citrix Gateway 130
仮想サーバーを作成した後クイック構成ウィザードで仮想サーバーを編集してもCitrix Endpoint Managementまたは Citrix Virtual Apps and Desktopsの設定は変更できません
たとえばCitrix Enterprise Storeの設定を構成する前に仮想サーバーの構成をキャンセルすると設定をわずにWebインターフェイスが動的に選択されますこの状況が発した場合Web Interfaceを構成するために仮想サーバーの詳細を編集することはできますがCitrix Endpoint Managementに切り替えることはできません切り替えるには新しい仮想サーバを作成する必要があります構成中はウィザードをキャンセルしないでくださいWeb Interface仮想サーバーが必要ない場合はクイック構成ウィザードを使して削除できます
StoreFrontのみの設定を構成するには
1[Citrix Virtual Apps and Desktops]をクリックします2 [展開の種類]で[StoreFront]を選択します3 StoreFront サーバーの完全修飾ドメイン名(FQDN)にStoreFront サーバーの完全修飾ドメイン名(FQDN)をします
4 Receiver for Webパスでデフォルトのパスをそのまま使するか独のパスをします5 セキュアなユーザー接続の場合は[HTTPS]を選択します6「シングルサインオンドメイン」でStoreFrontのドメインをします7 StoreFrontを展開しCitrix Virtual Appsまたは Citrix Virtual Desktopsから公開アプリケーションへのアクセスを許可する場合はSTA URLにSecure Ticket Authority(STA)を実しているサーバーの完全な IPアドレスまたは FQDNをします
8[完了]をクリックします
ユーザーが Citrix Gateway経由で StoreFrontに接続するとユーザーは Receiver for Webまたは Receiverからアプリやデスクトップを起動できます
Endpoint Managementのみの設定を構成するには
1[Citrix Endpoint Management]をクリックします2 [App Controller FQDN]にEndpoint Managementの FQDNをします3[完了]をクリックします
Web Interface設定を構成するには
1 クイック構成ウィザードで[Citrix Virtual Apps and Desktops]をクリックします2 [展開の種類]で [Web Interface]を選択し次の構成をいます
a)[Citrix Virtual AppsサイトのURL]にWeb Interfaceの完全な IPアドレスまたは FQDNをします
b) Citrix Virtual Appsサービスサイトの URLにPNAgentパスを含むWeb Interfaceの完全な IPアドレスまたは FQDNをします既定のパスをすることも独のパスをすることもできます
copy 1999-2020 Citrix Systems Inc All rights reserved 70
Citrix Gateway 130
c)「シングルサインオンドメイン」で使するドメインをしますd) [STA URL]にSTAを実しているサーバーの完全な IPアドレスまたは FQDNをします
3[完了]をクリックします
コピー完了Failed
Citrix Gatewayウィザードを使した設定の構成
April 9 2020
セットアップウィザードを実した後Citrix Gatewayウィザードを実して Citrix Gatewayに追加の設定を構成できますCitrix Gatewayウィザードは構成ユーティリティから実します
Citrix Gatewayにはテスト証明書が付属しています認証局(CA)からの署名付き証明書がない場合はCitrixGatewayウィザードを使してテスト証明書を使できます署名付き証明書を受け取ったらテスト証明書を削除し署名付き証明書をインストールできますCitrix Gatewayを公開する前に署名付き証明書を取得することをお勧めします
注証明書署名リクエスト(CSR)はCitrix Gatewayウィザードから作成できますCitrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了しCAから署名付き証明書を受け取ったときにウィザードを再度開始する必要があります証明書について詳しくは「証明書のインストールと管理」を参照してください
仮想サーバーを構成するときにCitrix Gatewayウィザードでインターネットプロトコルバージョン 6(IPv6)のユーザー接続を構成できますユーザー接続の IPv6の使について詳しくはユーザ接続の IPv6の設定を参照してください
Citrix Gatewayウィザードを起動するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]をクリックします
2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3[Next]をクリックしてウィザードの指に従います
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 71
Citrix Gateway 130
Citrix Gatewayでのホスト名および完全修飾ドメイン DNの構成
March 26 2020
ホスト名はライセンスファイルに関連付けられた Citrix Gatewayアプライアンスの名前ですホスト名はアプライアンスに固有でユニバーサルライセンスをダウンロードするときに使されますホスト名はセットアップウィザードを実して Citrix Gatewayを初めて構成するときに定義します
完全修飾ドメイン名 (FQDN)は仮想サーバーにバインドされる署名付き証明書に含まれますCitrix GatewayでFQDNを構成しないでください1つのアプライアンスは証明書を使して Citrix Gatewayで構成された各仮想サーバーに意の FQDNを割り当てることができます
証明書の詳細を表すると証明書の FQDNを検索できますFQDNは証明書のサブジェクトフィールドにあります
証明書の FQDNを表するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします
2 詳細ペインで証明書を選択し[操作][詳細]の順にクリックします3 [証明書の詳細]ダイアログボックスで[件名]をクリックします証明書の FQDNが覧に表されます
コピー完了Failed
証明書のインストールと管理
March 26 2020
Citrix Gatewayでは証明書を使して安全な接続を作成しユーザーを認証します
セキュアな接続を確するには接続のの端にサーバー証明書が必要ですサーバー証明書を発した認証局(CA)のルート証明書は接続のもうの端に必要です
bull サーバー証明書サーバー証明書はサーバーの IDを証明しますCitrix Gatewayではこの種類のデジタル証明書が必要です
bull ルート証明書ルート証明書はサーバー証明書に署名した CAを識別しますルート証明書は CAに属しますユーザーデバイスではサーバー証明書を検証するためにこのタイプのデジタル証明書が必要です
ユーザーデバイス上のWebブラウザとの安全な接続を確するとサーバーはその証明書をデバイスに送信します
copy 1999-2020 Citrix Systems Inc All rights reserved 72
Citrix Gateway 130
ユーザーデバイスがサーバー証明書を受信するとInternet ExplorerなどのWebブラウザは証明書を発したCAとその CAがユーザーデバイスによって信頼されているかどうかを確認しますCAが信頼されていない場合またはテスト証明書の場合Webブラウザは証明書を受けれるか拒否するかをユーザに求めます(サイトへのアクセスを効果的に許可または拒否します)
Citrix Gatewayでは次の 3種類の証明書がサポートされています
bull 仮想サーバーにバインドされサーバーファームへの接続にも使できるテスト証明書Citrix Gatewayにはテスト証明書がプリインストールされています
bull CAによって署名され秘密キーとペアになっている PEMまたは DER形式の証明書bull 証明書と秘密キーを格納または転送するために使される PKCS 12形式の証明書PKCS 12証明書は通常既存のWindows証明書から PFXファイルとしてエクスポートされCitrix Gatewayにインストールされます
Thawteや VeriSignなど信頼された CAによって署名された証明書を使することをお勧めします
コピー完了Failed
証明書署名要求の作成
April 9 2020
SSLまたは TLSを使してセキュアな通信を提供するにはCitrix Gatewayでサーバー証明書が必要です証明書を Citrix Gatewayにアップロードする前に証明書署名リクエスト(CSR)と秘密キーを成する必要がありますCitrix Gatewayウィザードまたは構成ユーティリティに含まれている証明書要求の作成を使してCSRを作成します証明書要求の作成は署名のために認証局(CA)に電メールで送信されるcsrファイルとアプライアンスに残る秘密キーを作成しますCAは証明書に署名し指定した電メールアドレスで返却します署名付き証明書を受け取ったらCitrix GatewayにインストールできますCAから証明書を受け取ったら証明書を秘密キーとペアにします
重要Citrix Gatewayウィザードを使して CSRを作成する場合はウィザードを終了し署名付き証明書が CAから送信されるまで待つ必要があります証明書を受け取ったらCitrix Gatewayウィザードを再度実して設定を作成し証明書をインストールできますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください
Citrix Gatewayウィザードを使して CSRを作成するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで [Citrix ADC Gateway]をクリックします
2 詳細ペインの [はじめに]で[Citrix ADC Gatewayウィザード]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 73
Citrix Gateway 130
3 [サーバー証明書の指定]ページが表されるまでウィザードの指に従います4 [証明書署名要求の作成]をクリックしフィールドにします注完全修飾ドメイン名(FQDN)はCitrix Gatewayのホスト名と同じである必要はありませんFQDNはユーザーログオンに使されます
5 [作成]をクリックして証明書をコンピュータに保存し[閉じる]をクリックします6 設定を保存せずに Citrix Gatewayウィザードを終了します
Citrix ADC GUIを使して CSRを作成するには
CitrixCitrix Gatewayウィザードを実せずにCitrix ADC GUIを使して CSRを作成することもできます
1 [トラフィック管理] gt [ SSL] gt [SSLファイル]に移動し[証明書署名要求 (CSR)の作成]を選択します2 証明書の設定を完了し[作成]をクリックします
証明書と秘密キーを作成したらThawteや VeriSignなどの証明書を CAに電メールで送信します
コピー完了Failed
Citrix Gatewayへの署名付き証明書のインストール
March 26 2020
認証局(CA)から署名付き証明書を受け取ったらアプライアンスの秘密キーとペアリングしCitrix Gatewayに証明書をインストールします
署名付き証明書と秘密キーをペアリングするには
1 WinSCP などのセキュアシェル(SSH)プログラムを使して証明書を Citrix Gateway のフォルダnsconfigsslにコピーします
2 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします
3 詳細ペインで[Install]をクリックします4 [証明書とキーのペア名]に証明書の名前をします5「証明書ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします6 証明書に移動し[選択][開く]の順にクリックします7「秘密鍵ファイル名」で「参照」のドロップダウンボックスを選択し「アプライアンス」をクリックします秘密キーの名前は証明書署名要求 (CSR)と同じ名前です秘密鍵はCitrix Gatewayの nsconfig sslディレクトリにあります
8 秘密キーを選択し[開く]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 74
Citrix Gateway 130
9 証明書が PEM形式の場合は[パスワード]に秘密キーのパスワードをします10 証明書の有効期限が切れたときの通知を構成する場合は[有効期限が切れたときに通知]を選択します11 [通知期間]に数をし[作成][閉じる]の順にクリックします
証明書と秘密キーを仮想サーバーにバインドするには
証明書と秘密キーのペアを作成してリンクしたら仮想サーバーにバインドします
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [使可能]で証明書を選択し[追加]をクリックし[OK]をクリックします
仮想サーバーからテスト証明書をバインド解除するには
署名付き証明書をインストールした後仮想サーバーにバインドされているテスト証明書のバインドを解除します構成ユーティリティーを使してテスト証明書のバインドを解除できます
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [証明書]タブの [構成済み]でテスト証明書を選択し[削除]をクリックします
コピー完了Failed
中間証明書の構成
March 26 2020
中間証明書はCitrix Gateway(サーバー証明書)とルート証明書(通常はユーザーデバイスにインストールされます)の間にある証明書です中間証明書はチェーンの部です
組織によっては組織単位間の地理的分離の問題を解決するためにまたは組織の異なるセクションに異なる発ポリシーを適するために証明書を発する責任を委任します
証明書を発する責任は下位の証明機関 (CA)を設定することで委任できますCAは独の証明書に署名することも (署名付き)別の CAによって署名することもできますX509標準にはCAの階層を設定するためのモデルが含まれていますこのモデルでは次の図にすようにルート CAは階層の最上位にありCAによる署名証明書ですルート CAに直接従属する CAにはルート CAによって署名された CA証明書があります階層内の下位 CAの下位 CAには下位 CAによって署名された CA証明書があります
copy 1999-2020 Citrix Systems Inc All rights reserved 75
Citrix Gateway 130
図 1般的なデジタル証明書チェーンの階層構造をす X509モデル
サーバ証明書が署名証明書を持つ CAによって署名されている場合証明書チェーンはエンドエンティティ証明書とルート CAの 2つの証明書で構成されますユーザーまたはサーバー証明書が中間 CAによって署名されている場合証明書チェーンはくなります
次の図は最初の 2つの要素がエンドエンティティ証明書(この場合は gwy01companycom)と中間 CAの証明書をこの順序でしています中間 CAの証明書の後にはその CAの証明書が続きますこの覧はリストの最後の証明書がルート CAの証明書になるまで続きますチェーン内の各証明書は前の証明書の IDを証明します
図 2般的なデジタル証明書チェーン
中間証明書をインストールするには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします
2 詳細ペインで[Install]をクリックします3 [証明書とキーのペア名]に証明書の名前をします4 [詳細]の [証明書ファイル名]で[参照] (アプライアンス)をクリックしドロップダウンボックスで [ローカル]または [アプライアンス]を選択します
5 コンピュータ(ローカル)または Citrix Gateway(アプライアンス)上の証明書に移動します6「証明書の形式」で「PEM」を選択します7 [インストール]をクリックし[閉じる]をクリックします
Citrix Gatewayに中間証明書をインストールする場合秘密鍵やパスワードを指定する必要はありません
証明書がアプライアンスにインストールされたら証明書をサーバー証明書にリンクする必要があります
中間証明書をサーバー証明書にリンクするには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします
2 詳細ウィンドウでサーバー証明書を選択し[操作]で [リンク]をクリックします3 [CA証明書名]の横にある覧から中間証明書を選択し[OK]をクリックします
コピー完了Failed
認証にデバイス証明書を使する
April 9 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 76
Citrix Gateway 130
Citrix Gatewayではデバイス IDを証明書の秘密キーにバインドできるデバイス証明書チェックがサポートされていますデバイス証明書チェックは従来の EPAポリシーまたは度な EPAポリシーの部として設定できます従来の EPAポリシーではデバイス証明書は事前認証 EPAに対してだけ設定できます
Citrix Gatewayに 2つ以上のデバイス証明書をインストールする場合ユーザーが Citrix Gatewayへのログオンを開始するときまたはエンドポイント分析スキャンを実する前に正しい証明書を選択する必要があります
デバイス証明書を作成するときはX509証明書である必要があります
重要 Windowsではデフォルトでデバイス証明書にアクセスするための管理者権限が義務されています管理者以外のユーザのデバイス証明書チェックを追加するにはVPNプラグインをインストールする必要がありますVPNプラグインのバージョンはデバイス上の EPAプラグインと同じバージョンである必要があります
デバイス証明書の作成の詳細については以下を参照してください
bull Active Directory証明書サービス (AD CS)のネットワークデバイス登録サービス (NDES)を参照してください
bull Microsoft System Center web サイトの構成マネージャーの PKI 証明書の展開順の例WindowsServer 2008証明機関を参照してください
bull DCERPC および Active Directory 証明書プロファイルペイロードを使してMicrosoft CertificateAuthorityから証明書を要求する法をアップルのサポートウェブサイトでご確認ください
bull iPadiPhoneの証明書発「ディレクトリサービスチームに問い合わせるMicrosoftサポートブログ」を参照してください
bull ネットワークデバイス登録サービスの設定を参照してください
従来の EPAポリシーの仮想サーバーでデバイス証明書を有効にしてバインドするには
デバイス証明書を作成したらCitrix Gateway への既存の証明書のインポートとインストールの順に従ってCitrix Gatewayに証明書をインストールします証明書をインストールした後証明書を仮想サーバーにバインドします
1 構成ユーティリティで[Citrix Gateway]gt[仮想サーバー]に移動します2 詳細ウィンドウで仮想サーバーをクリックし[編集]をクリックします3 仮想サーバーの詳細ウィンドウで鉛筆アイコンをクリックし[詳細]を展開します4 [デバイス証明書を有効にする]を選択します5 表される選択ダイアログで[ Add ]を選択し有効にするデバイス証明書をクリックします選択したデバイス証明書の隣にあるプラス記号のアイコンをクリックし[ OK]をクリックします
注度な EPAポリシーの仮想サーバー上でデバイス証明書を有効化およびバインドする法についてはEPAコンポーネントとしての nFactorでのデバイス証明書を参照してください
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 77
Citrix Gateway 130
既存の証明書のインポートとインストール
April 9 2020
既存の証明書はインターネットインフォメーションサービス(IIS)を実しているWindowsベースのコンピュータからまたは Secure Gatewayを実しているコンピュータからインポートできます
証明書をエクスポートするときは秘密キーもエクスポートしてください場合によっては秘密キーをエクスポートできないためCitrix Gatewayに証明書をインストールできないことがありますこのような場合は証明書署名要求 (CSR)を使して新しい証明書を作成します詳しくは「証明書署名要求の作成」を参照してください
証明書と秘密キーをWindowsからエクスポートするとコンピューターによって個情報交換 (pfx)ファイルが作成されますこのファイルはPKCS 12証明書として Citrix Gatewayにインストールされます
Secure Gatewayを Citrix Gateway Gatewayに置き換える場合は証明書と秘密鍵を Secure GatewayからエクスポートできますSecure Gatewayから Citrix Gateway Gatewayへのインプレース移をう場合はアプリケーションとアプライアンスの完全修飾ドメイン名(FQDN)が同じである必要がありますSecure Gatewayから証明書をエクスポートするとすぐに Secure Gatewayを破棄しCitrix Gatewayに証明書をインストールしてから構成をテストしますFQDNが同じであればネットワーク上で Secure Gatewayと Citrix Gatewayを同時に実することはできません
Windows Server 2003またはWindows Server 2008を使している場合はMicrosoft Management Con-soleを使して証明書をエクスポートできます詳細についてはWindowsオンラインヘルプを参照してください
他のすべてのオプションのデフォルト値をそのまま使しパスワードを定義してpfxファイルをコンピューターに保存します証明書をエクスポートしたらCitrix Gatewayにインストールします
証明書と秘密キーを Citrix Gatewayにインストールするには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]をクリックします
2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします
3 [次へ]をクリックし既存の仮想サーバーを選択して[次へ]をクリックします
4 [証明書オプション]で[PKCS 12 (pfx)ファイルをインストールする]を選択します
5 [PKCS 12ファイル名]で[参照]をクリックし証明書に移動し[選択]をクリックします
6 [パスワード]に秘密キーのパスワードをします
これは証明書を PEM形式に変換するときに使したパスワードです
7[次へ]をクリックして他の設定を変更せずに Citrix Gatewayウィザードを終了します
copy 1999-2020 Citrix Systems Inc All rights reserved 78
Citrix Gateway 130
証明書が Citrix Gatewayにインストールされると証明書は構成ユーティリティの[SSL]gt[証明書]ノードに表されます
秘密キーを作成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]をクリックします
2 詳細ペインの [SSLキー]で[RSAキーの作成]をクリックします
3 [Key Filename]にプライベートキーの名前をするか[Browse]をクリックして既存のファイルに移動します
4 [キーサイズ (ビット)]に秘密キーのサイズをします
5 [公衆指数]で[F4]または [3]を選択します
RSAキーの公開指数値これは暗号アルゴリズムの部でありRSAキーの作成に必要です値は F4 (16進数0x10001)または 3 (16進数0x3)ですデフォルトは F4です
6 [キー形式]で[PEM]または [DER]を選択します証明書には PEM形式をお勧めします
7 [PEMエンコーディングアルゴリズム]で[DES]または [DES3]を選択します
8 [PEMパスフレーズ]および [パスフレーズの検証]にパスワードをし[作成][閉じる]の順にクリックします
注パスフレーズを割り当てるには[Key Format]が PEMである必要がありエンコードアルゴリズムを選択する必要があります
構成ユーティリティで DSA秘密キーを作成するには[DSAキーの作成]をクリックします上記の同じ順に従って DSA秘密キーを作成します
コピー完了Failed
証明書を PFX形式から PEM形式に変換する
March 26 2020
SSL証明書はSSL負荷分散仮想サーバーおよび Citrix Gateway仮想サーバーに使されますPEM証明書はBase64でエンコードされた ASCIIファイルですPEM証明書はテキストエディタメモ帳で開くことができそれらには「mdashndashBEGIN CERTIFICATEmdashndash」および「mdashndashEND CERTIFICATEmdashndash」ステートメントが含まれていることがわかります
セキュアで信頼できるアクセスのためにはCitrix Gatewayサーバーに SSLサーバー証明書をインストールする必要がありますアップロードされた証明書ファイルには次の特性が必要です
copy 1999-2020 Citrix Systems Inc All rights reserved 79
Citrix Gateway 130
bull サーバー証明書はエンドユーザーが信頼する証明機関 (CA)によって発されている必要があります最良の結果を得るにはベリサインThawteジオトラストなどの商 CAを使してください
bull 証明書はプライバシー拡張メール (PEM)形式である必要がありますこれはバイナリ識別符号化規則(DER)形式の Base64エンコーディングであるテキストベースの形式です
bull 証明書ファイルに秘密キーを含める必要があり秘密キーを暗号化しないでくださいPEMファイルを使するためにパスワードは必要ありません
bull 必要な中間証明書も PEMファイルの末尾に追加する必要があります
PFX証明書を PEM形式に変換して Citrix Gatewayで使するには次のいずれかの順を実します
Citrix GatewayウィザードCitrix Gatewayウィザードを使して PFX証明書を PEM形式に変換するには以下の順を実します
1「トラフィック管理」に移動し「SSL」ノードを選択します
2 [PKCS 12のインポート]リンクをクリックします
3 PEM証明書のファイル名を [出ファイル名]フィールドに指定します
4 [参照] をクリックしPEM 形式に変換する PFX 証明書を選択します部のユーザーは証明書をncsonfigSSL ディレクトリにアップロードしそこから使することを好みますPFX 証明書がCitrix Gatewayに保存されている場合は[アプライアンス]オプションを選択しワークステーションに保存されている場合は[ローカル]を使します
5「インポートパスワード」を指定します
6[OK]をクリックします
7 ファイルがエンコードされている場合はエンコード形式として DESまたは 3DESを選択します
8 [PEMパスフレーズ]と [PEMパスフレーズの確認]を指定します
9 [証明書キー CSRの管理]リンクをクリックして変換された PEM証明書ファイルを表します
10 変換された PEMファイルと共にアップロードされた PFXファイルを表できます
11 [SSL]ノードを展開します
12「証明書」ノードを選択します
13[Install]をクリックします
14 証明書のインストールウィザードで証明書とキーのペア名を指定します
15 証明書ファイル名と秘密キーファイル名の両の PEMファイルを参照します
16 パスワードを指定します
17[Install]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 80
Citrix Gateway 130
オープン SSLユーティリティ
インターネットインフォメーションサービス (IIS)証明書ウィザードを使してWindowsサーバーに証明書を要求してインストールした場合はその証明書を秘密キーとともに個情報交換 (PFX)ファイルにエクスポートできますこの証明書を Citrix GatewayにインポートするにはPFXファイルを暗号化されていない PEM形式に変換する必要があります
オープンソースユーティリティ OpenSSLを使してPFXから PEMへの変換を実できますオープン SSLのWin32ディストリビューションをダウンロードします
OpenSSLを使する場合はC++の再配布可能ファイルが必要になることもありますMicrosoft Visual C++2008再頒布可能パッケージ (x86)からダウンロードします
PFXファイルを PEMファイルに変換するにはWindowsマシンで次の順を実します
1 ダウンロードしてWin32 OpenSSLからパッケージをインストールします
2 ccertsフォルダを作成しccertsフォルダに yourcertpfxファイルをコピーします
3 コマンドプロンプトを開きOpenSSLbin directory homedriveOpenSSLbinに変更します
4 次のコマンドを実してPFXファイルを暗号化されていない PEMファイルに変換します (すべて 1で)openssl pkcs12-in ccertsyourcertpfx-out ccertscagpem mdashnodes
5 インポートパスワードのを求められたら証明書を PFXファイルにエクスポートするときに使したパスワードをしますMACが確認済みであることをすメッセージが表されます
6 Citrix Gateway 管理ポータルまたは HTTPS ポート 9001 をブラウザに指定しますhttpsnetscaler-gateway-server9001
7 rootとしてログオンしますデフォルトのパスワードは rootadminです
8 ページ上部の [メンテナンス]リンクをクリックします
9 [秘密鍵 + 証明書 (pem) のアップロード] フィールドの横にある [参照] ボタンをクリックしますccertscagpemファイルを参照し[アップロード]をクリックします
10 新しい SSL証明書を適するにはCitrix Gatewayを再起動します
コピー完了Failed
証明書失効リスト
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 81
Citrix Gateway 130
認証局 (CA)は時折証明書失効リスト (CRL)を発しますCRLには信頼できなくなった証明書に関する情報が含まれていますたとえばアンが XYZ社を離れるとします同社はアンの証明書を CRLに配置してそのキーでメッセージに署名できないようにすることができます
同様に秘密キーが侵害された場合または証明書の有効期限が切れて新しい証明書が使されている場合に証明書を取り消すことができます公開キーを信頼する前に証明書が CRLに表されていないことを確認してください
Citrix Gatewayでは次の 2つの CRLタイプがサポートされています
bull 失効したまたは有効でなくなった証明書を覧表する CRLbull オンライン証明書ステータスプロトコル(OSCP)X509証明書の失効ステータスを取得するために使されるインターネットプロトコル
CRLを追加するには
Citrix Gatewayアプライアンスで CRLを構成する前にCRLファイルがアプライアンス上にローカルに保存されていることを確認してください可性セットアップの場合CRLファイルは両の Citrix Gatewayアプライアンスに存在しファイルへのディレクトリパスは両のアプライアンスで同じである必要があります
CRLを更新する必要がある場合は次のパラメータを使できます
bull CRL名Citrix ADCに追加される CRLの名前最 31字ですbull CRLファイルCitrix ADCに追加される CRLファイルの名前ですデフォルトではvarnetscalersslディレクトリ内の CRLファイルが検索されます最 63字です
bull URL最 127字bull ベース DN最 127字bull バインド DN最 127字bull パスワード最 31字bull 最 31
1 構成ユーティリティの [構成]タブで[SSL]を展開し[CRL]をクリックします2 詳細ウィンドウで[追加]をクリックします3 [Add CRL]ダイアログボックスで次の値を指定します
bull CRL名bull CRLファイルbull フォーマット (オプション)bull CA証明書(オプション)
4[Create]をクリックしてから[Close]をクリックしますCRL詳細ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します
copy 1999-2020 Citrix Systems Inc All rights reserved 82
Citrix Gateway 130
構成ユーティリティで LDAPまたはHTTPを使して CRL動リフレッシュを構成するには
CRLはCAによって定期的にまたは場合によっては特定の証明書が失効した直後に成および発されますCitrix Gatewayアプライアンスで CRLを定期的に更新して無効な証明書で接続しようとするクライアントから保護することをお勧めします
Citrix GatewayアプライアンスはWebロケーションまたは LDAPディレクトリから CRLを更新できます更新パラメータとWebの場所または LDAPサーバーを指定する場合コマンドの実時にローカルハードディスクドライブに CRLが存在する必要はありません最初の更新ではCRL Fileパラメーターで指定されたパスにローカルハードディスクドライブにコピーが格納されますCRLを保存するためのデフォルトのパスは varnetscalerslです
CRLリフレッシュパラメータ
bull CRL名
Citrix Gatewayで更新される CRLの名前
1 CRL 動 更 新 の 有 効 化
CRL動更新を有効または無効にします
1 CA証 明 書
CRLを発した CAの証明書この CA証明書はアプライアンスにインストールする必要がありますCitrix ADCは証明書がインストールされている CAからのみ CRLを更新できます
1 法
Webサーバ(HTTP)または LDAPサーバから CRLリフレッシュを取得するプロトコル指定可能な値HTTPLDAPデフォルトはHTTPです
1 ス コ ー プ
LDAPサーバーでの検索操作の範囲指定したスコープがBaseの場合検索はベース DNと同じレベルになります指定されたスコープが「One」の場合検索はベース DNの 1レベル下まで拡張されます
bull サーバー IP
copy 1999-2020 Citrix Systems Inc All rights reserved 83
Citrix Gateway 130
CRLの取得元となる LDAPサーバの IPアドレスIPv6 IPアドレスを使するには[IPv6]を選択します
1 ポ ー ト
LDAPまたはHTTPサーバーが通信するポート番号
1 URL
CRLの取得元となるWebロケーションの URL
1 ベ ー ス DN
LDAPサーバが CRL属性を検索するために使するベース DN注LDAPサーバーで CRLを検索するにはCA証明書の発元名ではなくベース DN属性を使することをお勧めしますIssuer-Nameフィールドが LDAPディレクトリ構造の DNと正確に致しない場合があります
bull バインド DN
LDAPリポジトリ内の CRLオブジェクトにアクセスするために使されるバインド DN属性バインドDNアトリビュートはLDAPサーバの管理者クレデンシャルですLDAPサーバへの不正アクセスを制限するにはこのパラメータを設定します
1 パ ス ワ ー ド
LDAPリポジトリ内の CRLオブジェクトへのアクセスに使する管理者パスワードこれはLDAPリポジトリへのアクセスが制限されている場合つまり匿名アクセスが許可されていない場合に必要です
1 間 隔
CRLリフレッシュを実する間隔CRLを瞬時に更新する場合は間隔をNOWとして指定します可能な値MONTHLYDAILYWEEKLYNOWNONE
1
copy 1999-2020 Citrix Systems Inc All rights reserved 84
Citrix Gateway 130
CRL更新を実する間隔が DAILYに設定されている場合このオプションは使できません
1 時 間
CRL更新を実する時刻を 24時間形式で指定します
1 バ イ ナ リ
LDAPベースの CRL取得モードをバイナリに設定します指定可能な値はいいいえデフォルトNO
1 ナビゲーションウィンドウで[SSL]を展開し[CRL]をクリックします2 更新パラメータを更新する設定済みの CRLを選択し[Open]をクリックします3 [CRL動更新を有効にする]オプションを選択します4「CRL動リフレッシュパラメータ」グループで次のパラメータの値を指定します注意アスタリスク()は必須パラメータをします
bull 法bull バイナリbull Scopebull Server IPbull Portbull URLbull Base DNbull Bind DNbull Passwordbull Intervalbull Day(s)bull Time
5[作成]をクリックします[CRL]ペインで構成した CRLを選択し画の下部に表される設定が正しいことを確認します
コピー完了Failed
OCSPによる証明書ステータスのモニタリング
March 26 2020
オンライン証明書状態プロトコル (OCSP)はクライアントの SSL証明書の状態を決定するために使されるインターネットプロトコルですCitrix GatewayはRFC 2560で定義されている OCSPをサポートしていますOCSP
copy 1999-2020 Citrix Systems Inc All rights reserved 85
Citrix Gateway 130
にはタイムリーな情報という点で証明書失効リスト (CRL)よりもきな利点がありますクライアント証明書の最新の失効ステータスは多額の銭や価値のい株式取引を含む取引で特に役ちますまた使するシステムリソースとネットワークリソースも少なくなりますCitrix Gatewayの OCSP実装にはリクエストのバッチ処理とレスポンスのキャッシュが含まれます
Citrix GatewayのOCSP実装
Citrix GatewayアプライアンスでのOCSP検証はSSLハンドシェイク中に Citrix Gatewayがクライアント証明書を受信したときに開始されます証明書を検証するためにCitrix Gatewayは OCSPリクエストを作成しそのリクエストを OCSPレスポンダーに転送しますそのためにはCitrix Gatewayがクライアント証明書から OCSPレスポンダーの URLを抽出するかローカルに構成された URLを使しますCitrix Gatewayがサーバーからの応答を評価しトランザクションを許可するか拒否するかを決定するまでトランザクションは中断状態になりますサーバーからの応答が構成された時間を超えて遅延し他の応答者が構成されていない場合Citrix GatewayではOCSPチェックをオプションまたは必須のどちらに設定したかに応じてトランザクションが許可されるかエラーが表されますCitrix GatewayはOCSPリクエストのバッチ処理と OCSPレスポンダーのキャッシュをサポートしOCSPレスポンダーの負荷を軽減し応答を速化します
OCSP要求のバッチ処理
Citrix Gatewayはクライアント証明書を受信するたびにOCSPレスポンダーに要求を送信しますOCSPレスポンダーの過負荷を回避するためにCitrix Gatewayでは同じリクエストで複数のクライアント証明書の状態を問い合わせることができます要求のバッチ処理が効率的に機能するためにはバッチの形成を待っている間に単の証明書の処理が遅れることがないようにタイムアウトを定義する必要があります
OCSP応答キャッシュ
OCSPレスポンダから受信した応答をキャッシュするとユーザへの応答が速になりOCSPレスポンダの負荷が軽減されますクライアント証明書の失効ステータスを OCSPレスポンダーから受信するとCitrix Gatewayは事前に定義された時間だけ応答をローカルにキャッシュしますSSLハンドシェイク中にクライアント証明書を受信するとCitrix Gatewayはまずローカルキャッシュにこの証明書のエントリを確認します(キャッシュのタイムアウト制限内で)有効なエントリがつかった場合エントリが評価されクライアント証明書が受けれられるか拒否されます証明書がつからない場合Citrix Gatewayは OCSPレスポンダーにリクエストを送信しそのレスポンスをローカルキャッシュに保存します
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 86
Citrix Gateway 130
OCSP証明書ステータスの設定
March 26 2020
オンライン証明書状態プロトコル (OCSP)の構成にはOCSP応答側の追加OCSP応答側の認証局 (CA)からの署名付き証明書へのバインドおよび証明書と秘密キーのセキュアソケットレイヤー (SSL)仮想サーバーへのバインドが含まれますすでに設定したOCSPレスポンダーに別の証明書と秘密キーをバインドする必要がある場合はまずレスポンダーのバインドを解除してからレスポンダーを別の証明書にバインドする必要があります
OCSPを設定するには
1 [構成]タブのナビゲーションウィンドウで [SSL]を展開し[OCSPレスポンダー]をクリックします
2 詳細ウィンドウで[追加]をクリックします
3 [名前]にプロファイルの名前をします
4 [URL]にOCSPレスポンダのWebアドレスをします
このフィールドは必須ですWebアドレスは 32字以下にする必要があります
5 OCSPレスポンスをキャッシュするには[キャッシュ]をクリックし[タイムアウト]に Citrix Gatewayがレスポンスを保持する分数をします
6 [要求のバッチ処理]で[有効化]をクリックします
7「バッチ処理の遅延」でOCSP要求のグループのバッチ処理に許可される時間をミリ秒単位で指定します
値の範囲は 0〜 10000ですデフォルトは 1です
8[時間スキュー時に成]にアプライアンスが応答を確認または受けれる必要がある場合にCitrix Gatewayが使できる時間をします
9 OCSPレスポンダによる署名チェックを無効にするには[応答の検証]で [応答の信頼性]を選択します
応答を信頼できるようにする場合は順 8と順 9をスキップします
10 [証明書]でOCSP応答の署名に使する証明書を選択します
証明書が選択されていない場合OCSPレスポンダがバインドされている CAを使して応答を検証します
11 [要求タイムアウト]にOCSP応答を待機するミリ秒数をします
この時間にはバッチ処理遅延時間が含まれます値の範囲は 0〜 120000ですデフォルトは 2000です
12 [署名証明書]でOCSP要求の署名に使する証明書と秘密キーを選択します証明書と秘密キーを指定しない場合要求は署名されません
13 1回だけ使される番号(nonce)拡張を有効にするには[Nonce]を選択します
copy 1999-2020 Citrix Systems Inc All rights reserved 87
Citrix Gateway 130
14 クライアント証明書を使するには[クライアント証明書の挿]をクリックします
15[Create]をクリックしてから[Close]をクリックします
コピー完了Failed
Citrix Gateway構成のテスト
March 26 2020
Citrix Gatewayで初期設定を構成したらアプライアンスに接続して設定をテストできます
Citrix Gateway の設定をテストするにはローカルユーザーアカウントを作成します次に仮想サーバーのIP アドレスまたはアプライアンスの完全修飾ドメイン名(FQDN)のいずれかを使してWeb ブラウザを開きWebアドレスをしますたとえばアドレスバーにhttpsmycompanycomまたはhttps19216896183とします
ログオン画で前に作成したユーザーアカウントのユーザー名とパスワードをしますログオンするとCitrixGatewayプラグインをダウンロードしてインストールするように求められます
Citrix Gatewayプラグインをインストールして接続するとアクセスインターフェイスが表されますアクセスインターフェイスはCitrix Gatewayのデフォルトのホームページです
構成ユーティリティを使した新しいユーザーアカウントの作成
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway] gt [ユーザー管理]の順に展開し[AAAユーザー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使する場合は[外部認証]チェックボックスをオフにしますLDAPや RADIUSなどの外部認証タイプを使したユーザの認証がデフォルトですこのチェックボックスをオフにするとCitrixGatewayはユーザーを認証します
5 [パスワード]と [パスワードの確認]でユーザーのパスワードをし[作成]をクリックし[閉じる]をクリックします
構成ユーティリティを使してユーザーを追加する場合次のポリシーをユーザーにバインドできます
bull 承認bull トラフィックセッション監査bull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス
copy 1999-2020 Citrix Systems Inc All rights reserved 88
Citrix Gateway 130
テストユーザーアカウントでのログオンで問題が発した場合は次の点を確認してください
bull 証明書の警告が表された場合はテスト証明書または無効な証明書が Citrix Gatewayにインストールされます認証局(CA)によって署名された証明書がアプライアンスにインストールされている場合はユーザーデバイスに対応するルート証明書があることを確認してください
bull CA署名付き証明書を使した場合は署名付き証明書署名要求 (CSR)を使してサイト証明書を正しく成したこととCSRにされた識別名 (DN)データが正確であることを確認します問題はホスト名が署名付き証明書の IPアドレスと致しないこともあります構成済み証明書の共通名が構成済みの仮想サーバーの IPアドレス情報に対応していることを確認します
bull ログオン画が表されない場合や他のエラーメッセージが表された場合はセットアッププロセスを確認しすべての順を正しく実しすべてのパラメータを正確にしたことを確認します
コピー完了Failed
仮想サーバーの作成
March 26 2020
仮想サーバーはユーザーがログオンするアクセスポイントです各仮想サーバには独の IPアドレス証明書およびポリシーセットがあります仮想サーバは着信トラフィックを受けれる IPアドレスポートおよびプロトコルの組み合わせで構成されます仮想サーバーにはユーザーがアプライアンスにログオンするときの接続設定が含まれます仮想サーバーでは次の設定を構成できます
bull 証明書bull 認証bull ポリシーbull ブックマークbull アドレスプール (IPプールまたはイントラネット IPとも呼ばれます)bull Citrix Gatewayを使したダブルホップ DMZ展開bull Secure Ticket Authoritybull SmartAccess ICAプロキシセッション転送
Citrix Gatewayウィザードを実するとウィザード中に仮想サーバーを作成できます追加の仮想サーバは次の法で構成できます
bull 仮想サーバノードからこのノードは構成ユーティリティのナビゲーション区画にあります構成ユーティリティを使して仮想サーバーを追加編集および削除できます
bull クイック構成ウィザードを使しますCitrix Endpoint ManagementStoreFrontまたはWeb Interfaceを環境内に展開する場合はクイック構成ウィザードを使して仮想サーバーと展開に必要なすべてのポリシーを作成できます
copy 1999-2020 Citrix Systems Inc All rights reserved 89
Citrix Gateway 130
ユーザーがログオンして RADIUSなどの特定の認証タイプを使できるようにするには仮想サーバーを構成しサーバーに意の IPアドレスを割り当てますユーザーがログオンすると仮想サーバーに送信されRADIUS資格情報のが求められます
またユーザーが Citrix Gatewayにログオンする法を構成することもできますセッションポリシーを使してユーザーソフトウェアの種類アクセス法およびログオン後にユーザーに表されるホームページを構成できます
コピー完了Failed
追加の仮想サーバーを作成するには
April 9 2020
構成ユーティリティまたはクイック構成ウィザードのナビゲーションウィンドウにある仮想サーバーノードを使して仮想サーバーの追加変更有効化無効化および削除をうことができますクイック構成ウィザードを使した仮想サーバの構成の詳細についてはConfiguring Settings with the Quick Configuration Wizardを参照してください
構成ユーティリティを使して仮想サーバーを作成するには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 必要な設定を構成し[作成][閉じる]の順にクリックします
コピー完了Failed
仮想サーバでの接続タイプの設定
March 26 2020
仮想サーバーを作成および構成するときに次の接続オプションを構成できます
bull Citrix Workspaceアプリとの接続はSmartAccessエンドポイント分析またはネットワーク層トンネリング機能を使しないCitrix Virtual Apps and Desktopsにのみえます
bull Citrix Gatewayプラグインと SmartAccessとの接続これによりSmartAccessエンドポイント分析ネットワーク層トンネリング機能を使できます
copy 1999-2020 Citrix Systems Inc All rights reserved 90
Citrix Gateway 130
bull モバイルデバイスから Citrix Gatewayへのマイクロ VPN接続を確する Secure Hubとの接続bull 複数のデバイスからユーザーが ICAセッションプロトコルを介してわれる並列接続複数のユニバーサルライセンスを使できないように接続は単のセッションに移されます
ユーザソフトウェアを使せずにユーザがログオンできるようにするにはクライアントレスアクセスポリシーを設定してそれを仮想サーバにバインドします
仮想サーバー上で基本接続または SmartAccess接続を構成するには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]と [ポート]に仮想サーバーの IPアドレスとポート番号をします5 次のいずれかをいます
bull ICA接続のみを許可するには[基本モード]をクリックしますbull Secure HubCitrix Gatewayプラグインおよび SmartAccessを使したユーザーのログオンを許可するには[SmartAccessモード]をクリックします
bull SmartAccessが複数のユーザー接続の ICAプロキシセッションを管理できるようにするには[ICAプロキシセッションの移]をクリックします
6 仮想サーバーのその他の設定を構成し[作成][閉じる]の順にクリックします
コピー完了Failed
ワイルドカード仮想サーバに対するリッスンポリシーの設定
March 26 2020
Citrix Gateway仮想サーバーを構成して仮想サーバーが特定の仮想ローカルエリアネットワーク(VLAN)をリッスンする機能を制限できます指定された VLAN上のトラフィックを処理するように制限するリッスンポリシーを使してワイルドカード仮想サーバを作成できます
構成パラメータは次のとおりです
copy 1999-2020 Citrix Systems Inc All rights reserved 91
Citrix Gateway 130
パラメーター 説明
名前 仮想サーバーの名前この名前は必須であり仮想サーバーを作成した後は変更できません名前は 127字以内で最初の字は数字または字でなければなりませんまたアット記号 ()アンダースコア(_)ダッシュ (-)ピリオド ()コロン ()シャープ記号 ()スペースも使できます
IP 仮想サーバの IPアドレスVLANにバインドされたワイルドカード仮想サーバの場合値は常に です
種類 サービスの動作選択肢はHTTPSSLFTPTCPSSL_TCPUDPSSL_ブリッジNNTPDNS任意のSIP-UDPDNS-TCPおよび RTSPです
ポート 仮想サーバーがユーザー接続をリッスンするポートポート番号は 0〜 65535である必要がありますVLANにバインドされたワイルドカード仮想サーバの場合値は通常 です
リッスン優先度 リッスンポリシーに割り当てられているプライオリティプライオリティは逆の順序で評価されます番号がさいほどリッスンポリシーに割り当てられるプライオリティがくなります
リッスンポリシールール 仮想サーバがリッスンする VLANの識別に使するポリシールールルールはCLIENTVLANIDEQ(ltipaddressatgt)ですltipaddressatgtではVLANに割り当てられた ID番号を置き換えます
リッスンポリシーを使してワイルドカード仮想サーバーを作成するには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4「プロトコル」でプロトコルを選択します5 [IPアドレス]に仮想サーバーの IPアドレスをします6 [ポート]に仮想サーバーのポートをします7 [詳細設定]タブの [リッスンポリシー]の [リッスンの優先度]にリッスンポリシーの優先度をします8 [リッスンポリシールール]の横にある [設定]をクリックします9 [式を作成]ダイアログボックスで[追加]をクリックして式を設定し[OK]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 92
Citrix Gateway 130
10[Create]をクリックしてから[Close]をクリックします
コピー完了Failed
Citrix Gatewayでの IPアドレスの構成
March 26 2020
構成ユーティリティおよびユーザー接続にログオンするように IPアドレスを構成できますCitrix Gatewayは管理アクセスにデフォルトの IPアドレス 1921681001とサブネットマスク 25500で構成されますデフォルトの IPアドレスはシステム IP(NSIP)アドレスにユーザーが構成した値が存在しないときに使されます
bull NSIPアドレスアプライアンスへのすべての管理関連アクセスに使される Citrix Gatewayの管理 IPアドレスCitrix GatewayではNSIPアドレスも認証に使されます
bull デフォルト Gatewayセキュリティで保護されたネットワークの外部から Citrix Gatewayにトラフィックを転送するルーター
bull サブネット IP(SNIP)アドレスセカンダリネットワーク上のサーバと通信することによりユーザーデバイスを表す IPアドレスこれはマッピング IP(MIP)アドレスに似ています
SNIPアドレスは 1024〜 64000のポートを使します
Citrix Gatewayで IPアドレスを使する法
Citrix Gatewayは発している機能に基づいてIPアドレスからのトラフィックをソースします以下のリストでは般的なガイドラインとしてCitrix Gatewayがそれぞれの IPアドレスを使する法について説明します
bull 認証Citrix GatewayはSNIPアドレスを使しますbull ホームページからのファイル転送Citrix GatewayはSNIPアドレスを使しますbull DNSクエリとWINSクエリCitrix GatewayはMIPアドレスまたは SNIPアドレスのいずれかを使します
bull セキュアなネットワーク内のリソースへのネットワークトラフィックCitrix Gateway ではCitrixGatewayの構成に応じてMIPアドレスSNIPアドレスまたは IPプールが使されます
bull ICAプロキシ設定Citrix GatewayはMIPアドレスまたは SNIPアドレスを使します
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 93
Citrix Gateway 130
マッピングされた IPアドレスの変更または削除
March 26 2020
Citrix Gatewayでは1つのマッピングされた IPアドレスがサポートされますアプライアンスで 1つのマッピング IPアドレスを設定した場合アドレスを変更または削除することはできませんマッピング IPアドレスを変更する必要がある場合は最初に新しいマッピング IPアドレスを作成してから元のマッピング IPアドレスを削除します
設定ユーティリティの [セットアップウィザード]または [ネットワーク]ノードを使してマップされた IPアドレスを追加構成できます
新しいマッピング IPアドレスを作成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム] gt [ネットワーク]を展開し[IP]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で [マップ済み IP]を選択し[作成]をクリックします
マッピング IPアドレスを削除するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム] gt [ネットワーク]を展開し[IP]をクリックします
2 詳細ウィンドウでマッピングアドレスをクリックし[削除]をクリックします
コピー完了Failed
サブネット IPアドレスの設定
March 26 2020
サブネット IPアドレスによりユーザーは別のサブネット上にある外部ホストから Citrix Gatewayに接続できますサブネット IPアドレスを追加すると対応するルートエントリがルートテーブル内に作成されますサブネットごとに作成されるエントリは 1つだけですルートエントリはサブネットで最初に追加された IPアドレスに対応します
copy 1999-2020 Citrix Systems Inc All rights reserved 94
Citrix Gateway 130
システム IPアドレスとマッピングされた IPアドレスとは異なりCitrix Gatewayの初期構成時にサブネット IPアドレスを指定する必要はありません
マッピングされた IPアドレスとサブネット IPアドレスは1024〜 64000のポートを使します
サブネット IPアドレスを追加するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[システム] gt [ネットワーク]を展開し[IP]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [IPの作成]ダイアログボックスの [IPアドレス]に IPアドレスをします4 [ネットマスク]にサブネットマスクをします5 [IPタイプ]で[サブネット IP]を選択し[閉じる][作成]の順にクリックします
コピー完了Failed
ユーザ接続の IPv6の設定
March 26 2020
インターネットプロトコルバージョン 6(IPv6)を使してユーザー接続をリッスンするように Citrix Gatewayを構成できます次のいずれかの設定を構成する場合は[IPv6]チェックボックスをオンにしてダイアログボックスに IPv6アドレスをします
bull グローバル設定-公開アプリケーション-ICAプロキシbull グローバル認証-Radiusbull グローバル認証-LDAPbull グローバル認証-TACACSbull セッションプロファイル-公開アプリケーション-ICAプロキシbull Citrix Gateway仮想サーバーbull 認証サーバの作成-Radiusbull 認証サーバーの作成-LDAPbull 認証サーバの作成-TACACSbull 監査サーバーの作成bull 可性のセットアップbull 可性を実現するためのルートモニタのバインドバインド解除bull 仮想サーバ(負荷分散)
copy 1999-2020 Citrix Systems Inc All rights reserved 95
Citrix Gateway 130
IPv6アドレスでリッスンするように Citrix Gateway仮想サーバーを構成するとユーザーは Citrix Workspaceアプリでのみ接続できますCitrix Gatewayプラグインを使したユーザー接続はIPv6ではサポートされていません
Citrix Gatewayで IPv6を構成するには次のガイドラインを使できます
bull Citrix Virtual Apps Web Interface ユーザー接続に IPv6を構成しIPv6を使するマップされた IPアドレスがある場合Citrix Virtual AppsおよびWeb Interfaceサーバーでも IPv6を使できますWebInterfaceはCitrix Gatewayの背後にインストールする必要がありますユーザーが Citrix Gateway経由で接続するとIPv6アドレスは IPv4に変換されます接続が戻るとIPv4アドレスは IPv6に変換されます
bull 仮想サーバCitrix Gatewayウィザードを実するときに仮想サーバーの IPv6を構成できますCitrixGatewayウィザードの[仮想サーバー]ページで[IPv6]をクリックしIPアドレスをしますCitrixGatewayウィザードでは仮想サーバーの IPv6アドレスの構成のみを使できます
bull その他ICAプロキシ認証監査可性に IPv6を構成するにはダイアログボックスの「IPv6」チェックボックスを選択しIPアドレスをします
コピー完了Failed
セキュリティで保護されたネットワークにある DNSサーバーの解決
April 9 2020
DNSサーバーがファイアウォールの背後にあるセキュリティで保護されたネットワークにありファイアウォールが ICMPトラフィックをブロックしている場合ファイアウォールが要求をブロックしているためサーバーへの接続をテストできませんこの問題を解決するには次の順を実します
bull 既知の完全修飾ドメイン名 (FQDN)に解決するカスタム DNSモニターを使して DNSサービスを作成するbull Citrix Gatewayで直接アドレス指定できない DNS仮想サーバーを作成するbull サービスを仮想サーバーにバインドする
注
bull DNS仮想サーバーと DNSサービスを構成するのはDNSサーバーがファイアウォールの内側にある場合だけです
bull Citrix ADC負荷分散ライセンスをアプライアンスにインストールすると[仮想サーバーとサービス]ノードはナビゲーションペインに表されませんこの順を実するには[負荷分散]を展開し[仮想サーバー]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 96
Citrix Gateway 130
DNSサービスと DNSモニターを構成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[仮想サーバーとサービス]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスにサービスの名前をします4 [プロトコル]で[DNS]を選択します5 [IPアドレス]にDNSサーバーの IPアドレスをします6[Port]ボックスにポート番号をします7 [サービス]タブで[追加]をクリックします8 [モニター]タブの [使可能]で[dns][追加][作成][閉じる]の順にクリックします9 [仮想サーバーの作成 (負荷分散)]ダイアログボックスで[作成]をクリックし[閉じる]をクリックします
次にDNS仮想サーバーを構成するにはの順を使して DNS仮想サーバーを作成しDNSサービスを仮想サーバーにバインドします
DNSサービスを DNS仮想サーバーにバインドするには
1 [仮想サービス (負荷分散)の構成]ダイアログボックスの [サービス]タブで[追加]をクリックしDNSサービスを選択し[作成]をクリックして [閉じる]をクリックします
コピー完了Failed
DNS仮想サーバの構成
March 26 2020
DNS仮想サーバーを構成するには名前と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にDNS仮想サーバーに IPアドレスを割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります
注アプライアンスに Citrix ADC負荷分散ライセンスをインストールすると[仮想サーバーとサービス]ノードはナビゲーションペインに表されませんこの機能は負荷分散仮想サーバーを使して構成できます詳しくはCitrix eDocsの「Citrix ADC」のトピックを参照してください
copy 1999-2020 Citrix Systems Inc All rights reserved 97
Citrix Gateway 130
DNS仮想サーバーを構成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[仮想サーバーとサービス]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]に仮想サーバーの名前をします4 [IPアドレス]にDNSサーバーの IPアドレスをします5 [ポート]にDNSサーバーがリッスンするポートをします6 [プロトコル]で [DNS]を選択し[作成]をクリックします
最後に展開環境のニーズに応じて次の 2つの法のいずれかを使してDNS仮想サーバーを Citrix Gatewayに関連付けます
bull サーバーを Citrix Gatewayにグローバルにバインドしますbull DNS仮想サーバーを仮想サーバーごとにバインドします
DNS仮想サーバをグローバルに展開するとすべてのユーザがそれにアクセスできます次にDNS仮想サーバーを仮想サーバーにバインドすることでユーザーを制限できます
コピー完了Failed
ネームサービスプロバイダの設定
March 26 2020
Citrix Gatewayではネームサービスプロバイダーを使してWebアドレスを IPアドレスに変換します
Citrix Gatewayウィザードを実するとDNSサーバーまたはWINSサーバーを構成できます構成ユーティリティを使して追加の DNSサーバーまたはWINSサーバーを構成することもできます
DNSサーバーを Citrix Gatewayに追加するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワーク構成]タブで[追加]をクリックします4 [ネームサーバーの挿]ダイアログボックスの [IPアドレス]に DNSサーバーの IPアドレスをし[作成]をクリックし[閉じる]をクリックします
5 構成ユーティリティで [OK]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 98
Citrix Gateway 130
WINSサーバーを Citrix Gatewayに追加するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [ネットワークの構成]タブの [WINSサーバーの IP]にWINSサーバーの IPアドレスをし[OK]をクリックします
次にDNS仮想サーバー名と IPアドレスを指定しますCitrix Gateway仮想サーバーと同様にIPアドレスを仮想サーバーに割り当てる必要がありますただしユーザデバイスがすべての内部アドレスを適切に解決できるようにこの IPアドレスはターゲットネットワークの内部側にある必要がありますDNSポートも指定する必要があります
DNSサーバーとWINSサーバーを名前解決に構成する場合はCitrix Gatewayウィザードを使して最初に名前検索を実するサーバーを選択できます
名前ルックアップの優先順位を指定するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]をクリックします
2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [ネームサービスプロバイダ]ページが表されるまで[次へ]をクリックして現在の設定を受けれます4 [名前ルックアップの優先度]で[WINS]または [DNS]を選択しウィザードの最後に進みます
コピー完了Failed
サーバ起動接続の構成
March 26 2020
IPアドレスが有効な状態で Citrix Gatewayにログオンする各ユーザーについてDNSサフィックスがユーザー名に追加されDNSアドレスレコードがアプライアンスの DNSキャッシュに追加されますこの法はユーザーのIPアドレスではなくDNS名をユーザーに提供するのに役ちます
ユーザーのセッションに IPアドレスを割り当てると内部ネットワークからユーザーのデバイスに接続することができますたとえばリモートデスクトップまたは仮想ネットワークコンピューティング(VNC)クライアントで接続しているユーザーはユーザーデバイスにアクセスして問題のアプリケーションを診断できますまた内部ネットワーク IPアドレスを持つ 2の Citrix GatewayユーザーがリモートでログオンしCitrix Gatewayを介して相互に通信することもできますアプライアンス上でログオンしているユーザーの内部ネットワーク IPアドレスを検出できるようにすることでこの通信に役ちます
copy 1999-2020 Citrix Systems Inc All rights reserved 99
Citrix Gateway 130
リモートユーザーは以下の pingコマンドを使してその時点で Citrix Gatewayにログオンできるユーザーの内部ネットワーク IPアドレスを検出できます
ピングアンドドロップサーバーは次の法でユーザーデバイスへの接続を開始できます- TCPまたはUDP接続接続は内部ネットワークの外部システムからまたは Citrix Gatewayにログオンしている別のコンピューターから発信できますこれらの接続にはCitrix Gatewayにログオンした各ユーザーデバイスに割り当てられた内部ネットワーク IPアドレスが使されますCitrix Gatewayがサポートするサーバー起動接続の種類を以下に説明しますTCPまたは UDPサーバーが開始する接続の場合サーバーはユーザーデバイスの IPアドレスとポートに関する事前知識を持ち接続をいますCitrix Gatewayはこの接続を傍受します次にユーザーデバイスがサーバーへの初期接続を確しサーバーは最初に構成されたポートから既知または派したポート上のユーザーデバイスに接続しますこのシナリオではユーザーデバイスはサーバーへの初期接続をいポートと IPアドレスはこの情報が埋め込まれているアプリケーション固有のプロトコルを使してサーバーと交換しますこれによりCitrix Gatewayはアクティブな FTP接続などのアプリケーションをサポートできるようになります-ポートコマンド これはアクティブな FTPおよび特定の Voice over IPプロトコルで使されます-プラグイン間の接続Citrix Gatewayは内部ネットワーク IPアドレスを使してプラグイン間の接続をサポートしますこのタイプの接続では同じ Citrix Gatewayを使する 2つの Citrix Gatewayユーザーデバイスが相互に接続を開始できますこの種類の例としてOffice Communicatorや Yahoo などのインスタントメッセージングアプリケーションを使しますメッセンジャーユーザーが Citrix Gatewayをログオフしログオフ要求がアプライアンスに届かなかった場合ユーザーは任意のデバイスを使して再度ログオンし前のセッションを新しいセッションに置き換えることができますこの機能はユーザごとに 1つの IPアドレスが割り当てられる配置で役ちますユーザーが Citrix Gatewayに初めてログオンするとセッションが作成されIPアドレスが割り当てられますユーザーがログオフしてもログオフ要求が失われたりユーザーデバイスがクリーンログオフを実できなかった場合セッションはシステム上で維持されますユーザーが同じデバイスまたは別のデバイスから再度ログオンしようとすると認証に成功した後ログオンの転送ダイアログボックスが表されますユーザーがログオンを転送するとCitrix Gateway上の前のセッションが閉じられ新しいセッションが作成されますログオンの転送はログオフ後の 2分間しかアクティブになりません複数のデバイスから同時にログオンを試みると最後のログオン試によって元のセッションが置き換えられます
コピー完了Failed
Citrix Gatewayでのルーティングの構成
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 100
Citrix Gateway 130
内部ネットワークリソースへのアクセスを提供するにはCitrix Gatewayが内部で安全なネットワークにデータをルーティングできる必要がありますデフォルトではCitrix Gatewayは静的ルートを使します
Citrix GatewayがデータをルーティングできるネットワークはCitrix Gatewayのルーティングテーブルと CitrixGatewayに指定したデフォルト Gatewayの構成によって決まります
Citrix Gatewayのルーティングテーブルにはユーザーがアクセスする必要のある内部ネットワークリソースにデータをルーティングするために必要なルートが含まれている必要があります
Citrix Gatewayでは次のルーティングプロトコルがサポートされています
bull Routing Information Protocol (RIP v1および v2)bull Open Shortest Path First (OSPF)bull Border Gateway Protocol (BGF)
スタティックルートの設定
別のホストまたはネットワークとの通信を設定するときに動的ルーティングを使しない場合はCitrix Gatewayから新しい宛先への静的ルートを構成する必要があります
スタティックルートを設定するには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク] gt [詳細設定]を展開し[ルート]をクリックします
2 詳細ウィンドウの [基本]タブで[追加]をクリックします3 ルートの設定を構成し[Create]をクリックします
スタティックルートをテストするには
1 構成ユーティリティのナビゲーションウィンドウで[システム]を展開し[診断]をクリックします
2 詳細ペインの [ユーティリティ]で[Ping]をクリックします
3 [パラメータ]の [ホスト名]にデバイスの名前をします
4 [詳細設定]の [送信元 IPアドレス]にデバイスの IPアドレスをし[実]をクリックします
他のデバイスとの通信に成功した場合は同じ数のパケットが送信および受信されパケットが失われなかったことをすメッセージが表されます
他のデバイスと通信していない場合ステータスメッセージにはパケットが受信されずすべてのパケットが失われたことがされますこの通信不を修正するには順を繰り返してスタティックルートを追加します
copy 1999-2020 Citrix Systems Inc All rights reserved 101
Citrix Gateway 130
テストを停するには[Ping]ダイアログボックスで [停]をクリックし[閉じる]をクリックします
コピー完了Failed
動ネゴシエーションの設定
March 26 2020
デフォルトではアプライアンスはオートネゴシエーションを使するように構成されていますこのオートネゴシエーションではCitrix Gatewayはネットワークトラフィックを両向に送信し適切なアダプタ速度を決定しますデフォルト設定の「動ネゴシエーション」のままにするとCitrix Gatewayは全重操作を使しますネットワークアダプタは双向で同時にデータを送信できます
動ネゴシエーションを無効にするとCitrix Gatewayは半重操作を使します半重操作ではアダプターは 2つのノード間で両向にデータを送信できますがアダプターは度に使できるのはまたは他のみです
初めてインストールする場合はアプライアンスに接続されているポートに対して動ネゴシエーションを使するように Citrix Gatewayを構成することをお勧めします最初にログオンして Citrix Gatewayを構成したら動ネゴシエーションを無効にできます動ネゴシエーションをグローバルに設定することはできません各インターフェイスの設定を有効または無効にする必要があります
動ネゴシエーションを有効または無効にするには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[システム] gt [ネットワーク]を展開し[インターフェイス]をクリックします
2 詳細ペインでインターフェイスを選択し[開く]をクリックします3 [インターフェイスの設定]ダイアログボックスで次のいずれかの操作をいます
bull 動ネゴシエーションを有効にするには[動ネゴシエーション]の横にある [はい]をクリックし[OK]をクリックします
bull 動ネゴシエーションを無効にするには[動ネゴシエーション]の横にある [いいえ]をクリックし[OK]をクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 102
Citrix Gateway 130
認証と承認
March 26 2020
Citrix GatewayではCitrix Gatewayのユーザー認証を幅広くカスタマイズできる柔軟な認証設計を採しています業界標準の認証サーバーを使しサーバーを使してユーザーを認証するように Citrix Gatewayを構成できますCitrix Gatewayではクライアント証明書に存在する属性に基づく認証もサポートされますCitrixGateway認証はユーザー認証に単のソースを使する単純な認証順と複数の認証タイプに依存するより複雑なカスケード認証順に対応するように設計されています
Citrix Gateway認証にはローカルユーザーおよびグループを作成するためのローカル認証が組み込まれていますこの設計では構成する認証順を制御するポリシーの使を中としています作成するポリシーはCitrixGatewayのグローバルサーバーレベルまたは仮想サーバーレベルで適できユーザーのソースネットワークに基づいて条件付きで認証サーバーパラメーターを設定できます
ポリシーはグローバルにバインドされるか仮想サーバーにバインドされるためポリシーに優先順位を割り当てて認証の部として複数の認証サーバーのカスケードを作成することもできます
Citrix Gatewayには次の認証タイプがサポートされています
bull Localbull Lightweight Directory Access Protocol (LDAP)bull RADIUSbull SAMLbull TACACS+bull クライアント証明書認証 (スマートカード認証を含む)
Citrix Gateway はRSA セキュリティ IDゲマルトプロティバおよびセーフワードもサポートしていますRADIUSサーバを使してこれらのタイプの認証を設定します
認証によりユーザーは Citrix Gatewayにログオンして内部ネットワークに接続できますが認証によってユーザーがアクセスできる安全なネットワーク内のリソースが定義されます認可はLDAPポリシーおよび RADIUSポリシーを使して設定します
コピー完了Failed
デフォルトのグローバル認証タイプの設定
March 26 2020
Citrix Gatewayをインストールして Citrix Gatewayウィザードを実するとウィザード内で認証を構成しましたこの認証ポリシーはCitrix Gatewayのグローバルレベルに動的にバインドされますCitrix Gatewayウ
copy 1999-2020 Citrix Systems Inc All rights reserved 103
Citrix Gateway 130
ィザードで設定する認証タイプはデフォルトの認証タイプですデフォルトの認証タイプを変更するにはCitrixGatewayウィザードを再度実するか構成ユーティリティでグローバル認証設定を変更します
認証の種類を追加する必要がある場合はCitrix Gatewayで認証ポリシーを構成し構成ユーティリティを使してポリシーを Citrix Gatewayにバインドできます認証をグローバルに設定する場合は認証のタイプを定義し設定を構成し認証できる最ユーザ数を設定します
ポリシーを設定してバインドしたらプライオリティを設定してどの認証タイプが優先されるかを定義できますたとえばLDAPおよび RADIUS認証ポリシーを設定しますLDAPポリシーのプライオリティ番号が 10でRADIUSポリシーのプライオリティ番号が 15の場合各ポリシーをバインドする場所に関係なくLDAPポリシーが優先されますこれをカスケード認証と呼びます
ログオンページはCitrix Gatewayのインメモリキャッシュから配信するかCitrix Gatewayで実されているHTTPサーバーから配信するかを選択できますメモリ内キャッシュからログオンページを配信する場合CitrixGatewayからのログオンページの配信はHTTPサーバーからの送信よりも幅に速ですメモリ内キャッシュからログオンページを配信することを選択すると多数のユーザーが同時にログオンするときの待機時間が短縮されますキャッシュからのログオンページの配信はグローバル認証ポリシーの部としてのみ構成できます
また認証の特定の IPアドレスであるネットワークアドレス変換 (NAT) IPアドレスを構成することもできますこの IPアドレスは認証で意でありCitrix Gatewayのサブネットマッピングされた IPアドレスまたは仮想 IPアドレスではありませんこれはオプションの設定です
注Citrix Gatewayウィザードを使して SAML認証を構成することはできません
クイック構成ウィザードを使してLDAPRADIUSおよびクライアント証明書の認証を構成できますウィザードを実するとCitrix Gatewayで構成されている既存の LDAPサーバーまたは RADIUSサーバーから選択できますLDAPまたは RADIUSの設定を構成することもできます2要素認証を使する場合はプライマリ認証タイプとして LDAPを使することをお勧めします
認証をグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にこの認証の種類を使して認証できるユーザーの数をします4 [NAT IPアドレス]に認証に使する意の IPアドレスをします5 [静的キャッシュを有効にする]を選択してログオンページを速に配信します6 認証が失敗した場合にユーザーにメッセージを提供するには[拡張認証フィードバックを有効にする]を選択しますユーザーが受け取るメッセージにはパスワードのエラーアカウントの無効化またはロック済みまたはユーザーがつからなかったなどがあります
7「デフォルトの認証タイプ」で認証タイプを選択します8 認証の種類の設定を構成し[OK]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 104
Citrix Gateway 130
コピー完了Failed
認可なしの認証の設定
April 9 2020
承認はユーザーが Citrix Gateway経由で接続できるリソースを定義します認可ポリシーを構成するには式を使しポリシーを許可または拒否するように設定しますCitrix Gatewayでは認証のみを使するように構成できます
承認なしで認証を構成するとCitrix Gatewayはグループ承認チェックを実しませんユーザーまたはグループに対して構成するポリシーはユーザーに割り当てられます
認可の設定の詳細については認可の設定を参照してください
コピー完了Failed
認可の設定
March 26 2020
承認はユーザーが Citrix Gatewayにログオンするときにアクセスできるネットワークリソースを指定します認可のデフォルト設定ではすべてのネットワークリソースへのアクセスを拒否しますデフォルトのグローバル設定を使し承認ポリシーを作成してユーザーがアクセスできるネットワークリソースを定義することをお勧めします
Citrix Gatewayで承認を構成するには承認ポリシーと式を使します承認ポリシーを作成したらアプライアンスで構成したユーザーまたはグループにそのポリシーをバインドできます
コピー完了Failed
認可ポリシーの設定
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 105
Citrix Gateway 130
認可ポリシーを設定するときに内部ネットワークのネットワークリソースへのアクセスを許可または拒否するように設定できますたとえばユーザが 10330ネットワークにアクセスできるようにするには次の式を使します
REQIPDESTIP==10300 -netmask 25525500
承認ポリシーはユーザーとグループに適されますユーザーが認証されるとCitrix GatewayはRADIUSLDAPまたは TACACS+サーバーからユーザーのグループ情報を取得してグループ承認チェックを実しますユーザーがグループ情報を使できる場合Citrix Gatewayはそのグループに許可されているネットワークリソースをチェックします
ユーザーがアクセスできるリソースを制御するには承認ポリシーを作成する必要があります認可ポリシーを作成する必要がない場合はデフォルトのグローバル認可を設定できます
ファイルパスへのアクセスを拒否する式を認可ポリシー内に作成した場合ルートディレクトリではなくサブディレクトリパスのみを使できますたとえば「ルートディレクトリ dir1 dir2」ではなくfspathに「dir1 dir2」が含まれているを使しますこの例で 2番のバージョンを使するとポリシーは失敗します
認可ポリシーを設定したら次のタスクにすようにそれをユーザーまたはグループにバインドします
デフォルトでは認可ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されますポリシーをグローバルにバインドしユーザーグループまたは仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほどポリシーの優先順位がくなります
たとえばグローバルポリシーの優先順位番号が 1でユーザの優先順位が 2の場合グローバル認証ポリシーが最初に適されます
重要
bull 従来の認可ポリシーはTCPトラフィックにだけ適されます
bull 度な認可ポリシーはすべてのタイプのトラフィック(TCPUDPICMPDNS)に適できます
ndash UDPICMPDNS トラフィックにポリシーを適するにはポリシーが UDP_REQUESTICMP_REQUESTDNS_REQUESTの各タイプでバインドされている必要があります
ndash バインディング中「タイプ」が明的に及されていないか「タイプ」が REQUESTに設定されている場合動作は以前のビルドから変更されませんつまりこれらのポリシーはTCPトラフィックにのみ適されます
度な承認ポリシーの詳細については「httpssupportcitrixcomarticleCTX232237」を参照してください
GUIを使して認可ポリシーを設定するには
1 Citrix Gateway gt[ポリシー]gt[認証]に移動します2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします
copy 1999-2020 Citrix Systems Inc All rights reserved 106
Citrix Gateway 130
4「アクション」で「許可」または「拒否」を選択します5 [式]で[式エディタ]をクリックします6 式の構成を開始するには[選択]をクリックして必要な要素を選択します7 式が完成したら[完了]をクリックします8[作成]をクリックします
GUIを使して認可ポリシーをユーザーにバインドするには
1 Citrix Gateway gt[ユーザー管理]に移動します2 [ AAAユーザ]をクリックします3 詳細ペインでユーザーを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします
GUIを使して認可ポリシーをグループにバインドするには
1 Citrix Gateway gt[ユーザー管理]に移動します2 [ AAAグループ]をクリックします3 詳細ペインでグループを選択し[編集]をクリックします4 [詳細設定]で[承認ポリシー]をクリックします5「ポリシーバインディング」ページでポリシーを選択するかポリシーを作成します6 [優先度]で優先度番号を設定します7「タイプ」で要求タイプを選択し「OK」をクリックします
コピー完了Failed
デフォルトのグローバル認可の設定
March 26 2020
ユーザが内部ネットワーク上でアクセスできるリソースを定義するにはデフォルトのグローバル認可を設定しますグローバル認可を設定するには内部ネットワーク上のネットワークリソースへのアクセスをグローバルに許可または拒否します
作成したグローバル認可アクションは直接またはグループを通じて認可ポリシーが関連付けられていないすべてのユーザに適されますユーザまたはグループの認可ポリシーは常にグローバル認可アクションよりも優先され
copy 1999-2020 Citrix Systems Inc All rights reserved 107
Citrix Gateway 130
ますデフォルトの認可アクションが Denyに設定されている場合はすべてのユーザまたはグループに認可ポリシーを適してそれらのユーザまたはグループがネットワークリソースにアクセスできるようにする必要がありますこの要件はセキュリティを向上させるのに役ちます
デフォルトのグローバル認可を設定するには次の順を実します
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [セキュリティ]タブの [既定の承認操作]の横にある [許可]または [拒否]を選択し[OK]をクリックします
コピー完了Failed
認証の無効化
March 26 2020
デプロイメントで認証が不要な場合は無効にすることができます認証を必要としない各仮想サーバーの認証を無効にできます
重要慎重に認証を無効にすることをお勧めします外部認証サーバーを使していない場合はCitrix Gatewayでユーザーの認証を許可するローカルユーザーとグループを作成します認証を無効にするとCitrix Gatewayへの接続を制御および監視する認証承認およびアカウンティング機能の使が停しますユーザーが CitrixGatewayに接続するためにWebアドレスをしてもログオンページは表されません
認証を無効にするには
1 構成ユーティリティのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 [認証]タブの [ユーザー認証]で[認証を有効にする]をクリックしてオフにします
コピー完了Failed
特定の時間に対する認証の設定
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 108
Citrix Gateway 130
通常の勤務時間などの特定の時間にユーザが内部ネットワークへのアクセスを許可するように認証ポリシーを設定できますユーザーが別の時間にログオンしようとするとログオンは拒否されます
ユーザーが Citrix Gatewayにログオンするタイミングを制限するには認証ポリシー内で式を作成し仮想サーバーまたはグローバルにバインドします
時刻付または曜の認証を構成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [認証]で認証の種類を選択します3 詳細ペインで[ポリシー]タブをクリックし認証ポリシーを選択して [開く]をクリックします4 [認証ポリシーの構成]ダイアログボックスの [式]で[任意の式に致]の横にある [追加]をクリックします5 [式の追加]ダイアログボックスの [式の種類]で[付時刻]を選択します6「修飾」で次のいずれかを選択します
bull ユーザーがログオンできない時間を構成する時間bull ユーザーがログオンできない付を構成するには[DATE]をクリックしますbull DAYOFWEEKを使してユーザーがログオンできないを設定します
7「演算」で値を選択します8 [値]でテキストボックスの横のカレンダーをクリックし付または時刻を選択します9 [OK]を 2回クリックし[閉じる]をクリックして [OK]をクリックします
コピー完了Failed
認証ポリシーのしくみ
March 26 2020
ユーザーが Citrix Gatewayにログオンするとユーザーが作成したポリシーに従って認証されますポリシーは認証タイプを定義します単の認証ポリシーは単純な認証のニーズに使でき通常はグローバルレベルでバインドされますデフォルトの認証タイプ(ローカル)を使することもできますローカル認証を構成する場合はCitrix Gatewayでユーザーとグループも構成する必要があります
複数の認証ポリシーを構成しそれらをバインドして詳細な認証順と仮想サーバーを作成できますたとえば複数のポリシーを設定することでカスケード認証と 2要素認証を設定できますまた認証ポリシーの優先順位を設定してCitrix Gatewayがユーザーの資格情報をチェックするサーバーと順序を決定することもできます認証ポリシーには式とアクションが含まれますたとえば式を True valueに設定した場合ユーザーがログオンするとアクションによってユーザーログオンが trueと評価されユーザーはネットワークリソースにアクセスできます
copy 1999-2020 Citrix Systems Inc All rights reserved 109
Citrix Gateway 130
認証ポリシーを作成したらグローバルレベルまたは仮想サーバのいずれかでポリシーをバインドします少なくとも 1つの認証ポリシーを仮想サーバーにバインドする場合グローバル認証の種類が仮想サーバーにバインドされているポリシーよりも優先順位がい場合を除きユーザーが仮想サーバーにログオンするときにグローバルレベルにバインドした認証ポリシーは使されません
ユーザーが Citrix Gatewayにログオンすると認証は次の順序で評価されます
bull 仮想サーバでバインドされた認証ポリシーがあるかどうかがチェックされますbull 認証ポリシーが仮想サーバーにバインドされていない場合Citrix Gatewayはグローバル認証ポリシーをチェックします
bull 認証ポリシーが仮想サーバーまたはグローバルにバインドされていない場合ユーザーはデフォルトの認証タイプを使して認証されます
LDAPおよび RADIUS認証ポリシーを設定し2要素認証にポリシーをグローバルにバインドする場合は設定ユーティリティでポリシーを選択しポリシーがプライマリ認証タイプかセカンダリ認証タイプかを選択できますグループ抽出ポリシーを設定することもできます
コピー完了Failed
認証プロファイルの設定
April 9 2020
Citrix Gatewayウィザードまたは構成ユーティリティを使して認証プロファイルを作成できますプロファイルには認証ポリシーのすべての設定が含まれますプロファイルは認証ポリシーを作成するときに構成します
Citrix Gatewayウィザードでは選択した認証タイプを使して認証を構成できますウィザードの実後に追加の認証ポリシーを構成する場合は構成ユーティリティを使できますCitrix Gatewayウィザードの詳細については「Citrix Gatewayウィザードを使した設定の構成」を参照してください
構成ユーティリティを使して認証ポリシーを作成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 外部認証タイプを使している場合は[サーバー]の横にある [新規]をクリックします5 [認証サーバーの作成]ダイアログボックスで認証の種類の設定を構成し[作成][閉じる]の順にクリックします
6 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 110
Citrix Gateway 130
注意認証タイプを選択して認証プロファイルを保存する場合認証タイプは変更できません別の認証タイプを使するには新しいポリシーを作成する必要があります
構成ユーティリティを使して認証ポリシーを変更するには
認証サーバの IPアドレスや式など設定された認証ポリシーおよびプロファイルを変更できます
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [サーバー]タブでサーバーを選択し[開く]をクリックします
認証ポリシーを削除するには
ネットワークから認証サーバーを変更または削除した場合はCitrix Gatewayから対応する認証ポリシーを削除します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションウィンドウの [認証]で認証の種類を選択します3 詳細ペインの [ポリシー]タブでポリシーを選択し[削除]をクリックします
コピー完了Failed
認証ポリシーのバインド
March 26 2020
認証ポリシーを設定したらポリシーをグローバルにバインドするか仮想サーバにバインドしますいずれかの設定ユーティリティーを使して認証ポリシーをバインドできます
構成ユーティリティを使して認証ポリシーをグローバルにバインドするには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します
2 認証タイプをクリックします
3 詳細ウィンドウの [ポリシー]タブでサーバーをクリックし[操作]で [グローバルバインド]をクリックします
4 [プライマリ]タブまたは [セカンダリ]タブの [詳細]で[ポリシーの挿]をクリックします
5 [ポリシー名]でポリシーを選択し[OK]をクリックします
注ポリシーを選択するとCitrix Gatewayによって式が Trueの値に動的に設定されます
copy 1999-2020 Citrix Systems Inc All rights reserved 111
Citrix Gateway 130
構成ユーティリティを使してグローバル認証ポリシーをバインド解除するには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブの [ポリシー名]でポリシーを選択し[ポリシーのバインド解除]をクリックして[OK]をクリックします
コピー完了Failed
認証ポリシーの優先順位の設定
March 26 2020
デフォルトでは認証ポリシーは最初に仮想サーバにバインドしたポリシーに対して検証され次にグローバルにバインドされたポリシーに対して検証されます認証ポリシーをグローバルにバインドし仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合はポリシーのプライオリティ番号を変更できますプライオリティ番号はゼロから始まりますプライオリティ番号がさいほど認証ポリシーの優先順位がくなります
たとえばグローバルポリシーのプライオリティ番号が 1で仮想サーバのプライオリティが 2の場合グローバル認証ポリシーが最初に適されます
グローバル認証ポリシーの優先順位を設定または変更するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [ポリシー]タブの [操作]で[グローバルバインド]をクリックします3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [プライマリ]タブまたは [セカンダリ]タブで[優先度]に番号をし[OK]をクリックします
仮想サーバにバインドされた認証ポリシーの優先順位を変更するには
仮想サーバーにバインドされている認証ポリシーを変更することもできます
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 仮想サーバを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]を選択します4 ポリシーを選択し[優先度]に優先度の番号をし[OK]をクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 112
Citrix Gateway 130
ローカルユーザの構成
March 26 2020
Citrix Gatewayでローカルにユーザーアカウントを作成して認証サーバー上のユーザーを補完することができますたとえば社外のコンサルタントや来訪者などの時的なユーザーのアカウントを認証サーバー上ではなくAccess Gateway上にローカルに作成します
ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで作成したグループに追加しますユーザーとグループを構成したら承認およびセッションポリシーを適しブックマークを作成しアプリケーションを指定しユーザーがアクセスできるファイル共有とサーバーの IPアドレスを指定できます
ローカルユーザーを作成するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAユーザー]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [ユーザー名]にユーザー名をします4 ローカル認証を使している場合は[外部認証]をオフにします注意LDAPや RADIUSなどの外部認証サーバーに対してユーザーが認証されるようにするには「外部認証」を選択しますこのチェックボックスをオフにするとCitrix Gatewayがローカルユーザーデータベースに対して認証されます
5 [パスワード]と [パスワードの確認]でユーザーのパスワードをし[作成]をクリックし[閉じる]をクリックします
ユーザパスワードを変更するには
ローカルユーザーの作成後ユーザーのパスワードを変更したり外部認証サーバーに対して認証されるようにユーザーアカウントを構成したりできます
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAユーザー]をクリックします
2 詳細ペインでユーザーを選択し[開く]をクリックします3 [パスワード]と [パスワードの確認]にユーザーの新しいパスワードをし[OK]をクリックします
ユーザーの認証法を変更するには
ローカル認証に構成されているユーザーがいる場合は認証を外部認証サーバに変更できますこれをうには外部認証を有効にします
copy 1999-2020 Citrix Systems Inc All rights reserved 113
Citrix Gateway 130
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAユーザー]をクリックします
2 詳細ペインでユーザーを選択し[開く]をクリックします3 [外部認証]を選択し[OK]をクリックします
ユーザーを削除するには
Citrix Gatewayからユーザーを削除することもできます
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAユーザー]をクリックします
2 詳細ペインでユーザーを選択し[削除]をクリックします
Citrix Gatewayからユーザーを削除すると関連するすべてのポリシーもユーザープロファイルから削除されます
コピー完了Failed
グループの構成
March 26 2020
Citrix Gatewayではローカルグループでありローカル認証でユーザーを認証できるグループを作成できます認証に外部サーバーを使している場合Citrix Gatewayのグループは内部ネットワークの認証サーバーで構成されたグループと致するように構成されますユーザーがログオンして認証されるとグループ名が認証サーバー上のグループと致する場合ユーザーは Citrix Gateway上のグループの設定を継承します
グループを構成したら承認ポリシーとセッションポリシーの適ブックマークの作成アプリケーションの指定ユーザーがアクセスできるファイル共有とサーバーの IPアドレスの指定をうことができます
ローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します
重要ユーザーが Active Directoryグループのメンバーである場合Citrix Gateway上のグループの名前は ActiveDirectoryグループと同じである必要があります
新しいグループを作成するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAグループ]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [グループ名]にグループの名前をし[作成]をクリックし[閉じる]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 114
Citrix Gateway 130
グループを削除するには
Citrix Gatewayからユーザーグループを削除することもできます
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAグループ]をクリックします
2 詳細ペインでグループを選択し[削除]をクリックします
コピー完了Failed
グループへのユーザーの追加
March 26 2020
ユーザーをグループに追加するにはグループの作成時または後で追加できます複数のグループにユーザーを追加してユーザーはそれらのグループにバインドされているポリシーと設定を継承できます
ユーザーをグループに追加するには次の順に従います
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAグループ]をクリックします
2 詳細ウィンドウでグループを選択し[開く]をクリックします3 [ユーザー]タブの [使可能なユーザー]でユーザーを選択し[追加]をクリックして [OK]をクリックします
コピー完了Failed
グループを使したポリシーの設定
March 26 2020
グループを構成したら[グループ]ダイアログボックスを使してユーザーアクセスを指定するポリシーと設定を適できますローカル認証を使している場合はユーザーを作成しCitrix Gatewayで構成されたグループに追加しますユーザーはそのグループの設定を継承します
[グループ]ダイアログボックスでユーザーのグループに対して次のポリシーまたは設定を構成できます
bull ユーザーbull 承認ポリシーbull 監査ポリシー
copy 1999-2020 Citrix Systems Inc All rights reserved 115
Citrix Gateway 130
bull セッションポリシーbull トラフィックポリシーbull ブックマークbull イントラネットアプリケーションbull イントラネット IPアドレス
構成では複数のグループに属するユーザーがいる場合がありますさらに各グループには異なるパラメータが設定された 1つ以上のバインドされたセッションポリシーがある場合があります複数のグループに属するユーザーはそのユーザーが属するすべてのグループに割り当てられたセッションポリシーを継承しますどのセッションポリシー評価が他よりも優先されるかを確認するにはセッションポリシーの優先度を設定する必要があります
たとえばグループ 1がホームページwwwhomepage1comで構成されたセッションポリシーにバインドされているとしますグループ 2はホームページwwwhomepage2comで構成されたセッションポリシーにバインドされますこれらのポリシーが優先順位番号のないグループまたは優先順位番号が同じグループにバインドされている場合両のグループに属するユーザーに表されるホームページは最初に処理されるポリシーによって異なりますホームページwwwhomepage1comのセッションポリシーの優先順位を低く設定すると両のグループに属するユーザーが常にホームページwwwhomepage1comを受け取ることができます
セッションポリシーに優先順位番号が割り当てられていないか同じ優先順位番号が割り当てられていない場合優先順位は次の順序で評価されます
bull ユーザーbull グループbull 仮想サーバbull グローバル
ポリシーがプライオリティ番号なしで同じレベルにバインドされている場合またはポリシーが同じプライオリティ番号を持つ場合評価の順序はポリシーバインド順序に従ってわれます最初にレベルにバインドされたポリシーは後でバインドされたポリシーよりも優先されます
コピー完了Failed
LDAP認証の構成
April 9 2020
1つ以上の LDAPサーバーを使してユーザーアクセスを認証するように Citrix Gatewayを構成できます
LDAP認証にはActive DirectoryLDAPサーバーおよび Citrix Gatewayで同じグループ名が必要ですグループ名は字字の使い分けを含め字句正確に致させる必要があります
既定ではLDAP認証はセキュアソケットレイヤー (SSL)またはトランスポート層セキュリティ (TLS)を使してセキュリティで保護されていますセキュア LDAP接続には 2つのタイプがあります1つのタイプの場合LDAP
copy 1999-2020 Citrix Systems Inc All rights reserved 116
Citrix Gateway 130
サーバはLDAPサーバがクリア LDAP接続を受けれるために使するポートとは別のポートで SSLまたは TLS接続を受けれますユーザーが SSL接続または TLS接続を確するとLDAPトラフィックは接続を介して送信できます
LDAP接続のポート番号は次のとおりです
bull セキュリティで保護されていない LDAP接続の場合は 389bull 安全な LDAP接続の 636bull Microsoftのセキュリティで保護されていない LDAP接続の場合 3268bull Microsoftの LDAP接続のセキュリティで保護された 3269
2番のタイプのセキュア LDAP接続ではStartTLSコマンドを使しポート番号 389を使しますCitrixGatewayでポート番号 389または 3268を構成するとサーバーは StartTLSを使して接続を試みます他のポート番号を使する場合サーバーは SSLまたは TLSを使して接続を試みますサーバーが StartTLSSSLまたは TLSを使できない場合接続は失敗します
LDAPサーバーのルートディレクトリを指定するとCitrix Gatewayはすべてのサブディレクトリを検索してユーザー属性を検索しますきなディレクトリではこの法はパフォーマンスに影響を与える可能性がありますこのため特定の組織単位(OU)を使することをお勧めします
次の表にLDAPサーバーのユーザー属性フィールドの例をします
LDAPサーバー ユーザー属性 字と字を区別する
Microsoft Active DirectoryServer
sAMAccountName いいえ
Novell eDirectory ou はい
IBM Directory Server uid はい
Lotus Domino CN はい
Sun ONE Directory(旧iPlanet)
uidまたは cn はい
次の表にベース DNの例をします
LDAPサーバー ベース DN
Microsoft Active Directory Server DC=citrixDC=local
Novell eDirectory ou=usersou=dev
IBM Directory Server cn=users
Lotus Domino OU=CityO=Citrix C=US
copy 1999-2020 Citrix Systems Inc All rights reserved 117
Citrix Gateway 130
LDAPサーバー ベース DN
Sun ONE Directory(旧 iPlanet) ou=Peopledc=citrixdc=com
次の表にバインド DNの例をします
LDAPサーバー Bind DN
Microsoft Active Directory Server CN=Administrator CN=Users DC=citrixDC=local
Novell eDirectory cn=admin o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator O=Citrix C=US
Sun ONE Directory(旧 iPlanet) uid=adminou=Administratorsou=TopologyManagemento=NetscapeRoot
注LDAPサーバ設定の詳細についてはLDAPディレクトリ内の属性の決定を参照してください
コピー完了Failed
構成ユーティリティを使して LDAP認証を構成するには
March 26 2020
1 Citrix Gateway gt[ポリシー]gt[認証]に移動します
2 [ LDAP]をクリックします
3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします
4 [名前]にポリシーの名前をします
5 [サーバー]の横にある [新規]をクリックします
6 [名前]にサーバーの名前をします
7 [サーバー]の [ IPアドレス]と [ポート]にLDAPサーバーの IPアドレスとポート番号をします
8 [種類]で[Active Directory]の場合は [ AD][Novellディレクトリサービス]の場合は [ NDS]を選択します
copy 1999-2020 Citrix Systems Inc All rights reserved 118
Citrix Gateway 130
9 [接続の設定]で次の操作をいます
a) [ベース DN (ユーザーの場所)]にユーザーが配置されるベース DNをしますベース DNは選択したディレクトリ(ADまたは NDS)の下にあるユーザーを検索します
ベース DNはユーザー名を削除しユーザーが配置されているグループを指定することによってバインド DNから取得されます基本識別名の構の例を次にします
1 ou=usersdc=acedc=com2 cn=Usersdc=acedc=com
b) [管理者バインド DN]にLDAPディレクトリへのクエリの管理者バインド DNをしますバインド DNの構の例を次にします
1 domainuser name2 ou=administratordc=acedc=com3 userdomainname (for Active Directory)4 cn=Administratorcn=Usersdc=acedc=com
Active Directoryの場合はcn=グループ名として指定されたグループ名が必要ですCitrix Gatewayで定義するグループ名と LDAPサーバー上のグループ名は同である必要があります
他の LDAPディレクトリの場合グループ名は必須ではないか必要に応じて ou=groupnameとして指定されます
Citrix Gatewayは管理者の資格情報を使して LDAPサーバーにバインドしユーザーを検索しますユーザーをつけた後Citrix Gatewayは管理者の資格情報をアンバインドしユーザーの資格情報で再バインドします
c) [管理者パスワード]と [管理者パスワードの確認]にLDAPサーバーの管理者パスワードをします
10 追加の LDAP設定を動的に取得するには[属性の取得]をクリックします
[属性の取得]をクリックすると[その他の設定]の下のフィールドが動的にされますこの順を無視する場合は順 12および 13に進みますそれ以外の場合は順 14に進みます
11[その他の設定]の[サーバーのログオン名の属性]に構成する LDAP サーバーのログオン名を CitrixGatewayが検索する属性をしますデフォルトは「samAccountName」です
12「検索フィルタ」に単または複数のアクティブなディレクトリグループに関連付けられているユーザーを検索する値をします
たとえば「memberOf=CN=GatewayAccessOU=GroupsDC=UsersDC=lab」などです
注
copy 1999-2020 Citrix Systems Inc All rights reserved 119
Citrix Gateway 130
上記の例を使するとCitrix Gatewayのアクセスを特定の ADグループのメンバーのみに制限できます
13 [グループ属性]でActive DirectoryのデフォルトのmemberOfのままにするか使している LDAPサーバーの種類の属性に属性を変更しますこの属性によりCitrix Gatewayは承認中にユーザーに関連付けられたグループを取得できます
14 [セキュリティの種類]でセキュリティの種類を選択し[作成]をクリックします
15 ユーザーが LDAPパスワードを変更できるようにするには[パスワードの変更を許可]を選択します
注
bull セキュリティタイプとして PLAINTEXTを選択した場合ユーザーにパスワードの変更を許可することはできません
bull セキュリティのために PLAINTEXTまたは TLSを選択した場合はポート番号 389を使しますSSLを選択した場合はポート番号 636を使します
コピー完了Failed
LDAPディレクトリ内の属性の決定
March 26 2020
Citrix Gatewayで認証設定を構成できるようにLDAPディレクトリ属性を決定する際にサポートが必要な場合はSofterraの無料の LDAPブラウザーで簡単に検索できます
LDAPブラウザはからダウンロードできますLDAPアドミニストレーターWebサイトブラウザをインストールしたら次の属性を設定します
bull LDAPサーバーのホスト名または IPアドレスbull LDAPサーバーのポートデフォルトは 389ですbull ベース DNフィールド空のままにできますLDAPブラウザーから提供される情報はCitrix Gatewayでこの設定を構成するために必要なベース DNを特定するのに役ちます
bull 匿名バインドチェックではLDAPサーバに接続するためにユーザクレデンシャルが必要かどうかを判断しますLDAPサーバーでクレデンシャルが必要な場合はチェックボックスをオフのままにします
設定が完了するとLDAPブラウザは左ペインにプロファイル名を表しLDAPサーバに接続します
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 120
Citrix Gateway 130
LDAPグループ抽出の設定
April 9 2020
2要素認証を使している場合はプライマリ認証ソースとセカンダリ認証ソースの両から抽出されたグループが連結されます認可ポリシーはプライマリまたはセカンダリ認証サーバから抽出されたグループに適できます
LDAPサーバーから取得したグループ名はCitrix Gatewayでローカルに作成されたグループ名と較されます2つのグループ名が致する場合ローカルグループのプロパティは LDAPサーバから取得したグループに適されます
ユーザーが複数の LDAPグループに属している場合Citrix Gatewayはユーザーが属するすべてのグループからユーザー情報を抽出しますユーザーが Citrix Gateway上の 2つのグループのメンバーであり各グループにバインドされたセッションポリシーがある場合ユーザーは両のグループからセッションポリシーを継承しますユーザーが正しいセッションポリシーを受け取るようにするにはセッションポリシーの優先順位を設定します
Citrix Gateway認証で動作する LDAPグループメンバーシップ属性の詳細については以下を参照してください
bull LDAPグループ抽出のユーザーオブジェクトからの直接の動作bull LDAPグループ抽出がグループオブジェクトから間接的に機能する法
コピー完了Failed
LDAPグループ抽出のユーザーオブジェクトからの直接の動作
March 26 2020
グループオブジェクトからグループメンバーシップを評価する LDAPサーバーはCitrix Gateway認証で動作します
部の LDAPサーバーではActive Directory (memberOf属性を使)や IBM eDirectory (groupMembership属性を使)などオブジェクトが属するグループに関する情報をユーザーオブジェクトに含めることができますユーザーのグループメンバーシップはIBMディレクトリサーバー (ibm-allGroupsを使)や Sun ONEディレクトリサーバー (nsRoleを使)などのユーザーオブジェクトの属性にすることができますこれらのタイプの LDAPサーバーはいずれもCitrix Gatewayグループ抽出で動作します
たとえばIBM Directory Serverでは静的動的ネストされたグループを含むすべてのグループメンバーシップはibm-allGroups属性を使して返すことができますSun ONEでは管理フィルタリングネストを含むすべてのロールが nsRole属性を使して計算されます
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 121
Citrix Gateway 130
LDAPグループ抽出がグループオブジェクトから間接的に機能する法
March 26 2020
グループオブジェクトからのグループメンバーシップを間接的に評価する LDAPサーバーはCitrix Gateway認証では機能しません
Lotus Dominoなどの部の LDAPサーバーではグループオブジェクトにユーザーに関する情報のみを含めることができますこれらの LDAPサーバーではユーザーオブジェクトにグループに関する情報を格納できないためCitrix Gatewayグループ抽出では機能しませんこのタイプの LDAPサーバではグループのメンバーリストでユーザーを検索することによりグループメンバーシップ検索が実されます
コピー完了Failed
LDAP認可グループのアトリビュートフィールド
March 26 2020
次の表にLDAPグループ属性フィールドの例をします
LDAPサーバ LDAP属性
Microsoft Active Directory Server memberOf
Novell eDirectory groupMembership
IBM Directory Server ibm-allGroups
Sun ONE Directory(旧 iPlanet) nsRole
コピー完了Failed
LDAP認可を設定するには
March 26 2020
認証ポリシーで LDAP認可を設定するにはグループアトリビュート名とサブアトリビュートを設定します
copy 1999-2020 Citrix Systems Inc All rights reserved 122
Citrix Gateway 130
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [認証]で認証の種類をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 [サーバー]にLDAPサーバーの IPアドレスとポートをします8 [グループ属性]にmemberOfとします9 [サブ属性]の [名前]に CNとし[作成]をクリックします
10 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
LDAPネストされたグループ抽出の設定
March 26 2020
Citrix GatewayではLDAPグループに対してクエリを実し認証サーバー上で構成した上位グループからグループとユーザー情報を抽出できますたとえばgroup1を作成しそのグループ内に group2と group3を作成したとしますユーザーが group3に属している場合Citrix Gatewayはネストされたすべての上位グループ(group2group1)から指定されたレベルまでの情報を抽出します
認証ポリシーを使してLDAPネストされたグループ抽出を設定できますクエリを実するとCitrix Gatewayは最ネストレベルに達するまでまたは使可能なすべてのグループを検索するまでグループを検索します
LDAPネストされたグループ抽出を構成するには
1 構成ユーティリティーのナビゲーションペインで[Citrix Gateway][ポリシー][認証承認][認証][認証]の順に展開し[LDAP]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [サーバー]の横にある [新規]をクリックします5 [名前]にサーバーの名前をします6 LDAPサーバの設定を構成します7 [ネストされたグループの抽出]を展開し[有効にする]をクリックします8[最ネストレベル]にCitrix Gatewayがチェックするレベル数をします9 [グループ名識別]にLDAPサーバー上のグループ名を意に識別する LDAP属性名 (sAMAccountNameなど)をします
copy 1999-2020 Citrix Systems Inc All rights reserved 123
Citrix Gateway 130
10 [グループ検索属性]に任意のグループの親グループ (memberOfなど)を決定するために検索応答で取得する LDAP属性名をします
11 [グループ検索サブ属性]にグループの親グループを決定するために[グループ検索属性]の部として検索する LDAPサブ属性名をしますたとえば「CN」とします
12 [グループ検索フィルタ]でクエリ字列をしますたとえばフィルタは (amp (サムアカウント名 =テスト) (オブジェクトクラス =))になります
13[Create]をクリックしてから[Close]をクリックします14 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉
じる]の順にクリックします
コピー完了Failed
複数のドメインに対する LDAPグループ抽出の設定
March 26 2020
認証のドメインが複数ありStoreFrontまたはWeb Interfaceを使している場合はグループ抽出を使して正しいドメイン名をWeb Interfaceに送信するように Citrix Gatewayを構成できます
Active Directoryではネットワーク内の各ドメインに対してグループを作成する必要がありますグループを作成したらそのグループと指定したドメインに属するユーザーを追加しますActive Directoryでグループを構成したらCitrix Gateway上の複数のドメインに対して LDAPグループの抽出を構成します
複数のドメインのグループ抽出に Citrix Gatewayを構成するにはネットワーク上のドメイン数と同じ数のセッションおよび認証ポリシーを作成する必要がありますたとえばSampaと Childという 2つのドメインがあるとします各ドメインは1つのセッションポリシーと 1つの認証ポリシーを受け取ります
ポリシーを作成したらCitrix Gatewayでグループを作成しそのグループにセッションポリシーをバインドします次に仮想サーバーに認証ポリシーをバインドします
StoreFrontを複数のドメインに展開する場合はドメイン間に信頼関係が必要です
複数のドメインに Citrix Endpoint ManagementまたはWeb Interfaceを展開する場合ドメインは相互に信頼する必要はありません
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 124
Citrix Gateway 130
グループ抽出のセッションポリシーの作成
March 26 2020
グループ抽出のセッションポリシーを作成する最初の順は2つのセッションプロファイルを作成し次のパラメータを設定することです
bull ICAプロキシを有効にしますbull Web Interface Webアドレスを追加しますbull Windowsドメインを追加しますbull プロファイルをセッションポリシーに追加し式を trueに設定します
グループ抽出のセッションプロファイルを作成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウで[プロファイル]タブをクリックし[追加]をクリックします3 [名前]にプロファイルの名前をしますたとえば「Sampa」とします4 [公開アプリケーション]タブで次の操作をいます
a) ICAプロキシの横にある「グローバルオーバーライド」をクリックし「オン」を選択しますb) Web Interfaceアドレス]の横の [グローバル上書き]をクリックしWeb Interface Webアドレスをします
c) [シングルサインオンドメイン]の横にある [グローバル上書き]をクリックしWindowsドメインの名前をして [作成]をクリックします
5 [名前]で最初のドメインの名前をクリアし2番のドメインの名前をします ([]など)6 [シングルサインオンドメイン]の横にある最初のWindowsドメインの名前を消去し2番のドメインの名前をし[作成][閉じる]の順にクリックします
セッションプロファイルを作成したら2つのセッションポリシーを作成します各セッションポリシーではプロファイルの 1つを使します
セッションポリシーを作成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4「要求プロファイル」で最初のドメインのプロファイルを選択します5 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 125
Citrix Gateway 130
6 [名前]で名前を 2番のドメインに変更します7 [要求プロファイル]で2番のドメインのプロファイルを選択し[作成][閉じる]の順にクリックします
コピー完了Failed
複数のドメインの LDAP認証ポリシーの作成
March 26 2020
Citrix Gatewayでセッションポリシーを作成したらほぼ同じ LDAP認証ポリシーを作成します認証ポリシーを設定する場合重要なフィールドはSearch FilterですこのフィールドにはActive Directoryで作成したグループの名前をする必要があります
最初に認証プロファイルを作成してから認証ポリシーを作成します
複数のドメイングループ抽出の認証プロファイルを作成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションペインで[LADP]をクリックします3 詳細ウィンドウで[サーバー]タブをクリックし[追加]をクリックします4 [名前]に最初のドメインの名前をします (例Sampa)5 LDAPサーバの設定を構成し[Create]をクリックします6 ステップ 345を繰り返して 2番のドメインの認証プロファイルを設定し[Close]をクリックします
プロファイルを作成して保存したら認証ポリシーを作成します
複数のドメイングループ抽出の認証ポリシーを作成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 詳細ウィンドウで[ポリシー]タブをクリックし[追加]をクリックします3 [名前]に最初のドメインの名前をします4「認証タイプ」で「LDAP」を選択します5「サーバー」で最初のドメインの認証プロファイルを選択します6 [名前付き式]の横にある [全般]をクリックし[True value]を選択し[式の追加]をクリックして[作成]をクリックします
7 [名前]に2番のドメインの名前をします8 [サーバー]で2番のドメインの認証プロファイルを選択し[作成][閉じる]の順にクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 126
Citrix Gateway 130
複数のドメインの LDAPグループ抽出のためのグループとバインディングポリシーの作成
March 26 2020
認証ポリシーを作成したらCitrix Gatewayにグループを作成しますグループを作成したら認証ポリシーを仮想サーバーにバインドします
Citrix Gatewayでグループを作成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ユーザー管理]の順に展開し[AAAグループ]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [グループ名]に最初の Active Directoryグループの名前をします重要複数のドメインからグループを抽出するために Citrix Gatewayでグループを作成する場合グループ名は Active Directoryで定義したグループと同じである必要がありますグループ名も字と字が区別され字と字は Active Directoryでした字と字と致する必要があります
4 [ポリシー]タブで[セッション]をクリックし[ポリシーの挿]をクリックします5 [ポリシー名]でポリシーをダブルクリックし[作成]をクリックします
認証ポリシーを仮想サーバーにバインドするには
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 構成ユーティリティのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
3 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします4 [認証]タブで [プライマリ]をクリックし[ポリシー名]の [ポリシーの挿]をダブルクリックして最初の認証ポリシーを選択します
5 [ポリシー名]の [ポリシーの挿]をクリックし2番の認証ポリシーをダブルクリックして[OK]をクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 127
Citrix Gateway 130
クライアント証明書認証の構成
March 26 2020
Citrix Gateway仮想サーバーにログオンするユーザーをクライアント証明書の属性に基づいて認証することもできますクライアント証明書認証は2要素認証を提供するためにLDAPや RADIUSなどのほかの種類の認証と緒に使することもできます
クライアント側の証明書の属性でユーザーを認証するには仮想サーバー上のクライアント認証が有効になっておりクライアント証明書を要求するように構成されている必要がありますさらにCitrix Gateway上でルート証明書をその仮想サーバーにバインドする必要があります
ユーザーが Citrix Gateway仮想サーバーにログオンすると認証後証明書の指定されたフィールドからユーザー名情報が抽出されます通常このフィールドは SubjectCNですユーザー名の抽出に成功するとユーザーの認証が完了しますSSL(Secure Sockets Layer)ハンドシェイク時に有効な証明書が提供されなかったりユーザー名の抽出に失敗したりすると認証に失敗します
クライアント証明書に基づいて認証するには既定の認証の種類としてクライアント証明書を指定しますまた「証明書アクション」を作成してクライアントの SSL証明書に基づいた認証時の動作を定義することもできます
クライアント証明書をデフォルトの認証タイプとして構成するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [認証設定の変更]をクリックします3 [最ユーザー数]にクライアント証明書を使して認証できるユーザーの数をします4「デフォルトの認証タイプ」で「Cert」を選択します5「ユーザー名フィールド」でユーザー名を保持する証明書フィールドの種類を選択します6 [グループ名フィールド]でグループ名を保持する証明書フィールドのタイプを選択します7 [既定の承認グループ]に既定のグループの名前をし[OK]をクリックします
クライアント証明書からのユーザー名の抽出
Citrix Gatewayでクライアント証明書による認証を有効にするとクライアント証明書の属性に基づいてユーザーが認証されます認証が正常に完了すると証明書からユーザー名またはユーザーのユーザーおよびグループ名が抽出されそのユーザーに指定されたポリシーが適されます
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 128
Citrix Gateway 130
クライアント証明書認証ポリシーの構成およびバインド
March 26 2020
クライアント証明書認証ポリシーを作成し仮想サーバーにバインドできますこのポリシーを使して特定のグループまたはユーザーへのアクセスを制限できますこのポリシーはグローバルポリシーよりも優先されます
クライアント証明書の認証ポリシーを構成するには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションウィンドウの [認証]で[ CERT]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にプロファイルの名前をします7 [ 2係数]の横の [ OFF]を選択します8 [ユーザー名]フィールドと [グループ名]フィールドで値を選択し[作成]をクリックします注クライアント証明書をデフォルトの認証タイプとして設定した場合はポリシーに使したものと同じ名前を使しますデフォルトの認証タイプの [User Name]フィールドと [Group Name]フィールドにした場合はプロファイルにも同じ値を使します
9 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします
クライアント証明書ポリシーを仮想サーバにバインドするには次の順を実します
クライアント証明書の認証ポリシーを構成したらそれを仮想サーバーにバインドできます
1 構成ユーティリティの [構成]タブのナビゲーションペインで[ Citrix Gateway ]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーをクリックし[開く]をクリックします3 Citrix Gateway仮想サーバーの構成]ダイアログボックスで[認証]タブをクリックします4 [プライマリ]または [セカンダリ]をクリックします5 [詳細]の [ポリシーの挿]をクリックします6 [ポリシー名]でポリシーを選択し[ OK]をクリックします
クライアント証明書を要求するように仮想サーバーを構成するには次の順を実します
認証にクライアント証明書を使する場合はSSLハンドシェイク中にクライアント証明書が要求されるように仮想サーバーを構成する必要があります
1 構成ユーティリティの [構成]タブのナビゲーションペインで[ Citrix Gateway ]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで[仮想サーバー]をクリックし[開く]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 129
Citrix Gateway 130
3 [証明書]タブで[ SSLパラメーター]をクリックします4 [その他]の [クライアント認証]をクリックします5 [クライアント証明書]で[オプション]または [必須]を選択し[OK]を 2回クリックします同じ仮想サーバー上で他の認証タイプを許可しクライアント証明書を使する必要がない場合は[オプション]を選択します
注
bull コールバック URLの詳細についてはCitrix Gatewayのインポートを参照してくださいbull 証明書について詳しくは「証明書のインストールリンクおよび更新」を参照してください
コピー完了Failed
2要素クライアント証明書認証の設定
March 26 2020
最初にユーザーを認証するようにクライアント証明書を構成し次に LDAPや RADIUSなどのセカンダリ認証タイプを使してログオンするようにユーザーに要求できますこのシナリオではクライアント証明書が最初にユーザーを認証しますその後ユーザー名とパスワードをできるログオンページが表されますSSL (セキュアソケットレイヤー)ハンドシェイクが完了するとログオンシーケンスは次の 2つのパスのいずれかを使できます
bull ユーザー名もグループも証明書から抽出されませんログオンページが表され有効なログオン資格情報のを求めるプロンプトが表されますCitrix Gatewayは通常のパスワード認証の場合と同様にユーザー資格情報を認証します
bull クライアント証明書からユーザー名とグループ名が抽出されますユーザー名のみが抽出されるとログオン名が存在するユーザーにはログオンページが表されユーザーは名前を変更できませんパスワードフィールドのみが空です
認証の第 2ラウンド中に Citrix Gatewayが抽出するグループ情報はCitrix Gatewayが証明書から抽出したグループ情報(存在する場合)に追加されます
コピー完了Failed
スマートカード認証の構成
April 9 2020
暗号化スマートカードを使してユーザーを認証するようにCitrix Gatewayを構成できます
copy 1999-2020 Citrix Systems Inc All rights reserved 130
Citrix Gateway 130
Citrix Gatewayで動作するようにスマートカードを構成するには次の操作をう必要があります
bull 証明書認証ポリシーを作成します詳しくは「クライアント証明書認証の構成」を参照してください
bull 認証ポリシーを仮想サーバーにバインドします
bull クライアント証明書を発する認証局(CA)のルート証明書を Citrix Gateway に追加します詳しくは「Citrix Gatewayにルート証明書をインストールするには」を参照してください
重要 スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります図 1スマートカード認証のルート証明書の追加
クライアント証明書を作成したらフラッシュと呼ばれる証明書をスマートカードに書き込むことができますこの順を完了するとスマートカードをテストできます
スマートカードパススルー認証にWeb Interfaceを構成する場合次のいずれかの条件が存在する場合WebInterfaceへのシングルサインオンは失敗します
bull [公開アプリケーション]タブでドメインをmydomainではなくmydomaincomとして設定した場合bull [公開アプリケーション]タブでドメイン名を設定せずwi-sso-split-upnコマンドを実する場合は値を 1に設定しますこの例ではユーザープリンシパル名にはドメイン名 ldquomydomaincomrdquoが含まれています
スマートカード認証を使してユーザーのログオンプロセスを合理化すると同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます社内ネットワークへのアクセスは公開キーのインフラストラクチャを使した証明書ベースの 2要素認証によって保護されます秘密キーはハードウェアで保護されるためスマートカードの外に漏れることはありませんユーザーはスマートカードと PINを使してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります
スマートカードはCitrix Virtual Apps and Desktopsで提供されるデスクトップとアプリケーションのユーザー認証を StoreFront経由でうために使できますStoreFrontにログオンしているスマートカードユーザーはCitrix Endpoint Managementが提供するアプリケーションにもアクセスできますただしクライアント証明書認証を使する Endpoint Management Webアプリケーションにアクセスするには再度認証する必要があります
詳しくはStoreFrontのドキュメントの「スマートカード認証の構成」を参照してください
セキュア ICA接続によるスマートカード認証の構成
Citrix Gatewayでシングルサインオンが構成されたスマートカードを使してログオンし安全な ICA接続を確するユーザーはログオン時と公開リソースの起動時に個識別番号(PIN)のを求めるプロンプトが表されることがありますこの状況はWebブラウザーと Citrix Workspaceアプリがクライアント証明書を使するように構成されている同じ仮想サーバーを使している場合に発しますCitrix WorkspaceアプリはWebブラウザーとプロセスまたは SSL(セキュアソケットレイヤー)接続を共有しませんしたがってICA接続で CitrixGatewayとの SSLハンドシェイクが完了するとクライアント証明書が 2回必要です
copy 1999-2020 Citrix Systems Inc All rights reserved 131
Citrix Gateway 130
ユーザーに 2番の PINプロンプトが表されないようにするには次の 2つの設定を変更する必要があります
bull VPN仮想サーバ上のクライアント認証を無効にする必要がありますbull SSL再ネゴシエーションを有効にする必要があります
仮想サーバを構成したらWeb Interface 53での Citrix Gateway設定の構成の説明に従って1つ以上の STAサーバを仮想サーバにバインドします
スマートカード認証をテストすることもできます
クライアント認証を無効にする順は次のとおりです
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 メインの詳細ペインで関連する仮想サーバーを選択し[編集]をクリックします3 [詳細オプション]ウィンドウで[SSLパラメータ]をクリックします4 [クライアント認証]チェックボックスをオフにします5[完了]をクリックします
SSL再ネゴシエーションを有効にするには次の順を実します
1 設定ユーティリティを使して[設定]タブから [トラフィック管理]に移動し[SSL]をクリックします2 メインパネルで[SSLの詳細設定の変更]をクリックします3 [SSL再ネゴシエーションの拒否]メニューから [いいえ]を選択します
スマートカード認証をテストするには次の順に従います
1 スマートカードをユーザーデバイスに接続します2 Webブラウザーを開きCitrix Gatewayにログオンします
コピー完了Failed
共通アクセスカードの設定
March 26 2020
国国防総省は識別と認証に共通のアクセスカードを使します
共通アクセスカードを設定するには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [サーバー]タブで[追加]をクリックします3 [名前]ボックスに名前をします4 [認証の種類]で[証明書]を選択します5 [ユーザー名フィールド]に「サブジェクト名プリンシパル名」とし[作成]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 132
Citrix Gateway 130
6 [ポリシー]タブでこのサーバを使するポリシーを作成しそのポリシーを仮想サーバにバインドします
コピー完了Failed
RADIUS認証の構成
March 26 2020
1つまたは複数の RADIUSサーバーでユーザーアクセスを認証するように Citrix Gatewayを構成できますRSASecurIDSafeWordまたは Gemalto Protiva製品を使している場合これらの各製品は RADIUSサーバーを使して構成されます
構成によってはネットワークアクセスサーバの IPアドレス (NAS IP)またはネットワークアクセスサーバ識別(NAS ID)の使が必要になる場合がありますRADIUS認証サーバーを使するように Citrix Gatewayを構成する場合は次のガイドラインに従ってください
bull NAS IPの使を有効にした場合アプライアンスはRADIUS接続の確に使される送信元 IPアドレスではなく構成済みの IPアドレスを RADIUSサーバに送信します
bull NAS IDを構成するとアプライアンスは RADIUSサーバーにこの識別を送信しますNAS IDを構成しないとアプライアンスは RADIUSサーバーにホスト名を送信します
bull NAS IPを有効にするとアプライアンスはNAS IPを使して RADIUSサーバーと通信するように構成された NAS IDを無視します
ゲマルトプロティバの設定
Protivaは Gemaltoが開発した強な認証プラットフォームでGemaltoのスマートカード認証の強みを利していますProtivaではユーザー名パスワードおよび Protivaデバイスが成するワンタイムパスワードを使してログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されサーバーはパスワードを検証または拒否しますCitrix Gatewayで動作するように Gemalto Protivaを構成するには以下のガイドラインに従ってください
bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーにインターネット認証サーバー (IAS)を拡張する Protiva SASエージェントソフトウェアをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください
bull Citrix Gatewayで RADIUS認証プロファイルを構成しProtivaサーバーの設定をします
copy 1999-2020 Citrix Systems Inc All rights reserved 133
Citrix Gateway 130
セーフワードの設定
SafeWord製品ラインはトークンベースのパスコードを使した安全な認証を提供しますユーザーがパスコードをするとSafeWordはすぐにパスコードを無効化し再度使することはできませんSafeWordサーバーを設定する場合は次の情報が必要です
bull Citrix Gatewayの IPアドレスこれはRADIUSサーバクライアント設定で設定した IPアドレスと同じ IPアドレスである必要がありますCitrix Gatewayは内部 IPアドレスを使して RADIUSサーバーと通信します共有シークレットを構成するときは内部 IPアドレスを使します可性を実現するために 2つのアプライアンスを構成する場合は仮想内部 IPアドレスを使します
bull 共有シークレットbull SafeWordサーバーの IPアドレスとポートデフォルトのポート番号は 1812です
コピー完了Failed
RADIUS認証を構成するには
March 26 2020
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで [追加]をクリックします3 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [認証ポリシーの作成]ダイアログボックスの [名前]にサーバーの名前をします7 [サーバー]の [IPアドレス]にRADIUSサーバーの IPアドレスをします8 [ポート]にポートをしますデフォルトは 1812です9 [詳細]の [シークレットキー]と [シークレットキーの確認]にRADIUSサーバーのシークレットをします
10 [NAS ID]に識別番号をし[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 134
Citrix Gateway 130
RADIUS認証プロトコルの選択
March 26 2020
Citrix Gatewayでは次のような複数のプロトコルを使してユーザー認証をうように構成された RADIUSの実装がサポートされています
bull パスワード認証プロトコル (PAP)bull Challenge-Handshake Authentication Protocol (CHAP)bull Microsoft Challenge-Handshake Authentication Protocol (MS-CHAPバージョン 1およびバージョン
2)
Citrix Gatewayの展開が RADIUS認証を使するように構成されていてPAPを使するように RADIUSサーバーが構成されている場合は強な共有シークレットを RADIUSサーバーに割り当てることでユーザー認証を強化できます強な RADIUS共有シークレットは字字数字句読点のランダムなシーケンスで構成され少なくとも 22字です可能であればランダムな字成プログラムを使して RADIUS共有秘密を特定します
RADIUSトラフィックをさらに保護するにはCitrix Gatewayアプライアンスまたは仮想サーバーごとに異なる共有シークレットを割り当てますRADIUSサーバでクライアントを定義する場合各クライアントに個別の共有シークレットを割り当てることもできますその場合はRADIUS認証を使する Citrix Gatewayポリシーを個別に構成する必要があります
RADIUSポリシーを作成するときはポリシーの部として Citrix Gatewayで共有シークレットを構成します
コピー完了Failed
IPアドレス抽出の設定
March 26 2020
RADIUSサーバーから IPアドレスを抽出するように Citrix Gatewayを構成できますユーザが RADIUSサーバで認証されるとサーバはユーザに割り当てられたフレーム IPアドレス(アクセス要求の RADIUSアトリビュート8フレーム IPアドレスとも呼ばれる)を返しますIPアドレス抽出のコンポーネントは次のとおりです
bull リモート RADIUSサーバーがCitrix Gatewayにログオンしているユーザーの内部ネットワークからの IPアドレスを提供できるようにします
bull ベンダーでエンコードされたアトリビュートを含めipaddressタイプを使する任意の RADIUSアトリビュートを設定できます
IPアドレス抽出に RADIUSサーバを設定する場合はベンダー IDとアトリビュートタイプを設定しますベンダー IDとアトリビュートはRADIUSクライアントと RADIUSサーバ間のアソシエーションを作成するために使されます
copy 1999-2020 Citrix Systems Inc All rights reserved 135
Citrix Gateway 130
bull RADIUSサーバはベンダー識別(ID)を使してRADIUSサーバで設定された IPアドレスのプールからクライアントに IPアドレスを割り当てることができますベンダー IDは内部ネットワークの IPアドレスを提供する RADIUS応答のアトリビュートです値 0は属性がベンダーエンコードされていないことをします
bull アトリビュートタイプはRADIUS応答のリモート IPアドレスアトリビュートです最値は 1で最値は 255です
般的な設定はRADIUSアトリビュートのフレーム IPアドレスを抽出することですベンダー IDが 0に設定されているか指定されていません属性タイプは 8に設定されています
RADIUSサーバからの IPアドレス抽出を設定するには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [RADIUS]をクリックし詳細ウィンドウの [ポリシー]タブで RADIUSポリシーを選択し[開く]をクリックします
3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [詳細]の [グループベンダー ID]に値をします5 [グループ属性の種類]に値をし[OK]を 2回クリックします
コピー完了Failed
RADIUSグループ抽出の設定
March 26 2020
RADIUS許可はグループ抽出と呼ばれる法を使して設定できますグループ抽出を構成するとユーザーをCitrix Gatewayに追加するのではなくRADIUSサーバー上のユーザーを管理できます
RADIUS認可を設定するには認証ポリシーを使しグループベンダー ID(ID)グループアトリビュートタイプグループプレフィクスおよびグループセパレータを設定しますポリシーを構成するときは式を追加しポリシーをグローバルまたは仮想サーバにバインドします
Windowsサーバ 2003での RADIUSの構成
Windows Server 2003で RADIUS認証にMicrosoftインターネット認証サービス(IAS)を使している場合はCitrix Gatewayの構成時に次の情報を提供する必要があります
bull ベンダー IDはIASでしたベンダー固有のコードですbull「タイプ」はベンダーによって割り当てられた属性番号ですbull 属性名はIASで定義した属性名のタイプですデフォルト名は CTXSUserグループ =です
copy 1999-2020 Citrix Systems Inc All rights reserved 136
Citrix Gateway 130
IASが RADIUSサーバーにインストールされていない場合はコントロールパネルの [プログラムの追加と削除]からインストールできます詳細についてはWindowsオンラインヘルプを参照してください
IASを構成するにはMicrosoft管理コンソール (MMC)を使してIASのスナップインをインストールしますウィザードに従って次の設定を選択します
bull ローカルコンピュータを選択します
bull [リモートアクセスポリシー]を選択しカスタムポリシーを作成します
bull ポリシーの [Windowsグループ]を選択します
bull 次のいずれかのプロトコルを選択します
ndash Microsoft Challenge-Handshake Authentication Protocolバージョン 2 (MS-CHAP v2)ndash Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)ndash Challenge-Handshake Authentication Protocol (CHAP)ndash 暗号化されていない認証(PAPSPAP)
bull「ベンダー固有の属性」を選択します
ベンダー固有の属性はサーバー上のグループで定義したユーザーと Citrix Gatewayのユーザーを致させる必要がありますこの要件を満たすにはベンダー固有の属性を Citrix Gatewayに送信します[RADIUS]が [Standard]であることを確認します
bull RADIUSのデフォルトは 0ですこの番号はベンダーコードに使します
bull ベンダーが割り当てたアトリビュート番号は 0です
これは「ユーザーグループ」属性に割り当てられた番号です属性は字列形式です
bull 属性形式に [字列]を選択します
Attribute値には属性名とグループが必要です
Access Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります
bull [ダイヤルインプロファイルの編集]ダイアログボックスの他のすべてのエントリを削除し[ベンダー固有]と表されているエントリを残します
IASでリモートアクセスポリシーを構成した後Citrix Gatewayで RADIUS認証と承認を構成します
RADIUS認証を構成するときはIASサーバーで構成した設定を使します
Windowsサーバー 2008での認証に RADIUSを構成する
Windows Server 2008ではインターネット認証サービス (IAS)に代わるネットワークポリシーサーバー (NPS)を使して RADIUS認証と承認を構成しますサーバーマネージャーを使して役割としてNPSを追加することでNPSをインストールできます
copy 1999-2020 Citrix Systems Inc All rights reserved 137
Citrix Gateway 130
NPSをインストールするときにネットワークポリシーサービスを選択しますインストール後[スタート]メニューの [管理サービス]から NPSを起動することでネットワークの RADIUS設定を構成できますNPSを開くとCitrix Gatewayを RADIUSクライアントとして追加しサーバーグループを構成します
RADIUSクライアントを構成するときは次の設定を選択してください
bull ベンダー名として[RADIUS標準]を選択しますbull Citrix Gatewayで同じ共有シークレットを構成する必要があるため共有シークレットを書き留めます
RADIUSグループにはRADIUSサーバの IPアドレスまたはホスト名が必要ですデフォルト設定は変更しないでください
RADIUSクライアントとグループを構成したら次の 2つのポリシーで設定をいます
bull 接続要求ポリシーネットワークサーバーの種類ネットワークポリシーの条件ポリシーの設定などCitrixGateway接続の設定を構成します
bull 拡張認証プロトコル (EAP)認証とベンダー固有の属性を構成するネットワークポリシー
接続要求ポリシーを構成する場合はネットワークサーバーの種類として [未指定]を選択します次に条件として[NASポートタイプ]を選択し値として [仮想 (VPN)]を選択して条件を構成します
ネットワークポリシーを構成するときは次の設定を構成する必要があります
bull ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPNダイヤルアップ)]を選択します
bull EAPの [暗号化認証 (CHAP)]と [暗号化されていない認証 (PAPおよび SPAP)]を選択します
bull ベンダー固有の属性に [RADIUS標準]を選択します
デフォルトの属性番号は 26ですこのアトリビュートはRADIUS認可に使されます
Citrix Gatewayではサーバー上のグループで定義されたユーザーと Citrix Gateway上のユーザーを致させるためにベンダー固有の属性が必要ですこれはベンダー固有の属性を Citrix Gatewayに送信することによってわれます
bull 属性形式として [字列]を選択します
Attribute値には属性名とグループが必要です
Citrix Gatewayの場合属性値は CTXSUserGroups=グループ名です売上と財務など 2つのグループが定義されている場合属性値は CTXSUserGroups=salesfinanceです各グループはセミコロンで区切ります
bull 区切り記号はセミコロンコロンスペースピリオドなどのグループを区切るための NPSで使した区切り記号です
IASでリモートアクセスポリシーの構成が完了したらCitrix Gatewayで RADIUS認証と承認を構成できます
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 138
Citrix Gateway 130
RADIUS認可を設定するには
March 26 2020
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [RADIUS]をクリックします3 [ポリシー]タブで[追加]をクリックします4 [名前]にポリシーの名前をします5 サーバーの下 [+]をクリックします6 [名前]にRADIUSサーバーの名前をします7 [サーバー]にRADIUSサーバーの IPアドレスとポートをします8 [詳細]で[グループベンダー識別]と [グループ属性タイプ]の値をします9 [パスワードのエンコーディング]で認証プロトコルを選択し[作成]をクリックします
10 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
RADIUSユーザアカウンティングの設定
March 26 2020
Citrix Gatewayはユーザーセッションの開始および停メッセージを RADIUSアカウンティングサーバーに送信できます各ユーザセッションに送信されるメッセージにはRFC2866で定義されたアトリビュートのサブセットが含まれます表 1にサポートされる属性とそれらが送信される RADIUSアカウンティングメッセージ(RAD_STARTおよび RAD_STOP)のタイプをします表 2にAcct-Terminate-Cause属性に割り当てることができる定義済みの値と対応する Citrix Gatewayイベントをします
表 1 サポートされている RADIUSアトリビュート
属性 意味 RAD_START RAD_STOP
User-Name セッションに関連付けられたユーザーの名前
Session-Id NetScalerセッションID
Acct-Session-Time セッション継続時間(秒)
copy 1999-2020 Citrix Systems Inc All rights reserved 139
Citrix Gateway 130
属性 意味 RAD_START RAD_STOP
Acct-Terminate-Cause アカウント解約の理由(下記参照)
表 2 RADIUS終端の原因
NetScalerのログアウト法 RADIUS終了の原因
LOGOUT_SESSN_TIMEDOUT RAD_TERM_SESSION_TIMEOUT
LOGOUT_SESSN_INITIATEDBYUSER RAD_TERM_USER_REQUEST
LOGOUT_SESSN_KILLEDBYADMIN RAD_TERM_ADMIN_RESET
LOGOUT_SESSN_TLOGIN RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_MAXLICRCHD RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_CLISECCHK_FAILED RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_PREAUTH_CHANGED RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_COOKIE_MISMATCH RAD_TERM_NAS_REQUEST
LOGOUT_SESSS_DHT RAD_TERM_NAS_REQUEST
LOGOUT_SESSS_2FACTOR_FAIL RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_ICALIC RAD_TERM_NAS_REQUEST
LOGOUT_SESSN_INTERNALERR RAD_TERM_NAS_ERROR
そのほか RAD_TERM_NAS_ERROR
RADIUSユーザアカウンティングを設定するにはポリシーのペアを作成する必要があります最初のポリシーはアカウンティングメッセージを送信する RADIUSサーバを指定する RADIUS認証ポリシーです2つはRADIUSアカウンティングポリシーをアクションとして使するセッションポリシーです
RADIUSユーザアカウンティングを設定するには次の作業をう必要があります
1 RADIUSポリシーを作成しRADIUSアカウンティングサーバを定義しますアカウンティングサーバはRADIUS認証に使するサーバと同じサーバにできます
2 RADIUSユーザアカウンティングサーバを指定するアクションとして RADIUSポリシーを使してセッションポリシーを作成します
3 セッションポリシーをグローバルにバインドしてすべてのトラフィックに適するかCitrix Gateway仮想サーバーにバインドしてその仮想サーバーを流れるトラフィックにのみ適します
copy 1999-2020 Citrix Systems Inc All rights reserved 140
Citrix Gateway 130
RADIUSポリシーを作成するには
1 構成ユーティリティーのナビゲーションペインで[Citrix Gateway]ノードを展開し[ポリシー]を展開します
2 [認証]を展開し[RADIUS]を選択します3 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします4 ポリシーの名前をします5 [Server]メニューからサーバを選択するか[+]アイコンをクリックしてプロンプトに従って新しい RADIUSサーバを追加します
6 [式]ペインの [保存されたポリシー式]メニューから [ns_true]を選択します7[作成]をクリックします
セッションポリシーを作成するには
RADIUSアカウンティングサーバを指定する RADIUSポリシーを設定したら次のようにアクションでこのアカウンティングサーバを適するセッションポリシーを作成します
1 構成ユーティリティーのナビゲーションペインで[Citrix Gateway]ノードを展開し[ポリシー]を展開します
2「セッション」を選択します3 メインの詳細ペインで[追加]を選択します4 ポリシーの名前をします5 [Action]メニューで [+]アイコンをクリックして新しいセッションアクションを追加します6 セッションアクションの名前をします7 [クライアントエクスペリエンス]タブをクリックします8 [アカウンティングポリシー]メニューで前に作成した RADIUSポリシーを選択します9[作成]をクリックします
10 [式]ペインの [保存されたポリシー式]メニューから [ns_true]を選択します11[作成]をクリックします
セッションポリシーをグローバルにバインドするには
1 構成ユーティリティーのナビゲーションペインで[Citrix Gateway]ノードを展開し[ポリシー]を展開します
2「セッション」を選択します3 メインの詳細ペインの [操作]メニューから[グローバルバインディング]を選択します4[バインド]をクリックします5 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします6 [ポリシー]の覧でセッションポリシーの [優先度]エントリをクリックし0〜 64000の値をします7[OK]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 141
Citrix Gateway 130
セッションポリシーを Citrix Gateway仮想サーバーにバインドするには
1 構成ユーティリティーのナビゲーションペインで[Citrix Gateway]ノードを展開し[仮想サーバー]を選択します
2 メインの詳細ウィンドウで仮想サーバーを選択し[編集]をクリックします3 [Policies]ペインで[+]アイコンをクリックしてポリシーを選択します4「ポリシーの選択」メニューから「セッション」を選択し「タイプの選択」メニューで「要求」が選択されていることを確認します
5[続]をクリックします6[バインド]をクリックします7 [ポリシー]ウィンドウで前に作成したセッションポリシーを選択し[挿]をクリックします8[OK]をクリックします
コピー完了Failed
SAML認証の構成
March 26 2020
セキュリティーアサーションマークアップ語 (SAML)はIDプロバイダー (IdP)とサービスプロバイダーの間で認証と承認を交換するための XMLベースの標準ですCitrix GatewayはSAML認証をサポートしています
SAML認証を構成するときは次の設定を作成します
bull IdP証明書名IdPの秘密鍵に対応する公開鍵ですbull リダイレクト URLこれは認証 IdPの URLです認証されていないユーザーはこの URLにリダイレクトされます
bull [ユーザフィールド] IdPが SubjectタグのNameIdentifierタグとは異なる形式でユーザー名を送信する場合このフィールドを使してユーザー名を抽出できますこれはオプションの設定です
bull 署名証明書名これはIdPへの認証要求に署名するために使される Citrix Gatewayサーバーの秘密鍵です証明書名を設定しない場合アサーションは署名なしに送信されるか認証要求は拒否されます
bull SAML発者名この値は認証要求が送信されるときに使されます発者フィールドにはアサーションが送信される権限をす意の名前が必要ですこれはオプションのフィールドです
bull デフォルトの認証グループこれはユーザの認証元となる認証サーバ上のグループですbull 2つのファクターこの設定では2要素認証を有効または無効にしますbull 署名されていないアサーションを拒否します有効にすると署名証明書名が構成されていない場合Citrix
Gatewayはユーザー認証を拒否します
Citrix GatewayはHTTP POSTバインディングをサポートしていますこのバインディングでは送信側は必要な情報を持つフォーム動投稿を含む 200 OKでユーザーに応答します具体的にはそのデフォルトフォームに
copy 1999-2020 Citrix Systems Inc All rights reserved 142
Citrix Gateway 130
はフォームがリクエストかレスポンスかに応じてSAMLRequestと SAMLResponseという 2つの表フィールドが含まれている必要がありますフォームには RelayStateも含まれていますRelayStateは証明書利者によって処理されない任意の情報を送信するために送信側によって使される状態または情報です証明書利者は送信側が RelayStateとともにアサーションを取得したときに送信側が次に何をすべきかを知るように単に情報を送り返しますRelayStateを暗号化または難読化することをお勧めします
Active Directoryフェデレーションサービス 20の構成
フェデレーションサーバーの役割で使する任意の Windows Server 2008 コンピューターまたは WindowsServer 2012コンピューターでActive Directoryフェデレーションサービス (AD FS) 20を構成できますCitrixGatewayで動作するように AD FSサーバーを構成する場合は証明書利者の信頼ウィザードを使して次のパラメーターを構成する必要があります
Windows Server 2008パラメーター
bull 証明書利者の信頼Citrix Gateway のメタデータファイルの場所(httpsvserverfqdncomnsmetadataxmlなど)を指定しますここでvserverfqdncomは Citrix Gateway仮想サーバーの完全修飾ドメイン名(FQDN)ですFQDNは仮想サーバーにバインドされたサーバー証明書にあります
bull 承認規則証明書利者へのアクセスをユーザーに許可または拒否できます
サーバー 2012のパラメーター
bull 証明書利者の信頼Citrix Gateway のメタデータファイルの場所(httpsvserverfqdncomnsmetadataxmlなど)を指定しますここでvserverfqdncomは Citrix Gateway仮想サーバーの完全修飾ドメイン名(FQDN)ですFQDNは仮想サーバーにバインドされたサーバー証明書にあります
bull AD FSプロファイルAD FSプロファイルを選択します
bull 証明書Citrix Gatewayは暗号化をサポートしていません証明書を選択する必要はありません
bull SAML 20 WebSSOプロトコルのサポートを有効にしますこれによりSAML 20 SSOのサポートが有効になりますCitrix Gateway 仮想サーバーの URL(httpsnetScalervirtualServerNamecomcgisamlauthなど)を指定します
この URLはCitrix Gatewayアプライアンス上のアサーションコンシューマーサービスの URLですこれは定数パラメーターでありCitrix Gatewayはこの URLに対する SAML応答を想定しています
bull 証明書利者の信頼識別「Citrix Gateway」という名前をしますこれは証明書利者を識別するURLですたとえばhttpsnetscalerGatewayvirtualServerNamecomadfsservicestrust
bull 承認規則証明書利者へのアクセスをユーザーに許可または拒否できます
bull 要求ルールを構成します発変換規則を使して LDAP属性の値を構成し「要求として LDAP属性を送信」テンプレートを使できます次に次の情報を含む LDAP設定を構成します
ndash メールアドレスndash sAMAccountName
copy 1999-2020 Citrix Systems Inc All rights reserved 143
Citrix Gateway 130
ndash ユーザープリンシパル名 (UPN)ndash memberOf
bull 証明書の署名署名検証証明書を指定するには[中継者のプロパティ]を選択して証明書を追加します
署名証明書が 2048ビット未満の場合は警告メッセージが表されます警告を無視して続できますテスト展開を設定している場合はリレーパーティで証明書失効リスト(CRL)を無効にしますチェックを無効にしないとAD FSは CRLで証明書の検証を試みます
CRL を無効にするには次のコマンドを実しますSet-ADFWRelayingPartyTrust - SigningCertfi-cateRevocatonCheck None-TargetName NetScaler
設定を構成したら中継パーティの信頼ウィザードを完了する前に証明書利者のデータを確認しますCitrixGateway仮想サーバー証明書はhttpsvserverfqdncomcgisamlauthなどのエンドポイント URLで確認します
中継パーティの信頼ウィザードでの設定の構成が完了したら構成された信頼を選択しプロパティを編集します次のことをう必要があります
bull セキュアハッシュアルゴリズムを SHA-1に設定します
注Citrixでは SHA-1のみがサポートされています
bull 暗号化証明書を削除します暗号化されたアサーションはサポートされていません
bull 以下を含む要求ルールを編集します
ndash 変換規則の選択ndash 要求ルールの追加ndash 要求規則テンプレートの選択要求として LDAP属性を送信するndash 名前をつけるndash 属性ストアの選択Active Directoryndash ltActive Directory parametersgtLDAP属性を選択ndash「名前 ID」として「外出要求ルール」を選択します
注属性名 XMLタグはサポートされていません
bull シングルサインオフのログアウト URLを設定します要求ルールは [ログアウト URLの送信]ですカスタムルールは次のようになります
pre codeblock =gt issue(Type = rdquologoutURLrdquo Value = rdquohttpsltadfsfqdncomgtadfslsrdquo Properties[rdquohttpschemasxmlsoaporgws200505identityclaimpropertiesattributenamerdquo] = rdquournoasisnamestcSAML20attrname-formatunspecifiedrdquo)
AD FSの設定を構成したらAD FS署名証明書をダウンロードしCitrix Gatewayで証明書キーを作成しますその後証明書とキーを使してCitrix Gatewayで SAML認証を構成できます
copy 1999-2020 Citrix Systems Inc All rights reserved 144
Citrix Gateway 130
SAML 2要素認証の設定
SAMLの 2要素認証を設定できますLDAP認証を使して SAML認証を構成する場合は次のガイドラインに従ってください
bull SAMLがプライマリ認証タイプである場合はLDAPポリシーで認証を無効にしグループ抽出を設定します次にLDAPポリシーをセカンダリ認証タイプとしてバインドします
bull SAML認証ではパスワードは使されずユーザー名のみが使されますまたSAML認証は認証が成功した場合にのみユーザーに通知しますSAML認証が失敗した場合ユーザーには通知されません失敗応答は送信されないためSAMLはカスケードの最後のポリシーか唯のポリシーである必要があります
bull 不透明な字列ではなく実際のユーザー名を構成することをお勧めしますbull SAMLをセカンダリ認証タイプとしてバインドすることはできません
コピー完了Failed
SAML認証を設定するには
March 26 2020
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します
2 ナビゲーションペインで[SAML]をクリックします
3 詳細ウィンドウで[追加]をクリックします
4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします
5 [サーバー]の横にある [新規]をクリックします
6 [名前]にサーバープロファイルの名前をします
7「IdP証明書名」で証明書を選択するか「インストール」をクリックしますこれはSAMLサーバーまたはIDPサーバーにインストールされた証明書です
[インストール]をクリックした場合は証明書と秘密キーを追加します詳しくは「証明書のインストールと管理」を参照してください
8「リダイレクト URL」に認証アイデンティティプロバイダ (IdP)の URLをします
SAMLサーバーへのユーザーログオンの URLですこれはCitrix Gatewayが最初の要求をリダイレクトするサーバーです
9「ユーザーフィールド」に抽出するユーザー名をします
10「署名証明書名」で順 9で選択した証明書の秘密キーを選択します
copy 1999-2020 Citrix Systems Inc All rights reserved 145
Citrix Gateway 130
これはAAA 仮想 IP アドレスにバインドされる証明書ですSAML 発者名はlbexamplecom やngexamplecomなどユーザーがログオンする完全修飾ドメイン名 (FQDN)です
11「SAML 発者名」にアプライアンスが初期認証(GET)リクエストを送信する負荷分散または CitrixGateway仮想 IPアドレスの FQDNをします
12 [既定の認証グループ]にグループ名をします
13 2ファクタ認証を有効にするには[2ファクタ]で [ON]をクリックします
14 署名なしアサーションを拒否を無効にしますSAMLまたは IDPサーバーが SAML応答に署名している場合にのみこの設定を有効にします
15[Create]をクリックしてから[Close]をクリックします
16 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
SAML認証を使して Citrix Gatewayにログインする
March 26 2020
SAML認証を使してCitrix VPNクライアントとWorkspaceアプリを使して Citrix Gatewayにログインできますこのプラグインは認証仮想サーバー (nfactor認証)にバインドされた度な SAMLポリシーを通じてSAML認証のみをサポートします
重要 SAMLポリシーが VPN仮想サーバー ( nfactor認証)に直接バインドされている場合プラグインは SAML認証をサポートしません
サポートされているプラットフォームとアプリ
次の表はCitrix Gatewayへのログイン時に SAML認証をサポートするプラットフォームとアプリケーションの覧です
製品 バージョン
Citrix Gateway バージョン 120ビルド 4116以降
VPNクライアント バージョン 121は 4937以降をビルドしますサポートされているプラットフォームWindows 7Windows 8Windows 81Windows 10
copy 1999-2020 Citrix Systems Inc All rights reserved 146
Citrix Gateway 130
製品 バージョン
Workspaceアプリのバージョン Windows 1808 Mac 1808
度な SAMLポリシーを使した SAML認証の構成
度な SAMLポリシーを使した SAML認証の設定の詳細については「SAML IdPとしての Citrix ADC」を参照してください
コピー完了Failed
SAML認証の認証の改善
March 26 2020
この機能は SAML知識を持つユーザ向けでありこの情報を使するには基本的な認証能が必要ですこの情報を使するには読者が FIPSを理解している必要があります
以下の Citrix ADC機能はSAML 20仕様と互換性のあるサードパーティのアプリケーションサーバーで使できます
bull SAMLサービスプロバイダ (SP)bull SAML IDプロバイダー (IdP)
SPと IdPはクラウドサービス間でシングルサインオン(SSO)を可能にしますSAML SP機能はIdPからのユーザーの要求に対処する法を提供しますIdPはサードパーティのサービスまたは別の Citrix ADCアプライアンスである可能性がありますSAML IdP機能はユーザーのログオンをアサートしSPによって消費される要求を提供するために使されます
SAMLサポートの部としてIdPモジュールと SPモジュールの両がピアに送信されるデータにデジタル署名しますデジタル署名にはSPからの認証要求IdPからのアサーションこれらの 2つのエンティティ間のログアウトメッセージが含まれますデジタル署名はメッセージの信頼性を検証します
SAML SPおよび IdPの現在の実装はパケットエンジンでシグニチャ計算をいますこれらのモジュールはSSL証明書を使してデータに署名しますFIPS準拠の Citrix ADCではSSL証明書の秘密鍵はパケットエンジンまたはユーザー空間では利できないため現在の SAMLモジュールは FIPSハードウェアに対応していません
このドキュメントではシグニチャ計算を FIPSカードにオフロードするメカニズムについて説明します公開鍵が利可能であるため署名の検証はソフトウェアでわれます
copy 1999-2020 Citrix Systems Inc All rights reserved 147
Citrix Gateway 130
解決策
SAML機能セットは署名オフロードに SSL APIを使するように拡張されました影響を受ける SAMLサブ機能の詳細についてはdocscitrixcomを参照してください
1 SAML SPポストバインディングmdash認証リクエストの署名
2 SAML IdPポストバインディングmdashアサーション応答両の署名
3 SAML SPシングルログアウトシナリオmdash SPによって開始されたモデルでのログアウト要求の署名と IdPによって開始されたモデルでのログアウト応答の署名
4 SAML SPアーティファクトバインディングmdashアーティファクト解決リクエストの署名
5 SAML SPリダイレクトバインディングmdash認証要求の署名
6 SAML IdPリダイレクトバインディングmdash応答アサーション両の署名
7 SAML SP暗号化のサポートmdashアサーションの復号化
プラットフォーム
APIは FIPSプラットフォームにのみオフロードできます
構成
オフロード設定はFIPSプラットフォーム上で動的に実されます
ただしFIPSハードウェアのユーザー空間では SSL秘密キーを使できないためFIPSハードウェアで SSL証明書を作成する際に若の構成が変更されます
設定情報は次のとおりです
bull add ssl fipsKey fips-key
次にCSRを作成しCAサーバで使して証明書を成する必要がありますその証明書を nsconfigslにコピーできますファイルが fips3certcerであると仮定しましょう
bull add ssl certKey fips-cert -cert fips3certcer -fipsKey fips-key
次にSAML SPモジュールの SAMLアクションでこの証明書を指定する必要があります
bull set samlAction ltnamegt -samlSigningCertName fips-cert
同様にSAML IdPモジュールの samlIdpProfileでこれを使する必要があります
bull set samlidpprofile fipstest ndashsamlIdpCertName fips-cert
初めて上記の fipsキーはありませんFIPSキーがない場合は「httpssupportcitrixcomservletKbServletdownload9539-102-665378NS9000_FIPS_6[1][1]1pdf」の説明に従って作成します
copy 1999-2020 Citrix Systems Inc All rights reserved 148
Citrix Gateway 130
bull create ssl fipskey ltfipsKeyNamegt -modulus ltpositive_integergt [-exponent ( 3 | F4 )]
bull create certreq ltreqFileNamegt -fipskeyName ltstringgt
コピー完了Failed
TACACS+認証の設定
April 9 2020
TACACS+サーバを認証に設定できますRADIUS認証と同様にTACACS+は秘密キーIPアドレスおよびポート番号を使しますデフォルトのポート番号は 49です
TACACS+サーバーを使するように Citrix Gatewayを設定するにはサーバーの IPアドレスと TACACS+シークレットを指定しますポートを指定する必要があるのは使しているサーバのポート番号がデフォルトのポート番号である 49以外の場合だけです
ユーザインターフェイスを使して TACACS+認証を設定するには次の順を実します
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [ TACACS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [ Name ]フィールドにポリシーの名前をします5 [ Server ]フィールドの横にある [ Add ]をクリックして新しい TACACSサーバを作成するか[ Edit ]をクリックして既存の TACACSサーバを変更します
6 [名前]フィールドにサーバーの名前をします7 [ IPアドレス]に IPアドレスをします8 [ポート]でデフォルトのポート番号 49を使します9 [ TACACSキー]フィールドにキーをします[ TACACSキーの確認]フィールドに確認のために同じキーをします
10 [詳細]をクリックします11「認証」で「ON」を選択し「作成」をクリックします12 [認証 TACACSポリシーの作成]ダイアログボックスで[式]を選択し[作成]をクリックして[閉じる]を
クリックします
コマンドラインインターフェイスを使して TACACS+認証を設定するには次のコマンドをします
1 add authentication tacacsAction ltnamegt [-serverIP ltip_addr|ipv6_addr|gt][-serverPort ltportgt] [-authTimeout ltpositive_integergt]
2 -tacacsSecret 3
copy 1999-2020 Citrix Systems Inc All rights reserved 149
Citrix Gateway 130
4 [-authorization ( ON | OFF )] [-accounting ( ON | OFF )][-auditFailedCmds ( ON | OFF )] [-groupAttrName ltstringgt][-defaultAuthenticationGroup ltstringgt] [-Attribute1 ltstringgt] [-Attribute2 ltstringgt] [-Attribute3 ltstringgt] [-Attribute4 ltstringgt]
5 [-Attribute5 ltstringgt] [-Attribute6 ltstringgt] [-Attribute7 ltstringgt] [-Attribute8 ltstringgt] [-Attribute9 ltstringgt] [-Attribute10 ltstringgt]
6 [-Attribute11 ltstringgt] [-Attribute12 ltstringgt] [-Attribute13 ltstringgt][-Attribute14 ltstringgt] [-Attribute15 ltstringgt] [-Attribute16 ltstringgt]
Citrix Gatewayで TACACS+サーバー設定を構成したらポリシーをバインドしてアクティブにしますポリシーはグローバルサーバレベルまたは仮想サーバレベルでバインドできます認証ポリシーのバインドについて詳しくは「認証ポリシーのバインド」を参照してください
コピー完了Failed
基本設定のクリアTACACS設定をクリアしない
March 26 2020
概要
この拡張機能ではclear configコマンドの実時にRBA(ロールベースアクセス)関連のすべての設定を消去しないことに重点を置いています
現在の clear configコマンドは次の 3つのレベルのいずれかで実されます
bull Basic
bull Extended
bull Full
選択したレベルに基づいてNetScaler構成がクリアされ場出荷時のデフォルトにリセットされます
使するコマンドは次のとおりです
1 clear ns config [-force] ltlevelgt
新しいコマンドはすべての RBA関連設定の削除を許可拒否するノブを追加します
copy 1999-2020 Citrix Systems Inc All rights reserved 150
Citrix Gateway 130
新規コマンド
RBA構成のクリア機能について説明します
1 YESNOノブデフォルトYES
管理者はRBA構成を保持するかどうかを決定します
2 クリア設定の基本レベルのみがサポートされています
3 次の設定はクリアされません
bull Addbind system usergroup
bull Add cmd policy
bull TACACSコマンド(add TACACS actionpolicy)
bull Bind system global
注 TACACS関連の設定(actionpolicy)はポリシーがシステムグローバルにバインドされている場合またはクリアされている場合保持されます
CLIの設定
使したコマンド
1 clear config [ ‒ force] ltlevelgt [-RBAconfig]
デフォルトではYESに設定され指定されたレベルに基づいて設定がクリアされます
mdashRBAconfigが NOに設定されている場合RBA関連の設定は保持されます以下が含まれます
bull Add bind system user groupbull Bind system globalbull tacacs関連コマンド (add tacacs actionpolicy))bull Add cmd policy
コピー完了Failed
多要素認証の設定
March 26 2020
Citrix Gatewayでは次の 2種類の多要素認証を構成できます
copy 1999-2020 Citrix Systems Inc All rights reserved 151
Citrix Gateway 130
bull 認証の優先度レベルを設定するカスケード認証bull 2つの種類の認証を使してユーザーがログオンする必要がある 2要素認証
複数の認証サーバがある場合は認証ポリシーのプライオリティを設定できます設定した優先度レベルによって認証サーバーがユーザーの資格情報を検証する順序が決まりますプライオリティ番号がさいポリシーは番号のきいポリシーよりも優先されます
2つの異なる認証サーバに対してユーザを認証させることができますたとえばLDAP認証ポリシーと RSA認証ポリシーを設定できますユーザーがログオンすると最初にユーザー名とパスワードで認証されます次に個識別番号 (PIN)と RSAトークンからのコードで認証します
コピー完了Failed
カスケード認証の設定
March 26 2020
認証ではポリシーの優先順位付けを使して複数の認証サーバのカスケードを作成できますカスケードを構成するとシステムはカスケードポリシーで定義されている各認証サーバーを経由してユーザーの資格情報を検証します優先順位付けされた認証ポリシーは昇順にカスケードされ1〜 9999の範囲の優先順位値を持つことができますこれらの優先順位はグローバルサーバレベルまたは仮想サーバレベルでポリシーをバインドするときに定義します
認証中にユーザーがログオンすると仮想サーバーが最初にチェックされ次にグローバル認証ポリシーがチェックされますユーザーが仮想サーバとグローバル両の認証ポリシーに属している場合は仮想サーバからのポリシーが最初に適され次にグローバル認証ポリシーが適されますグローバルにバインドされた認証ポリシーをユーザーに受信させる場合はポリシーの優先順位を変更しますグローバル認証ポリシーのプライオリティ番号が 1で仮想サーバにバインドされた認証ポリシーのプライオリティ番号が 2の場合グローバル認証ポリシーが優先されますたとえば仮想サーバに 3つの認証ポリシーをバインドし各ポリシーの優先順位を設定できます
ユーザーがプライマリカスケード内のポリシーに対する認証に失敗した場合またはそのユーザーがプライマリカスケード内のポリシーに対する認証に成功したがセカンダリカスケード内のポリシーに対する認証に失敗した場合認証プロセスは停しユーザーはエラーページにリダイレクトされます
注複数のポリシーを仮想サーバーまたはグローバルにバインドする場合はすべての認証ポリシーに意の優先順位を定義することをお勧めします
グローバル認証ポリシーの優先順位を設定するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します
copy 1999-2020 Citrix Systems Inc All rights reserved 152
Citrix Gateway 130
2 グローバルにバインドされているポリシーを選択し[アクション]で [グローバルバインディング]をクリックします
3 [認証グローバルポリシーのバインドバインド解除]ダイアログボックスの [優先度]で番号をし[OK]をクリックします
仮想サーバにバインドされた認証ポリシーの優先順位を変更するには
仮想サーバーにバインドされている認証ポリシーを変更することもできます
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 [認証]タブをクリックし[プライマリ]または [セカンダリ]をクリックします4 認証ポリシーの横の [優先度]に番号をし[OK]をクリックします
コピー完了Failed
2要素認証の設定
March 26 2020
Citrix Gatewayは2要素認証をサポートしています通常Citrix Gatewayはユーザーの認証時に構成された認証法のいずれかを使してユーザーの認証に成功するとすぐに認証プロセスを停します場合によってはあるサーバーに対してユーザーを認証する必要がありますが別のサーバーからグループを抽出する必要がありますたとえばネットワークが RADIUSサーバに対してユーザーを認証しRSA SecurIDトークン認証も使していてユーザーグループがそのサーバに格納されている場合グループを抽出できるようにそのサーバに対してユーザーを認証する必要がある場合があります
ユーザーが 2つの認証タイプを使して認証されそのうちの 1つがクライアント証明書認証の場合証明書認証ポリシーを 2番の認証法として構成できますたとえばプライマリ認証タイプとして LDAPを使しセカンダリ認証としてクライアント証明書を使しますユーザーはユーザー名とパスワードを使してログオンするとネットワークリソースにアクセスできます
2要素認証を設定する場合認証タイプがプライマリまたはセカンダリのどちらであるかを選択します
2要素認証を構成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 [ポリシー]タブで[グローバルバインド]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 153
Citrix Gateway 130
3 [認証ポリシーをグローバルにバインドバインド解除]ダイアログボックスで[プライマリ]をクリックします
4 [ポリシーの挿]をクリックします5 [ポリシー名]で認証ポリシーを選択します6 [セカンダリ]をクリックし順 4と 5を繰り返して[OK]をクリックします
コピー完了Failed
シングルサインオンの認証タイプの選択
March 26 2020
Citrix Gatewayでシングルサインオンと 2要素認証を構成している場合はシングルサインオンに使するパスワードを選択できますたとえばLDAPがプライマリ認証タイプとして設定されRADIUSがセカンダリ認証タイプとして設定されているとしますユーザーがシングルサインオンを必要とするリソースにアクセスするとデフォルトでユーザー名とプライマリパスワードが送信されますセッションプロファイル内のWebアプリケーションへのシングルサインオンに使するパスワードを設定します
シングルサインオンの認証を構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウで[プロファイル]タブをクリックし次のいずれかの操作をいますbull 新しいプロファイルを作成するには[追加]をクリックしますbull 既存のプロファイルを修正するには[開く]をクリックします
3 [クライアントエクスペリエンス]タブで[資格情報インデックス]の横にある [グローバルに上書き]をクリックし[プライマリ]または [セカンダリ]を選択します
4 これが新しいプロファイルの場合は[作成]をクリックし[閉じる]をクリックします5 既存のプロファイルを修正する場合は[OK]をクリックします
コピー完了Failed
クライアント証明書および LDAP 2要素認証の設定
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 154
Citrix Gateway 130
LDAPでのスマートカード認証を使するなどLDAP認証および承認を伴うセキュアクライアント証明書を使できますユーザーがログオンしクライアント証明書からユーザー名が抽出されますクライアント証明書は認証のプライマリ形式でLDAPはセカンダリ形式ですクライアント証明書の認証はLDAP認証ポリシーよりも優先される必要がありますポリシーの優先順位を設定する場合はLDAP認証ポリシーに割り当てる番号よりもさい番号をクライアント証明書認証ポリシーに割り当てます
クライアント証明書を使するにはWindows Server 2008の証明書サービスなどのエンタープライズ証明機関(CA)がActive Directoryを実しているコンピューターで実されている必要がありますCAを使してクライアント証明書を作成できます
LDAP認証および認可でクライアント証明書を使するにはSSL (Secure Sockets Layer)を使するセキュアな証明書である必要がありますLDAPでセキュアなクライアント証明書を使するにはユーザーデバイスにクライアント証明書をインストールしCitrix Gatewayに対応するルート証明書をインストールします
クライアント証明書を設定する前に次の操作をいます
bull 仮想サーバを作成しますbull LDAPサーバーの LDAP認証ポリシーを作成しますbull LDAPポリシーの式を True値に設定します
LDAPを使してクライアント証明書認証を構成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションウィンドウの [認証]で[証明書]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [名前]にポリシーの名前をします5 [認証の種類]で[証明書]を選択します6 [サーバー]の横にある [新規]をクリックします7 [名前]にサーバーの名前をし[作成]をクリックします8 [認証サーバーの作成]ダイアログボックスの [名前]にサーバーの名前をします9 [2係数]の横にある [オン]を選択します
10 [ユーザー名]フィールドで[件名CN]を選択し[作成]をクリックします11 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [True value]を選択し[式の追加]をクリックし[作成]をクリックして[閉じる]をクリックします
証明書認証ポリシーを作成したらポリシーを仮想サーバーにバインドします証明書認証ポリシーをバインドした後LDAP認証ポリシーを仮想サーバーにバインドします
重要 LDAP認証ポリシーを仮想サーバーにバインドする前に証明書認証ポリシーを仮想サーバーにバインドする必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 155
Citrix Gateway 130
Citrix Gatewayにルート証明書をインストールするには
証明書認証ポリシーを作成したらルート証明書を CAから Base64形式でダウンロードしてインストールしコンピュータに保存しますその後ルート証明書を Citrix Gatewayにアップロードできます
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[SSL]を展開し[証明書]をクリックします
2 詳細ペインで[Install]をクリックします3 [証明書-キーペア名]に証明書の名前をします4「証明書ファイル名」で「参照」をクリックしドロップダウンボックスで「アプライアンス」または「ローカル」を選択します
5 ルート証明書に移動し[開く][インストール]の順にクリックします
ルート証明書を仮想サーバーに追加するには
Citrix Gatewayにルート証明書をインストールしたら仮想サーバーの証明書ストアに証明書を追加します
重要 スマートカード認証にルート証明書を仮想サーバーに追加する場合は次の図にすように[CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります
図 1ルート証明書を CAとして追加する
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします
3 [証明書]タブの [使可能]で証明書を選択し[追加]の横にあるドロップダウンボックスで [CA]をクリックし[OK]をクリックします
4 順 2を繰り返します
5 [証明書]タブで[SSLパラメーター]をクリックします
6 [その他]で[クライアント認証]を選択します
7 [その他]の [クライアント証明書]の横にある [オプション]を選択し[OK]を 2回クリックします
8 クライアント証明書を構成したらCitrix Gatewayプラグインを使して Citrix Gatewayにログオンして認証をテストします複数の証明書がインストールされている場合は正しい証明書を選択するように求めるプロンプトが表されます証明書を選択するとログオン画が表され証明書から取得した情報がされたユーザー名が表されますパスワードをし[ログイン]をクリックします
ログオン画の [User Name]フィールドに正しいユーザー名が表されない場合はLDAPディレクトリのユーザーアカウントとグループを確認しますCitrix Gatewayで定義されているグループはLDAPディレクトリ内のグループと同じである必要がありますActive Directoryでドメインルートレベルでグループを構成しますドメイ
copy 1999-2020 Citrix Systems Inc All rights reserved 156
Citrix Gateway 130
ンルートレベルにない Active Directoryグループを作成するとクライアント証明書の読み取りが不正確になることがあります
ユーザーとグループがドメインのルートレベルでない場合Citrix Gateway のログオンページにはActiveDirectoryで構成されているユーザー名が表されますたとえばActive Directoryに [ユーザー]というフォルダがあり証明書には [CN=ユーザー]と表されますログオンページの [ユーザー名]に [ユーザー]と表されます
グループとユーザーアカウントをルートドメインレベルに移動しない場合はCitrix Gatewayで証明書認証サーバーを構成するときにユーザー名フィールドとグループ名フィールドを空のままにします
コピー完了Failed
シングルサインオンの設定
March 26 2020
Citrix GatewayはWindowsでのシングルサインオンWebアプリケーション(SharePointなど)ファイル共有Web Interfaceへのシングルサインオンをサポートするように構成できますシングルサインオンはユーザーがアクセスインターフェイスのファイル転送ユーティリティまたは通知領域の Citrix Gatewayアイコンメニューからアクセスできるファイル共有にも適されます
ユーザーがログオンするときにシングルサインオンを構成するとログオン情報をもう度しなくても動的に再びログオンします
コピー完了Failed
Windowsでのシングルサインオンの設定
March 26 2020
ユーザーはデスクトップから Citrix Gatewayプラグインを起動して接続を開きますユーザーがWindowsにログオンしたときに Citrix Gatewayプラグインが動的に起動するように指定するにはシングルサインオンを有効にしますシングルサインオンを構成するとユーザーのWindowsログオン資格情報が Citrix Gatewayに渡され認証がわれますCitrix Gatewayプラグインのシングルサインオンを有効にするとインストールスクリプトや動ドライブマッピングなどのユーザーデバイスでの操作が容易になります
ユーザーデバイスが組織のドメインにログオンしている場合にのみシングルサインオンを有効にしますシングルサインオンが有効でドメインにないデバイスからユーザーが接続している場合ユーザーはログオンするように求められます
copy 1999-2020 Citrix Systems Inc All rights reserved 157
Citrix Gateway 130
シングルサインオンをWindowsでグローバルに構成するかセッションポリシーにアタッチされたセッションプロファイルを使して構成します
Windowsでシングルサインオンをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]をクリックし[OK]をクリックします
セッションポリシーを使してWindowsでシングルサインオンを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[Windowsでのシングルサインオン]の横にある [グローバルに上書き][Windowsでのシングルサインオン][OK]の順にクリックします
7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
Webアプリケーションへのシングルサインオンの構成
March 26 2020
Webベース認証を使する内部ネットワーク内のサーバーにシングルサインオンを提供するように Citrix Gatewayを構成できますシングルサインオンを使するとSharePointサイトやWeb InterfaceなどのカスタムホームページにユーザーをリダイレクトできますまたCitrix Gatewayプラグインを使してホームページで構成されたブックマークまたはユーザーがWebブラウザでしたWebアドレスからリソースへのシングルサインオンを構成することもできます
ホームページを SharePointサイトまたはWeb Interfaceにリダイレクトする場合はサイトのWebアドレスを指定しますCitrix Gatewayまたは外部認証サーバーによってユーザーが認証されるとユーザーは指定されたホ
copy 1999-2020 Citrix Systems Inc All rights reserved 158
Citrix Gateway 130
ームページにリダイレクトされますユーザクレデンシャルはWebサーバに透過的に渡されますWebサーバーが資格情報を受けれるとユーザーは動的にログオンしますWebサーバがクレデンシャルを拒否するとユーザ名とパスワードを要求する認証プロンプトが表されます
Webアプリケーションへのシングルサインオンはグローバルに構成することもセッションポリシーを使して構成することもできます
Webアプリケーションへのシングルサインオンをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]をクリックし
[OK]をクリックします
セッションポリシーを使してWebアプリケーションへのシングルサインオンを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ペインの [ポリシー]タブでセッションポリシーを選択し[開く]をクリックします3 [セッションポリシーの構成]ダイアログボックスで[要求プロファイル]の横にある [変更]をクリックします
4 [クライアントエクスペリエンス]タブで[Webアプリケーションへのシングルサインオン]の横にある [グローバル上書き][Webアプリケーションへのシングルサインオン][OK]の順にクリックします
WebアプリケーションへのシングルサインオンのHTTPポートを定義するには
シングルサインオンは宛先ポートが HTTPポートとなされるネットワークトラフィックに対してのみ試されますHTTPトラフィックにポート 80以外のポートを使するアプリケーションへのシングルサインオンを許可するにはCitrix Gatewayで 1つ以上のポート番号を追加します複数のポートを有効にできますポートはグローバルに設定されます
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします
3 [ネットワークの構成]タブで[詳細設定]をクリックします
4 [HTTPポート]にポート番号をし[追加]をクリックし[OK]を 2回クリックします
追加するポートごとにステップ 4を繰り返すことができます
copy 1999-2020 Citrix Systems Inc All rights reserved 159
Citrix Gateway 130
注内部ネットワーク内のWebアプリケーションがパブリック IPアドレスを使している場合シングルサインオンは機能しませんシングルサインオンを有効にするにはクライアントレスアクセスまたは Citrix Gatewayプラグインがユーザーデバイス接続に使されるかどうかに関係なくグローバルポリシー設定の部として分割トンネリングを有効にする必要がありますグローバルレベルで分割トンネリングを有効にできない場合はプライベートアドレス範囲を使する仮想サーバを作成します
コピー完了Failed
LDAPを使したWebアプリケーションへのシングルサインオンの構成
March 26 2020
シングルサインオンを構成しユーザープリンシパル名 (UPN)を使してusernamedomaincomの形式でログオンすると既定ではシングルサインオンが失敗しユーザーは認証を 2回う必要がありますユーザーログオンにこの形式を使する必要がある場合はLDAP認証ポリシーを変更してこの形式のユーザー名を受けれるようにします
Webアプリケーションへのシングルサインオンを構成するには
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 詳細ペインの [ポリシー]タブでLDAPポリシーを選択し[開く]をクリックします3 [認証ポリシーの構成]ダイアログボックスで[サーバー]の横にある [変更]をクリックします4 [接続の設定]の [ベース DN (ユーザーの場所)]に「DC=ドメイン名 DC=com」とします5 [管理者バインドDN]に「LDAPaccountdomainnamecom」としますドメイン名comはドメインの名前です
6 [管理者パスワード]と [管理者パスワードの確認]にパスワードをします7 [その他の設定]の [サーバーログオン名の属性]に「UserPrincipalName」とします8 [グループ属性]にmemberOfとします9「サブ属性名」に「CN」とします
10 [ SSO名の属性]にユーザーがログオンする形式をし[ OK]を 2回クリックしますこの値は[アカウント名]または [ユーザープリンシパル名]のいずれかです
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 160
Citrix Gateway 130
ドメインへのシングルサインオンの設定
April 9 2020
ユーザーが Citrix Virtual Appsを実しているサーバーに接続しSmartAccessを使している場合はサーバーファームに接続するユーザーのシングルサインオンを構成できますセッションポリシーとプロファイルを使して公開アプリケーションへのアクセスを構成する場合はサーバーファームのドメイン名を使します
またネットワーク内のファイル共有にシングルサインオンを構成することもできます
ドメインへのシングルサインオンを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ペインの [ポリシー]タブでセッションポリシーを選択し[開く]をクリックします3 [セッションポリシーの構成]ダイアログボックスで[要求プロファイル]の横にある [変更]をクリックします
4 [セッションプロファイルの構成]ダイアログボックスの [公開アプリケーション]タブの [シングルサインオンドメイン]で [グローバル上書き]をクリックしドメイン名をして [OK]を 2回クリックします
Citrix Virtual Appsで機能する Citrix Gateway構成について詳しくは「Citrix Gatewayと Citrix Virtual Appsand Desktopsの統合」を参照してください
コピー完了Failed
Microsoft Exchange 2010でシングルサインを構成する
March 26 2020
以下のセクションではCitrix GatewayでのMicrosoft Exchange 2010のシングルサインオン(SSO)の構成について説明しますOutlook Webアクセス (OWA) 2010の SSOは次の条件では動作しません
bull Microsoft Exchange 2010でフォームベースの認証を使しますbull 認証認可および監査トラフィック管理ポリシーを使した仮想サーバのロードバランシング
注
この設定は認証認可および監査トラフィック管理ポリシーを持つロードバランシング仮想サーバに対してだけ機能しますクライアントレス VPNを使した OWA 2010の SSOでは機能しません
copy 1999-2020 Citrix Systems Inc All rights reserved 161
Citrix Gateway 130
次の順はCitrix GatewayでMicrosoft Exchange 2010の SSOを構成する前に考慮する必要がある前提条件です
bull SSOフォームのアクションURLはOWA 2010では異なりますトラフィック管理ポリシーを変更する必要があります
bull logonaspx要求で PBackクッキーを設定するには書き換えポリシーが必要です通常のシナリオではクライアントで PBackクッキーを設定し[送信]をクリックします
bull SSOを使している場合logonaspxへの応答が消費されCitrix Gatewayがフォーム要求を成しますクッキーはフォーム送信要求に添付されていません
bull OWAサーバーはフォーム送信要求で PBackクッキーを期待します書き換えポリシーはフォーム送信要求に PBackクッキーをアタッチするために必要です
CLIを使して次の操作を実します
1 認証認可および監査トラフィック管理の設定
add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL rdquoowaauthowardquo-userField username -passwdField password -ssoSuccessRule rdquohttpRESSET_COOKIECOOKIE(rdquocadatardquo)VALUE(rdquocadatardquo)LENGTHGT(70rdquo-responsesize 15000 -submitMethod POST
2 トラフィック管理ポリシーを設定しポリシーをバインドする
bull add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSOAction OWA_Form_SSO_SSOPro
bull add tm trafficPolicy owa2k10_pol rdquoHTTPREQURLCONTAINS(rdquoowaauthlogonaspxrdquo)rdquoOWA_2010_Prof
bull bind tm global -policyName owa2k10_pol -priority 100
CLIを使した設定の書き換え
コマンドプロンプトで次のようにします
bull add rewrite action set_pback_cookie insert_after rdquohttpREQCOOKIEVALUE(rdquoOutlookSessionrdquo)rdquordquordquoPBack=0rdquordquo-bypassSafetyCheck YES
bull add rewrite policy set_pback_cookie rdquohttpREQURLCONTAINS(rdquologonaspxrdquo)rdquoset_pback_cookie
bull bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT
copy 1999-2020 Citrix Systems Inc All rights reserved 162
Citrix Gateway 130
代替書き換え構成
まれにMicrosoft Outlookが OWAセッションクッキーを発しない可能性がありPbackクッキーも挿されないことがありますこの問題は上記のコマンドを実して書き換え構成を実装した後に発する可能性があります
このようなシナリオを克服し回避策として書き換え設定の代わりに次のコマンドを設定できます
コマンドプロンプトで次のようにします
bull add rewrite action set_pback_cookie insert_http_header rdquoCookierdquorsquordquoPBack=0rdquorsquo
bull add rewrite policy set_pback_cookie rdquohttpREQURLCONTAINS(rdquologonaspxrdquo)rdquoset_pback_cookie
bull set rewrite policy set_pback_cookie -action set_pback_cookie
bull bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT
コピー完了Failed
ワンタイムパスワードの使の設定
April 9 2020
トークン暗証番号(PIN)やパスコードなどのワンタイムパスワードを使するように Citrix Gatewayを構成できますユーザーがパスコードまたは PINをすると認証サーバーはただちにワンタイムパスワードを無効にしユーザーは同じ PINまたはパスワードを再できません
ワンタイムパスワードを使する製品には次のものがあります
bull RSA SecurIDbull Imprivata OneSignbull SafeWordbull Gemalto Protivabull Nordic SMS PASSCODE
これらの各製品を使するには内部ネットワークの認証サーバを RADIUSを使するように設定します詳しくは「RADIUS認証の構成」を参照してください
たとえばRSA SecurIDトークンによって提供される RADIUSでワンタイムパスワードを使するように CitrixGateway atewayで認証を構成するとCitrix Gatewayはキャッシュされたパスワードを使してユーザーの再認証を試みますこの再認証はCitrix Gatewayに変更を加えた場合または Citrix Gatewayプラグインと CitrixGatewayの間の接続が中断されてから復元された場合に発します
copy 1999-2020 Citrix Systems Inc All rights reserved 163
Citrix Gateway 130
Citrix Workspace アプリを使するように接続を構成しユーザーが RADIUS または LDAP を使して WebInterfaceに接続する場合にも再認証が試されますユーザーがアプリケーションを起動してアプリケーションを使しReceiverに戻って別のアプリケーションを起動するとCitrix Gatewayはキャッシュされた情報を使してユーザーを認証します
コピー完了Failed
RSAセキュリティ ID認証の設定
April 9 2020
RSAACEサーバを RSA SecureID認証に構成する場合は次の順を実する必要があります
次の情報を使して RADIUSクライアントを設定します
bull Citrix Gatewayアプライアンスの名前をしますbull 説明をします (必須ではありません)bull システムの IPアドレスを指定しますbull Citrix Gatewayと RADIUSサーバー間の共有シークレットを指定しますbull メーカーモデルを標準 RADIUSとして設定します
エージェントホスト構成では次の情報が必要です
bull Citrix Gatewayの完全修飾ドメイン名(FQDN)を指定します(仮想サーバーにバインドされた証明書に表されます)FQDNを指定した後Tabキーをクリックすると[ネットワークアドレス]ウィンドウが動的に表されます
FQDNをするとネットワークアドレスが動的に表されます表されない場合はシステムの IPアドレスをします
bull コミュニケーションサーバを使してエージェントタイプを指定します
bull すべてのユーザーまたは Citrix Gateway経由の認証を許可されたユーザーのセットをインポートするように構成します
RADIUSサーバのエージェントホストエントリをまだ設定していない場合は次の情報を含めて作成します
bull RSAサーバの FQDNを指定します
FQDNをするとネットワークアドレスが動的に表されますそうでない場合はRSAサーバの IPアドレスをします
bull エージェントタイプ(RADIUSサーバ)を指定します
RSA RADIUSサーバの構成の詳細については製造元のマニュアルを参照してください
copy 1999-2020 Citrix Systems Inc All rights reserved 164
Citrix Gateway 130
RSA SecurIDを構成するには認証プロファイルとポリシーを作成しポリシーをグローバルにバインドするか仮想サーバにバインドしますRSA SecurIDを使するための RADIUSポリシーを作成するにはRADIUS認証の構成を参照してください
認証ポリシーを作成したら仮想サーバーまたはグローバルにバインドします詳しくは「認証ポリシーのバインド」を参照してください
コピー完了Failed
RADIUSを使したパスワードリターンの設定
March 26 2020
ドメインパスワードはトークンが RADIUSサーバから成したワンタイムパスワードに置き換えることができますユーザーが Citrix Gatewayにログオンするとトークンから個識別番号(PIN)とパスコードをしますCitrix Gatewayが認証情報を検証するとRADIUSサーバーはユーザーのWindowsパスワードを CitrixGatewayに返しますCitrix Gatewayはサーバーからの応答を受けれログオン中にユーザーがしたパスコードを使する代わりに返されたパスワードを使してシングルサインオンしますRADIUSによるこのパスワード返却機能を使するとユーザーがWindowsパスワードを呼び戻す必要なくシングルサインオンを構成できます
ユーザーがパスワードリターンを使してログオンするとCitrix Endpoint ManagementStoreFrontWebInterfaceなど内部ネットワークで許可されているすべてのネットワークリソースにアクセスできます
返されたパスワードを使してシングルサインオンを有効にするにはCitrix Gatewayで「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを使してRADIUS認証ポリシーを構成しますこれらの 2つのパラメータはユーザーのWindowsパスワードを Citrix Gatewayに返します
Citrix GatewayはImprivataワンサインをサポートしています Imprivata OneSignの最低限必要なバージョンはサービスパック 3で 40ですImprivata OneSignの既定のパスワードベンダーの識別は 398ですImprivata OneSignの既定のパスワード属性の種類のコードは 5です
RSACiscoMicrosoftなど他の RADIUSサーバを使してパスワードを返すことができますベンダー固有のアトリビュート値のペアでユーザシングルサインオンパスワードを返すように RADIUSサーバを設定する必要がありますCitrix Gateway認証ポリシーではこれらのサーバーの「パスワードベンダー識別」および「パスワード属性の種類」パラメーターを追加する必要があります
ベンダー IDの完全なリストはインターネット割り当て番号局 (IANA)のウェブサイトを参照してくださいたとえばRSAセキュリティのベンダー識別は 2197Microsoftの場合は 311Cisco Systemsの場合は 9ですベンダーがサポートするベンダー固有の属性はベンダーに確認する必要がありますたとえばMicrosoftではベンダー固有の属性の覧をMicrosoftのベンダー固有の RADIUSアトリビュートに公開しています
copy 1999-2020 Citrix Systems Inc All rights reserved 165
Citrix Gateway 130
ベンダー固有の属性を選択してベンダーの RADIUSサーバ上のユーザーのシングルサインオンパスワードを格納できますRADIUSサーバー上にユーザーパスワードが保存されているベンダー識別と属性を使してCitrix Gatewayを構成するとRADIUSサーバーに送信されるアクセス要求パケット内の属性の値が要求されますRADIUSサーバが access-acceptパケット内の対応するアトリビュートと値のペアで応答した場合使するRADIUSサーバに関係なくパスワードのリターンが機能します
返されたパスワードを使してシングルサインオンを構成するには次の順に従います
1 構成ユーティリティの[構成]タブで[Citrix Gateway]gt[ポリシー]gt[認証]の順に展開します2 ナビゲーションペインで[RADIUS]をクリックします3 詳細ウィンドウで[追加]をクリックします4 [認証ポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします5 [サーバー]の横にある [新規]をクリックします6 [名前]にサーバーの名前をします7 RADIUSサーバの設定を構成します8 [パスワードベンダー識別]にRADIUSサーバーによって返されるベンダー識別をしますこの識別の最値は 1である必要があります
9 [パスワード属性の種類]でベンダー固有の AVPコードに RADIUSサーバから返される属性の種類をします値の範囲は 1〜 255です
10 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある式を選択し[式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
Configuring SafeWord Authentication
March 26 2020
SafeWord製品ラインはトークンベースのパスコードを使して安全な認証を提供するのに役ちますユーザーがパスコードをするとSafeWordによって即座に無効になり再度使できなくなります
Secure Gateway Gateway および Web Interface 展開で Secure Gateway を置き換える場合はAccessGatewayで認証を構成せずWeb Interfaceで受信 HTTPトラフィックに対して SafeWord認証を提供し続けることができます
Access Gatewayは次の製品の SafeWord認証をサポートしています
bull SafeWord 2008bull SafeWord PremierAccessbull SafeWord for Citrixbull SafeWord RemoteAccess
copy 1999-2020 Citrix Systems Inc All rights reserved 166
Citrix Gateway 130
SafeWord製品を使して認証するように Access Gatewayを構成するには次の法があります
bull SafeWord PremierAccessの部としてインストールされている RADIUSサーバーを使するように認証を設定し認証を処理できるようにします
bull セーフワードリモートアクセスCitrixセーフワードおよびプレミアアクセス 40のコンポーネントであるセーフワード IASエージェントを使するように認証を構成します
bull Citrix Web Interfaceを使するにはSafeWord Web Interfaceエージェントをインストールします認証は Access Gateway上で構成する必要はなくCitrix Web Interfaceで処理できますこの構成ではプレミアアクセス RADIUSサーバーまたはセーフワード IASエージェントは使されません
SafeWord RADIUSサーバを設定する場合は次の情報が必要です
bull Access Gatewayの IPアドレスRADIUSサーバーでクライアント設定を構成する場合はAccess Gatewayの IPアドレスを使します
bull 共有シークレットbull SafeWordサーバーの IPアドレスとポート
コピー完了Failed
Gemalto Protiva認証の設定
March 26 2020
Protivaは Gemaltoのスマートカード認証の強みを利するために開発された強な認証プラットフォームですProtivaではユーザーは Protivaデバイスによって成されたユーザー名パスワードワンタイムパスワードでログオンしますRSA SecurIDと同様に認証要求は Protiva認証サーバーに送信されパスワードは検証または拒否されます
Gemalto Protivaを Citrix Gatewayと連携するように構成するには以下のガイドラインに従ってください
bull Protivaサーバーをインストールしますbull Microsoft IAS RADIUSサーバーに Protivaインターネット認証サーバー (IAS)エージェントプラグインをインストールしますIASサーバーの IPアドレスとポート番号を書き留めておいてください
コピー完了Failed
Gateway認証の nFactor
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 167
Citrix Gateway 130
はじめに
nFactor認証は認証に関するまったく新しい可能性セットを可能にしますnFactorを使する管理者は仮想サーバーの認証要素を構成するときに認証承認および監査の柔軟性を享受できます
2つのポリシーバンクまたは 2つの要因によって管理者が制限されなくなりました政策銀の数はさまざまなニーズに合わせて拡張することができます前述の要因に基づいてnFactorは認証法を決定します動的ログインフォームと失敗時のアクションはnFactorを使して可能です
注 nFactorはCitrix ADCスタンダードエディションではサポートされていませんこれはCitrix ADCアドバンストエディションと Citrix ADCプレミアムエディションでサポートされています
ユースケース
nFactor認証はユーザプロファイルに基づくダイナミック認証フローを有効にします場合によってはこれらはユーザーにとって直感的な単純なフローになることがありますそれ以外の場合はアクティブディレクトリやその他の認証サーバーのセキュリティ保護と組み合わせることができますGatewayに固有の要件をいくつか次にします
1 動的なユーザ名とパスワードの選択従来Citrixクライアント(ブラウザと Receiverを含む)では最初のパスワードフィールドとしてアクティブディレクトリ(AD)パスワードが使されていました2番のパスワードはワンタイムパスワード (OTP)に予約されていますただしADサーバーを保護するにはOTPを最初に検証する必要がありますnFactorはクライアントの変更を必要とせずにこれをうことができます
2 マルチテナント認証エンドポイント組織によっては証明書ユーザーおよび証明書以外のユーザーに対して異なる Gatewayサーバーを使しますユーザーが分のデバイスを使してログインする場合ユーザーのアクセスレベルは使するデバイスに応じて Citrix ADCによって異なりますGatewayはさまざまな認証ニーズに対応できます
3 グループメンバーシップに基づく認証部の組織では認証要件を決定するために ADサーバーからユーザープロパティを取得します認証要件はユーザーごとに変更することができます
4 認証のコファクタです場合によっては異なるユーザーセットを認証するために異なる認証ポリシーのペアが使されることがありますペアポリシーを指定すると有効な認証が向上します依存ポリシーは1つのフローから作成できますこのようにして独した連のポリシーが独のフローになり効率性が向上し複雑さが軽減されます
認証応答の処理
Citrix Gatewayのコールバック登録は認証応答を処理しますAAAD(認証デーモン)応答と成功失敗エラーダイアログコードはコールバックハンドルに送られます成功失敗エラーダイアログコードはGatewayが適切なアクションを実するように指します
copy 1999-2020 Citrix Systems Inc All rights reserved 168
Citrix Gateway 130
クライアントのサポート
次の表に構成の詳細をします
クライアント nFactorサポート認証ポリシーのバインドポイント EPA
Webブラウザー はい 認証 はい
Citrix Workspaceアプリ
いいえ VPN times
Gatewayプラグイン いいえ VPN はい
コマンドライン設定
Gateway仮想サーバには属性として指定された認証仮想サーバが必要ですこれはこのモデルに必要な唯の構成です
1 add authnProfile ltname-of-profilegt -authnVsName ltname-of-auth-vservergt
authnVsNameは認証仮想サーバーの名前ですこの仮想サーバーは度な認証ポリシーで構成する必要がありnFactor認証に使されます
1 add vpn vserver ltnamegt ltserviceTypegt ltIPgt ltPORTgt -authnProfile ltname-of-profilegt
2 set vpn vserver ltnamegt -authnProfile ltname-of-profilegt
ここでauthnProfileは以前に作成された認証プロファイルです
相互運に関する課題
レガシー GatewayクライアントのほとんどはrfWebクライアントに加えてGatewayから送信された応答に基づいてモデル化されていますたとえばvpnindexhtmlに対する 302応答は多くのクライアントで期待されますまたこれらのクライアントは「pwcount」「NSC_CERT」などのさまざまな Gatewayクッキーに依存しています
エンドポイント分析(EPA)
認証認可および監査サブシステムは nFactorの EPAをサポートしていないためGateway仮想サーバが EPAを実しますEPAの後ログイン資格情報は前述の APIを使して認証仮想サーバーに送信されます認証が完了するとGatewayは認証後のプロセスを続しユーザセッションを確します
copy 1999-2020 Citrix Systems Inc All rights reserved 169
Citrix Gateway 130
設定ミスに関する考慮事項
Gatewayクライアントはユーザーの資格情報を度だけ送信しますGatewayはログイン要求とともにクライアントから 1つまたは 2つのクレデンシャルを取得しますレガシーモードでは最 2つの要素があります取得したパスワードはこれらの要因に使されますただしnFactorでは構成できるファクタの数は実質的に無制限ですGatewayクライアントから取得したパスワードは設定された要素に対して(設定に従って)再利されますワンタイムパスワード (OTP)を複数回再利しないように注意する必要があります同様に管理者はある要素で再利されたパスワードが実際にその要素に適可能であることを確認する必要があります
Citrixクライアントの定義
この構成オプションはCitrix ADCがブラウザクライアントと Receiverなどのシッククライアントを判断する際に役ちます
管理者はパターンセット ns_vpn_client_userAgentsが提供されすべての Citrixクライアントのパターンを構成できます
同様に「Citrix Receiver」字列を上記のパッチセットにバインドしてユーザーエージェントに「Citrix Receiver」を持つすべての Citrixクライアントを無視します
Gatewayの nFactorの制限
次の条件が存在する場合Gateway認証の nFactorは発しません
1 認証プロファイルはCitrix Gatewayで設定されていません
2 度な認証ポリシーは認証仮想サーバーにバインドされず同じ認証仮想サーバーが authnProfileに記載されています
3 HTTPリクエスト内のユーザーエージェント字列はパッチセット ns_vpn_client_useragentsで構成されたユーザーエージェントと致します
これらの条件が満たされない場合Gatewayにバインドされた従来の認証ポリシーが使されます
ユーザーエージェントまたはその部が前述のパッチセットにバインドされている場合それらのユーザーエージェントからのリクエストは nFactorフローに参加しませんたとえば以下のコマンドはすべてのブラウザの設定を制限します(すべてのブラウザがユーザーエージェント字列に「Mozilla」が含まれていると仮定します)
bind patset ns_vpn_client_useragents Mozilla
LoginSchema
LoginSchema はログオンフォームを論理的に表現したものですXML 語によって定義されていますloginSchemaの構はCitrixの共通フォームプロトコル仕様に準拠しています
copy 1999-2020 Citrix Systems Inc All rights reserved 170
Citrix Gateway 130
LoginSchemaは製品の「ビュー」を定義します管理者はフォームのカスタマイズした説明補助テキストなどを提供できますこれにはフォーム体のラベルが含まれますお客様は特定の時点で提されたフォームを説明する成功失敗メッセージを提供できます
ログインスキーマと nFactorの知識が必要です
事前に構築されたログインスキーマファイルは以下のCitrix ADCの場所nsconfignsconfigloginschemaLoginSchemaにありますこれらの事前構築された loginSchemaファイルは般的なユースケースに対応し必要に応じて若のバリエーションに合わせて変更できます
またカスタマイズが少ないほとんどの単要素ユースケースではloginSchema (s)設定は必要ありません
管理者はCitrix ADCが要因を検出できるようにする追加の構成オプションについてドキュメントを確認することをお勧めしますユーザーがクレデンシャルを送信すると管理者は複数のファクタを構成して認証ファクタを柔軟に選択して処理できます
LoginSchemaを使しない要素認証の設定
Citrix ADCは構成に基づいて重要素要件を動的に決定しますユーザーがこれらの資格情報を提すると管理者は仮想サーバーでポリシーの最初のセットを構成できます各ポリシーに対して「nextFactor」を「パススルー」として構成できます「パススルー」とはCitrix ADCが既存の資格情報を使してログオンを処理する必要があることを意味します「パススルー」要素を使することで管理者はプログラムで認証フローを駆動できます詳細についてはnFactor仕様または導ガイドを参照することをお勧めします「多要素 (nFactor)認証」を参照してください
ユーザー名のパスワードの式
ログイン資格情報を処理するには管理者は loginSchema を設定する必要がありますloginSchema のカスタマイズが少ない単ファクタまたは重ファクタの使例では指定された XML 定義は必要ありませんLoginSchemaにはユーザーが提するユーザー名パスワードを変更するために使することができこのような userExpressionと passwdExpressionなどの他のプロパティがありますこれらは度なポリシー式でありユーザーを上書きするために使することもできます
nFactor構成におけるレベルの順
次の図はnFactor構成に関連するレベルの順をしています
GUIの設定
ここでは次のトピックについて説明します
copy 1999-2020 Citrix Systems Inc All rights reserved 171
Citrix Gateway 130
bull 仮想サーバーの作成
bull 認証仮想サーバーの作成
bull 認証 CERTプロファイルの作成
bull 認証ポリシーの作成
bull LDAP認証サーバーの追加
bull LDAP認証ポリシーの追加
bull Radius認証サーバーを追加する
bull Radius認証ポリシーの追加
bull 認証ログインスキーマの作成
bull ポリシーラベルの作成
仮想サーバーの作成
1 Citrix Gateway-gt仮想サーバーに移動します
2 [追加]ボタンをクリックして負荷分散仮想サーバーを作成します
3 次の情報をします
パラメーター名 パラメータの説明
仮想サーバの名前をします Citrix Gateway仮想サーバーの名前ASCIIアルファベットまたはアンダースコア (_)字で始まりASCII英数字アンダースコアハッシュ ()ピリオド ()スペースコロン ()アットマーク ()等しい (=)およびハイフン (-)字のみを含める必要があります仮想サーバの作成後に変更できます次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます(「my server」や「my server」など)
仮想サーバの IPアドレスタイプをします ドロップダウンメニューから [IPアドレス]または [アドレス指定不可]オプションを選択します
仮想サーバの IPアドレスをします インターネットプロトコルアドレス (IPアドレス)は通信にインターネットプロトコルを使するコンピュータネットワークに参加している各デバイスに割り当てられる数値ラベルです
copy 1999-2020 Citrix Systems Inc All rights reserved 172
Citrix Gateway 130
パラメーター名 パラメータの説明
仮想サーバのポート番号をします ポート番号をします
認証プロファイルをします 仮想サーバー上の認証プロファイルエンティティこのエンティティを使して多要素(nFactor)認証のための認証承認および監査仮想サーバーに認証をオフロードできます
RDPサーバープロファイルをします 仮想サーバーに関連付けられている RDPサーバープロファイルの名前
「最ユーザー数」をします この仮想サーバで許可される同時ユーザーセッションの最数この仮想サーバーにログオンできる実際のユーザー数はユーザーライセンスの合計数によって異なります
最ログイン試回数をします ログオンの最試回数
ログイン失敗タイムアウトをします ユーザーが最許容試回数を超えた場合にアカウントがロックされる時間(分)
Windows EPAプラグインのアップグレードをします
Winのプラグインのアップグレード動作を設定するオプション
Linux EPAプラグインのアップグレードにります Linuxのプラグインのアップグレード動作を設定するオプション
MAC EPAプラグインのアップグレードにる Macのプラグインのアップグレード動作を設定するオプション
1回ログイン このオプションはこの仮想サーバーのシームレスなSSOを有効無効にします
copy 1999-2020 Citrix Systems Inc All rights reserved 173
Citrix Gateway 130
パラメーター名 パラメータの説明
ICAのみ ONに設定するとユーザーが Citrix Workspaceアプリまたはブラウザーを使してログオンしWihomeパラメーターで指定された Citrix VirtualApps and Desktops環境で構成された公開アプリにアクセスできる基本モードを意味しますユーザーは Citrix Gatewayプラグインを使して接続できずエンドポイントスキャンを構成できませんログインしてアプリにアクセスできるユーザーの数はこのモードでのライセンスによって制限されません-OFFに設定するとユーザーが Citrix Workspaceアプリブラウザーまたは Citrix Gatewayプラグインを使してログオンできる SmartAccessモードを意味します管理者はエンドポイントスキャンをクライアントシステムで実するように設定しその結果を使して公開アプリケーションへのアクセスを制御できますこのモードではクライアントは他のクライアントモード(VPNおよび CVPN)で Gatewayに接続できますログインしてリソースにアクセスできるユーザの数はこのモードの CCUライセンスによって制限されます
認証の有効化 Citrix Gatewayに接続するユーザーの認証を要求します
ダブルホップ Citrix Gatewayアプライアンスをダブルホップ構成で使しますダブルホップ展開では3つのファイアウォールを使して DMZを 2つのステージに分割することにより内部ネットワークのセキュリティをさらに強化できますこのような展開ではDMZに 1つのアプライアンスセキュアネットワークに 1つのアプライアンスを持つことができます
copy 1999-2020 Citrix Systems Inc All rights reserved 174
Citrix Gateway 130
パラメーター名 パラメータの説明
ダウン状態フラッシュ 仮想サーバーが [DOWN]とマークされている場合は既存の接続を閉じますこれはサーバーがタイムアウトした可能性があることを意味します既存の接続を切断するとリソースが解放され場合によっては負荷分散セットアップの回復が速化されます[DOWN]とマークされている場合接続を安全に閉じることができるサーバーではこの設定を有効にしますトランザクションを完了する必要があるサーバーではDOWN状態フラッシュを有効にしないでください
DTLS このオプションは仮想サーバー上のターンサービスを開始停します
AppFlowログ 標準の NetFlowまたは IPFIX情報(フローの開始と終了のタイムスタンプパケットカウントバイトカウントなど)を含む AppFlowレコードをログに記録しますまたHTTP WebアドレスHTTP要求メソッドと応答ステータスコードサーバーの応答時間待機時間などアプリケーションレベルの情報を含むレコードもログに記録します
ICAプロキシセッションの移 このオプションはユーザーが別のデバイスからログオンしたときに既存の ICAプロキシセッションを転送するかどうかを決定します
状態 仮想サーバーの現在の状態 (UPDOWNBUSYなど)
デバイス証明書の有効化 EPAの部としてデバイス証明書チェックがオンかオフかをします
4 ページの「サーバー証明書なし」セクションを選択します
5 [gt]をクリックしてサーバー証明書を選択します
6 SSL証明書を選択し[選択]ボタンをクリックします
7[バインド]をクリックします
8「使可能な暗号がありません」という警告が表された場合は[ OK]をクリックします
9 [続]ボタンをクリックします
10 [認証]セクションで右上の [ + ]アイコンをクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 175
Citrix Gateway 130
認証仮想サーバーの作成
1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[仮想サーバー]に移動します
2[追加]をクリックします
3 認証仮想サーバーを作成するには次の基本設定をいます
注意 必須フィールドは設定名の右側に でされます
a)新しい認証仮想サーバの名前をします
b) IPアドレスのタイプをします[IPアドレスの種類]は[アドレス指定不可]として構成できます
c) IPアドレスをしますIPアドレスはゼロにできます
d)認証仮想サーバのプロトコルの種類をします
e)仮想サーバが接続を受けれる TCPポートをします
f)認証仮想サーバによって設定された認証クッキーの ドメイン をします
4[OK]をクリックします
5 [サーバー証明書なし]をクリックします
6 リストから的のサーバー証明書を選択します
7 的の SSL証明書を選択し[ Select ]ボタンをクリックします
注認証仮想サーバーにはバインドされた証明書は必要ありません
8 サーバー証明書のバインドを設定します
bull SNI処理に使される証明書キーをバインドするには[SNIのサーバ証明書]チェックボックスをオンにします
bull [バインド]ボタンをクリックします
認証 CERTプロファイルの作成
1 セキュリティ-gtCitrix ADCAAA-アプリケーショントラフィック-gtポリシー-gt認証-gt基本ポリシー-gtCERTに移動します
2 [プロファイル]タブを選択し[追加]を選択します
3 次のフィールドにして認証 CERTプロファイルを作成します必須フィールドは設定名の右側に でされます
bull Nameクライアント証明書認証サーバプロファイルの名前(アクション)
bull 2要素mdashこの例では2要素認証オプションは NOOPです
copy 1999-2020 Citrix Systems Inc All rights reserved 176
Citrix Gateway 130
bull「ユーザー名フィールド」mdashユーザー名を抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)
bull グループ名フィールド -グループを抽出するクライアント証明書フィールドをします「件名」または「発者」のいずれかに設定する必要があります (両の重引符を含む)
bull デフォルトの認証グループ -抽出されたグループに加えて認証が成功したときに選択されるデフォルトのグループです
4[作成]をクリックします
認証ポリシーの作成
1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーに移動します
2 [追加]ボタンを選択します
3 認証ポリシーを作成するには次の情報をします必須フィールドは設定名の右側に でされます
a)「名前」mdashアドバンス認証ポリシーの名前をします字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません
次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます(「認証ポリシー」や「認証ポリシー」など)
b)アクションタイプ -認証アクションのタイプをします
c) Action -ポリシーが致した場合に実する認証アクションの名前をします
d) [Log Action ]-要求がこのポリシーに致するときに使するメッセージログアクションの名前をします
e)「式」-Citrix ADCの名前付き規則の名前またはデフォルトの構式をしますこの規則は認証サーバーでユーザーを認証するかどうかをポリシーが決定します
f)「コメント」mdashこのポリシーに関する情報を保持するコメントをします
4 [作成]をクリックします
LDAP認証サーバの追加
1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [LDAP]に移動します
2 LDAPサーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します
copy 1999-2020 Citrix Systems Inc All rights reserved 177
Citrix Gateway 130
LDAP認証ポリシーの追加
1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーに移動します
2 [追加]をクリックして認証ポリシーを追加します
3 認証ポリシーを作成するには次の情報をします必須フィールドは設定名の右側に でされます
a)名前 -事前認証ポリシーの名前字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません
次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます(「認証ポリシー」や「認証ポリシー」など)
b)アクションタイプ -認証アクションのタイプ
c) Action -ポリシーが致した場合に実される認証アクションの名前
d) Log Action -要求がこのポリシーに致するときに使するメッセージログアクションの名前
e) Expression -Citrix ADCの名前付きルールの名前またはデフォルトの構式認証サーバーを使してユーザーを認証するかどうかをポリシーが判断します
f)コメント -このポリシーに関する情報を保持するためのコメント
4 [作成]をクリックします
RADIUS認証サーバの追加
1 [セキュリティ]-gt [Citrix ADC AAA]-gt [アプリケーショントラフィック]-gt [ポリシー]-gt [認証]-gt [基本ポリシー]-gt [RADIUS]に移動します
2 サーバを追加するには[サーバ]タブを選択し[追加]ボタンを選択します
3 認証 RADIUSサーバを作成するには次のようにします必須フィールドは設定名の右側に でされます
a) RADIUSアクションの名前をします
b) RADIUSサーバに割り当てられているサーバ名またはサーバの IPアドレスをします
c) RADIUSサーバが接続をリッスンするポート番号をします
d)タイムアウト値を数秒でしますこれはCitrix ADCアプライアンスが RADIUSサーバーからの応答を待機する値です
e) RADIUSサーバーと Citrix ADCアプライアンスの間で共有される秘密キーをします秘密キーはCitrix ADCアプライアンスが RADIUSサーバーと通信できるようにするために必要です
copy 1999-2020 Citrix Systems Inc All rights reserved 178
Citrix Gateway 130
f)シークレットキーを確認します
4 [作成]をクリックします
RADIUS認証ポリシーの追加
1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーに移動します
2 [追加]をクリックして認証ポリシーを作成します
3 認証ポリシーを作成するには次の情報をします必須フィールドは設定名の右側に でされます
a)名前 -事前認証ポリシーの名前字数字またはアンダースコア字 (_)で始まり字数字ハイフン (-)ピリオド ()ポンド ()スペース ()アットマーク ()等しい (=)コロン ()およびアンダースコア字のみを含める必要があります認証ポリシーの作成後は変更できません
次の要件はCitrix ADC CLIにのみ適されます名前に 1つ以上のスペースが含まれる場合は名前を重引符または重引符で囲みます(「認証ポリシー」や「認証ポリシー」など)
b)アクションタイプ -認証アクションのタイプ
c) Action -ポリシーが致した場合に実される認証アクションの名前
d) Log Action -要求がこのポリシーに致するときに使するメッセージログアクションの名前
e) Expression -Citrix ADCの名前付きルールの名前またはデフォルトの構式認証サーバーを使してユーザーを認証するかどうかをポリシーが判断します
f)コメント -このポリシーに関する情報を保持するためのコメント
4[OK]をクリックします
5 認証ポリシーが表されていることを確認します
認証ログインスキーマの作成
1 [セキュリティ]-gt [Citrix ADC AAA]-[アプリケーショントラフィック]-[ログインスキーマ]に移動します
2 [プロファイル]タブを選択し[追加]ボタンをクリックします
3 認証ログインスキーマを作成するには次のフィールドにします
a)「名前」をしますこれは新しいログインスキーマの名前です
b)認証スキーマをしますこれはログインページの UIに送信される認証スキーマを読み取るためのファイルの名前ですこのファイルにはログインフォームをレンダリングできるようにするための Citrixフォーム認証プロトコルごとの要素の xml定義が含まれている必要があります管理者がユーザーに追加の資格
copy 1999-2020 Citrix Systems Inc All rights reserved 179
Citrix Gateway 130
情報を要求せず以前に取得した資格情報を続する場合は引数として「noschema」を指定できますこれはユーザー定義のファクタで使される loginSchemasにのみ適され仮想サーバのファクタには適されません
c)ユーザー式をしますこれはログイン中にユーザー名を抽出するための式です
d)パスワード式をする-これはログイン時のパスワード抽出の式です
e)ユーザークレデンシャルインデックスをしますこれはユーザーがしたユーザー名がセッションに格納されるインデックスです
f)パスワードクレデンシャルインデックスをしますこれはユーザーがしたパスワードがセッションに格納されるインデックスです
g)認証強度をしますこれは現在の認証の重みです
4 [作成]をクリックします
a) ログインスキーマプロファイルが表されていることを確認します
ポリシーラベルの作成
ポリシーラベルは特定の要素の認証ポリシーを指定します各ポリシーラベルは1つの要素に対応しますポリシーラベルはユーザーに提する必要があるログインフォームを指定しますポリシーラベルは認証ポリシーまたは別の認証ポリシーラベルの次の要素としてバインドする必要があります通常ポリシーラベルには特定の認証メカニズムの認証ポリシーが含まれますただし異なる認証メカニズムの認証ポリシーを持つポリシーラベルを使することもできます
1 セキュリティ-gtCitrix ADC AAA-アプリケーショントラフィック-gtポリシー-gt認証-gt度なポリシー-gtポリシーラベルに移動します
2[追加]をクリックします
3 認証ポリシーラベルを作成するには次のフィールドにします
a)新しい認証ポリシーラベルの [Name]をします
b)認証ポリシーラベルに関連付けられたログインスキーマをします
c) [続]をクリックします
4 ドロップダウンメニューから [Policy ]を選択します
5 的の認証ポリシーを選択し[ Select ]ボタンをクリックします
6 次のフィールドにします
a)ポリシーバインディングの [ Priority ]をします
b)「Goto Expression」をしますこの式は現在のポリシールールが TRUEと評価された場合に評価される次のポリシーの優先順位を指定します
copy 1999-2020 Citrix Systems Inc All rights reserved 180
Citrix Gateway 130
7 的の認証ポリシーを選択し[ Select ]ボタンをクリックします
8 [バインド]ボタンをクリックします
9[完了]をクリックします
10 認証ポリシーラベルを確認します
nFactor認証の再キャプチャ設定
Citrix ADCリリース 121ビルド 50x以降ではCitrix Gatewayはキャプチャの構成を簡素化する新しいファーストクラスのアクション「captchaAction」をサポートしていますキャプチャはファーストクラスのアクションであるようにそれは独の要因であることができますnFactorフローのどこにでもキャプチャを挿できます
以前はRfWeb UIの変更を含むカスタムWebAuthポリシーを記述する必要がありましたキャプチャーアクションが導されたことでJavaScriptを変更する必要はありません
重要
Captchaがスキーマ内のユーザー名またはパスワードのフィールドと緒に使されている場合Captchaが満たされるまで送信ボタンは無効になります
キャプチャの構成
キャプチャの構成には2つの部分が含まれます
1 キャプチャを登録するための Googleの構成2 ログインフローの部としてキャプチャを使する Citrix ADCアプライアンスの構成
グーグルでキャプチャの設定
httpswwwgooglecomrecaptchaadminlistでキャプチャのドメインを登録します
1 このページに移動すると次の画が表されます
注
reCAPTCHA v2のみを使してくださいにえない reCAPTCHAはまだ技術プレビュー中です
2 ドメインを登録すると「サイトキー」と「秘密キー」が表されます
注
セキュリティ上の理由から「SiteKey」と「SecretKey」はグレー表になっています「SecretKey」は安全に保管する必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 181
Citrix Gateway 130
Citrix ADCアプライアンスでのキャプチャ構成
Citrix ADCアプライアンスのキャプチャ構成は次の 3つの部分に分けることができます
bull キャプチャ画を表するbull Googleサーバーにキャプチャ応答を投稿するbull LDAP構成はユーザーログオンの 2番の要素です (オプション)
キャプチャ画を表する
ログインフォームのカスタマイズはSingleAuthCaptchaxml ログインスキーマを介してわれますこのカスタマイズは認証仮想サーバーで指定されログインフォームをレンダリングするために UI に送信されます組み込みのログインスキーマである SingleAuthCaptchaxml はCitrix ADC アプライアンス上のnsconfigloginSchemaログインスキーマディレクトリにあります
重要
bull ユースケースと異なるスキーマに基づいて既存のスキーマを変更できますたとえばCaptcha係数(ユーザー名やパスワードなし)または Captchaとの重認証だけが必要な場合
bull カスタム変更を実した場合またはファイルの名前を変更した場合はすべての loginSchemaをnsconfigloginschemaディレクトリから親ディレクトリnsconfigloginschemaにコピーすることをお勧めします
CLIを使してキャプチャの表を設定するには
bull add authentication loginSchema singleauthcaptcha -authenticationSchemansconfigloginschemaSingleAuthCaptchaxml
bull add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
bull add authentication vserver auth SSL ltIPgt ltPortgtbull add ssl certkey vserver-cert -cert ltpath-to-cert-filegt -key ltpath-to-key-filegt
bull bind ssl vserver auth -certkey vserver-certbull bind authentication vserver auth -policy singleauthcaptcha -priority 5-gotoPriorityExpression END
Googleサーバーにキャプチャ応答を投稿する
あなたはユーザーに表されなければならないキャプチャを設定した後管理者はブラウザからのキャプチャ応答を確認するためにGoogleサーバーに構成を追加ポスト
ブラウザからキャプチャ応答を確認するには
copy 1999-2020 Citrix Systems Inc All rights reserved 182
Citrix Gateway 130
bull add authentication captchaAction myrecaptcha -sitekey ltsitekey-copied-from-googlegt -secretkey ltsecretkey-from-googlegt
bull add authentication policy myrecaptcha -rule true -action myrecaptchabull bind authentication vserver auth -policy myrecaptcha -priority 1
AD認証が必要な場合は次のコマンドが必要ですそれ以外の場合はこの順を無視できます
bull add authentication ldapAction ldap-new -serverIP xxxx -serverPort636 -ldapBase rdquocn=usersdc=aaatmdc=comrdquo-ldapBindDn adminuseraaatmcom-ldapBindDnPassword ltpasswordgt -encrypted -encryptmethod ENCMTHD_3 -
ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeNameCN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup
ldapGroupbull add authenticationpolicy ldap-new -rule true -action ldap-new
LDAP構成はユーザーログオンの 2番の要素です (オプション)
LDAP認証はキャプチャ後にわれ2番の要素に追加します
bull add authentication policylabel second-factorbull bind authentication policylabel second-factor -policy ldap-new -priority
10bull bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
管理者は負荷分散仮想サーバーと Citrix Gatewayアプライアンスのどちらを使してアクセスするかに応じて適切な仮想サーバーを追加する必要がありますロードバランシング仮想サーバが必要な場合は管理者が次のコマンドを設定する必要があります
1 add lb vserver lbtest HTTP ltIPgt ltPortgt -authentication ON -authenticationHost nsspaaatmcomlsquo
nsspaaatmcom mdash認証仮想サーバーに解決します
キャプチャのユーザー検証
前のセクションで説明したすべての順を設定したら以下にす UIのスクリーンショットを確認する必要があります
1 認証仮想サーバーがログインページを読み込むとログオン画が表されますログオンはキャプチャが完了するまで無効になります
2 [私はロボットではありません]オプションを選択しますキャプチャウィジェットが表されます
3 完了ページが表される前に連のキャプチャ画像をナビゲートします
copy 1999-2020 Citrix Systems Inc All rights reserved 183
Citrix Gateway 130
4 AD資格情報をし[ロボットではありません]チェックボックスをオンにして [ログオン]をクリックします認証が成功すると的のリソースにリダイレクトされます
注
bull キャプチャが AD認証で使されている場合キャプチャが完了するまで資格情報の送信ボタンは無効になります
bull キャプチャは独の要因で発しますしたがってADのような後続の検証は Captchaのlsquonextfactorrsquoで発する必要があります
コピー完了Failed
Unified Gateway Visualizer
March 26 2020
概要
Unified Gateway VisualizerはUnified Gatewayウィザードを使して構成を視覚的に表現しますUnifiedGateway Visualizerは構成の追加と編集およびバックエンドの問題の診断に使されます
Unified Gateway Visualizerには次の情報が表されます|構成 |構成 ||mdash|ndash||事前認証ポリシー |認証ポリシー ||CS仮想サーバ |VPN仮想サーバー ||LB仮想サーバ |XAXDアプリケーション ||ウェブアプリケーション |SaaSアプリ |
Unified Gatewayの導によりエンタープライズアプリケーションまたは SaaSアプリケーションクライアントレスアクセスアプリケーションCitrix Virtual Appsおよびデスクトップリソースへの 1つの URLを介してセキュアなリモートアクセスが可能になります
Unified Gatewayの設定
1 メニューから [Unified Gateway]を選択します
2 次の画で次の情報があることを確認し[ Get Started]をクリックします
1 - Unified Gateway の パ ブ リ ッ ク IP ア ド レ ス
copy 1999-2020 Citrix Systems Inc All rights reserved 184
Citrix Gateway 130
2 - オ プ シ ョ ン の ル ー ト CA証 明 書 を 持 つ サ ー バ ー 証 明 書 チ ェ ー ン ( PFXま た は PEM )
3 - LDAPRADIUSク ラ イ ア ン ト 証 明 書 ベ ー ス の 認 証 の 詳 細 4 - ア プ リ ケ ー シ ョ ン の 詳 細 ( Saasア プ リ ケ ー シ ョ ン ま た は Citrix Virtual
Apps and Desktops サ ー バ ー の 詳 細 の URL )
3 [続]ボタンをクリックします
Unified Gateway構成の仮想サーバを作成します
1 仮想サーバの構成名をします2 Unified Gateway配置のパブリック向の Unified Gateway IPアドレスをします3 ポート番号をしますポート番号の範囲は 1〜 65535です4[続]をクリックします
サーバー証明書を指定するには次の情報をします
1 [既存の証明書を使する]または [証明書のインストール]ラジオボタンを選択します2 ドロップダウンメニューからサーバー証明書を選択します3 [続]ボタンをクリックします
認証を指定するには次の情報をします
1 プルダウンメニューから [プライマリ認証法]を選択します2 [既存のサーバーを使する]または [新しいサーバーの追加]ラジオボタンを選択します3 [続]ボタンをクリックします
1 プルダウンメニューから「ポータルテーマ」を選択します2[続]をクリックします
1「Webアプリケーション」または「Citrix Virtual Appsデスクトップ」ラジオボタンを選択します2[続]をクリックします
Webアプリケーションを指定するには次の情報をします
1 ブックマークのリンクの名前をします
2 VPN URLが表すアプリケーションのタイプを選択します指定できる値は次のとおりです
bull イントラネットアプリケーションbull クライアントレスアクセスbull SaaSbull この Citrix ADC上で事前に構成されたアプリケーション
3 このチェックボックスをオンにするとこのアプリケーションに Unified Gateway URLからアクセスできるようになります
4 ブックマークリンクの URLをします
5 アイコン URLからアイコンファイルを取得するファイルを選択します最は 255です
copy 1999-2020 Citrix Systems Inc All rights reserved 185
Citrix Gateway 130
6 [続]ボタンをクリックします
1[完了]をクリックします
1[続]をクリックします
1[完了]をクリックします
GUIの設定
1 メニューから [Unified Gateway]を選択します
1 [Unified Gatewayビジュアライザー]アイコンをクリックして構成済みの Gatewayインスタンスにアクセスします
Unified Gatewayのビジュアライザーは次の図のようになります
Unified Gatewayビジュアライザーには事前認証認証およびアプリのセクションがありますvpn仮想サーバに事前認証ポリシーが設定されている場合はUnified Gatewayビジュアライザに事前認証が表されます
Unified Gatewayビジュアライザーはロードバランシングと VPN仮想サーバーの状態をすために分けスキームを使します
彩の 説明
サーバーがダウンしていることを意味します
グレー webappsCitrix Virtual Appsが設定されていないことを意味します
緑 仮想サーバーですべてが問題ないことを意味します
オレンジ 負荷分散仮想サーバーサービスの 1つを意味しますダウンしていますがそれでも正常に機能しています
VPN仮想サーバの詳細
vpn仮想サーバの詳細を取得するには[vpn仮想サーバ]ノードをクリックしますポップアップにはCSルールやすべてのポリシーなどの詳細が表されます
1(+)アイコンをクリックしてvpnエンティティにポリシーを追加します
デフォルトでは次のポリシーがバインドされています
1 構成済みのポリシーの詳細を表するには的のノードをクリックします
VPN仮想サーバー情報の場合ポップアップの VPNタイトルはVPN仮想サーバーの詳細をすスライダーに移動するクリック可能なエンティティです
copy 1999-2020 Citrix Systems Inc All rights reserved 186
Citrix Gateway 130
VPNサーバーの詳細をここにします
事前認証ブロック
vpn仮想サーバに事前認証ポリシーが関連付けられている場合Unified Gatewayビジュアライザには PreAuthブロックが表されます[Pre Auth]ブロックはポリシーを表し認証前ポリシーを vpnに追加するオプションを提供します
1 [ + ]をクリックして事前認証ポリシーを追加します
事前認証ポリシーが付けられていない場合このブロックはビューに表されません
認証ブロック
Authブロックにはプライマリポリシーとセカンダリポリシーが覧表されますAuthブロックにはポリシーを追加するためのオプションがあります
1 [プライマリ]ボックスの覧の [ + ]をクリックしてプライマリ認証バインドを追加するか[セカンダリ]ボックスの覧の [+]をクリックしてセカンダリ認証バインドを追加します
1 [プライマリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです2 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します3 [ LDAPポリシー名]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです4 [セカンダリ認証法]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです
1 ラジオボタンを選択して既存のサーバーを使するか新しいサーバーを追加するかを指定します2 [ RADIUS ]ドロップダウンメニューからオプションを選択しますこれは必須フィールドです3[続]をクリックします
StoreFrontの追加
XAXDの近くにある [ + ]をクリックすると「XAXD」アプリが追加されます
統合ポイントを選択できますオプションはStoreFrontWIまたはWionNSです[続]をクリックします
1 StoreFrontを構成するには以下のフィールドにします
|フィールド |説明 ||ndash|mdash||StoreFront FQDN|StoreFrontサーバーの FQDNをします最255字例storefrontxendtnet||サイトパス |StoreFrontで既に構成されている Receiver for Webサイトへのパスをします||シングルサインオンドメイン |ユーザー認証のデフォルトドメインをしてください ||ストア名 |STOREFRONTモニタの名前をしますSTORENAMEはStoreFrontサーバーの正常性を調べるために StoreFrontサービスストア名を定義する引数で
copy 1999-2020 Citrix Systems Inc All rights reserved 187
Citrix Gateway 130
すストオーフロントモニターに適できます最31| |Secure Ticket Authorityサーバー |Secure Ticket Authority URLをしますこれは通常配信 Controller上に存在します例httpsta||StoreFrontサーバー |StoreFrontサーバーの IPアドレスを ||プロトコル |サーバーで使されるプロトコルをします||ポート |サーバーが使するポートをします||負荷分散 |StoreFrontサーバーの負荷分散構成をします||仮想サーバー | Unified Gateway展開のパブリック IPアドレスをします|
2 [続]をクリックします
SaaSの追加
1 [ + ]をクリックして SaaSアプリを追加すると[SaaSの追加]ページに移動しますSaaSを設定するには次のフィールドにします必須の情報が必要なフィールドにはが付きます
フィールド 説明
名前 ブックマークのリンクの名前をします
アプリケーションの種類 この VPN URLが表すアプリケーションのタイプをします可能な値は次のとおりですこの CitrixADC上のイントラネットアプリケーションクライアントレスアクセスSaaS事前構成されたアプリケーション
URLを イントラネットアプリケーションの URLをします
ファイルの選択 このリソースを表するためのアイコンファイルを取得する URLをしてくださいMaxLength = 255
Webアプリケーションの追加
1 [ + ]をクリックしてWebアプリを追加すると[Webアプリの追加]ページに移動します次のフィールドにしてWebアプリケーションを構成します必須の情報が必要なフィールドにはが付きます
フィールド 説明
名前 ブックマークのリンクの名前をします
copy 1999-2020 Citrix Systems Inc All rights reserved 188
Citrix Gateway 130
フィールド 説明
アプリケーションの種類 この VPN URLが表すアプリケーションのタイプをします可能な値は次のとおりですこの CitrixADC上のイントラネットアプリケーションクライアントレスアクセスSaaS事前構成されたアプリケーション
URLを イントラネットアプリケーションの URLをします
ファイルの選択 このリソースを表するためのアイコンファイルを取得する URLをしてくださいMaxLength = 255
Unified Gatewayの URLからアプリケーションにアクセスできる場合はアプリケーションをクリックしてロードバランシングサーバーの詳細にアクセスできます
(+)をクリックして新しいポリシーを追加できますポリシー情報を表するノードをクリックするとバインドされたすべてのポリシーを表できます
LBにバインドされたサービスの数と全体的な状態情報も表されますさらにクリックするとすべてのサービスが覧表されますLBに新しいサービスを追加できます
LBの詳細についてはポップアップのタイトルはクリック可能でLB仮想サーバーの詳細ページに表されます
コピー完了Failed
モバイルタブレットデバイスで RADIUS認証と LDAP認証を使するように CitrixGatewayを構成する
March 26 2020
このセクションではモバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成する法について説明します
「」セクションで説明した設定では他のすべての接続で LDAP2番に RADIUSを使できます
モバイルタブレットデバイスで使するために Citrix Workspaceアプリで 2要素認証を構成する場合はプライマリ認証として RSA SecureID(RADIUS認証)を追加する必要がありますただしReceiverでユーザー名とパスワードパスコードのを求めるプロンプトが表されたらLDAPを最初に設定しRADIUSを 2番の資格情報として設定します管理者の観点からはモバイル構成と較してそれは別の構成です
copy 1999-2020 Citrix Systems Inc All rights reserved 189
Citrix Gateway 130
モバイルタブレットデバイスで RADIUS認証をプライマリとして使しLDAP認証をセカンダリとして使するように Citrix Gatewayアプライアンスを構成するには次の順を実します
1 構成ユーティリティでCitrix Gateway∕ポリシー∕認証を選択しモバイルデバイスおよびモバイルデバイスの LDAPおよび RSAの認証ポリシーを作成しますこれはユーザが RADIUS認証をバイパスできるロジック条件を回避するために必要です
2 LDAPの [サーバ]タブで [追加]オプションをクリックした後LDAPサーバの詳細をします
認証サーバーの構成法の詳細については「NetScalerで LDAP認証を構成する法」の「認証サーバーの作成」を参照してください
3 必要な LDAPサーバーを選択してモバイルデバイスの LDAPポリシーを作成します
このポリシーをモバイルデバイスのみにバインドするには次の式を使します
1 lsquoREQHTTPHEADER User-Agent CONTAINS CitrixReceiverlsquo
4 [式エディタ]をクリックしてポリシーを作成します
5 モバイルデバイスの RADIUSポリシーと RADIUSサーバを作成します
(a)[Citrix Gateway]gt[ポリシー]gt[認証]gt[RADIUS]から[RADIUS]オプションに移動します[サーバー]タブの [追加]をクリックします
(b)必要な情報を追加しますRADIUS認証のデフォルトポートは 1812です
(c)このポリシーをモバイルデバイスのみにバインドするには次の式を使します
6 同じ順に従ってモバイルデバイスの LDAPポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します
1 lsquoREQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiverlsquo
7 モバイルデバイス以外の RADIUSポリシーを作成しますこのポリシーをモバイル以外のデバイスにのみバインドするには次の式を使します
1 lsquoREQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiverlsquo
8 Citrix Gateway仮想サーバーのプロパティに移動し「認証」タブをクリックしますプライマリ認証ポリシーでRSA_Mobileポリシーを最上位プライオリティとしてLDAP_NonMobileポリシーをセカンダリプライオリティとして追加します
9 セカンダリ認証ポリシーでLDAP_Mobile ポリシーを最上位プライオリティとして追加し次にRSA_NonMobileポリシーをセカンダリプライオリティとして追加します
セッションポリシーには正しい Single Sign-On資格情報インデックスが必要ですつまりLDAP資格情報である必要がありますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは
copy 1999-2020 Citrix Systems Inc All rights reserved 190
Citrix Gateway 130
LDAPです
したがって2つのセッションポリシーが必要です1つはモバイルデバイスもう 1つはモバイルデバイスです
(a)モバイルデバイスのセッションポリシーとセッションプロファイルは次のスクリーンショットにすようにえますセッションポリシーを作成するには必要な仮想サーバーに移動し「編集」をクリックしポリシーセクションに移動して「+」記号をクリックします
(b)ドロップダウンから [セッション]オプションを選択します
(c)的のセッションポリシー名をし[+]をクリックして新しいプロファイルを作成しますモバイルデバイスの場合は[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [セカンダリ]に設定する必要がありますこれは LDAPです
(d)モバイルデバイス以外の場合は同じ順に従ってください[セッションプロファイル] gt [クライアントエクスペリエンス]の [資格情報インデックス]を [プライマリ]に設定する必要がありますこれは LDAPです
式は次のように変更する必要があります
1 lsquoREQHTTPHEADER User-Agent NOTCONTAINS CitrixReceiverlsquo
(e)モバイル以外のユーザーに新しいプロファイルを作成するには[+]記号をクリックします
1 必要な仮想サーバーのポリシーとプロファイルは次のスクリーンショットのようになります
2 さらにStoreFrontではCitrix Gateway構成で「ログオンの種類」=「ドメインとセキュリティトークン」を使するように設定されています
コピー完了Failed
VPNユーザエクスペリエンスの設定
April 9 2020
ユーザーは以下の法を使してCitrix Gateway経由で組織のネットワークリソースに接続できます
bull ユーザーデバイスにインストールされているすべての Citrixプラグインを含む Citrix Workspaceアプリbull Webブラウザーを使してアプリケーションデスクトップShareFileへのユーザー接続を可能にする
Web Citrix Workspaceアプリbull Secure Hubを使するとユーザーは iOSおよび Androidデバイスから Secure MailWorxWebおよびモバイルアプリにアクセスできます
bull WindowsMac OS Xまたは Linuxの Citrix Gatewayプラグインbull iOSと Androidのための Citrix Gatewayアプリ
copy 1999-2020 Citrix Systems Inc All rights reserved 191
Citrix Gateway 130
bull Javaの Citrix Gatewayプラグインbull クライアントレスアクセスユーザーソフトウェアをインストールせずに必要なアクセスをユーザーに提供します
bull Citrix Repeaterプラグインとの相互運性
ユーザーが Citrix GatewayプラグインをインストールしてからCitrix XenApp 65からWindows Server 2008(機能パックと機能パック 2を含む)からCitrix WorkspaceアプリをインストールするとCitrix Virtual Desktops
70以降ではCitrix Workspaceアプリは動的に Citrix Gatewayプラグインを追加しますユーザーはWebブラウザーまたは Citrix Workspaceアプリから Citrix Gatewayプラグインを使して接続できます
SmartAccessはエンドポイント分析スキャンの結果に基づいてユーザーデバイスに許可されるアクセス法を動的に決定しますSmartAccessの詳細については「SmartAccess設定」を参照してください
Citrix GatewayはiOSおよび Androidモバイルデバイスの Citrix Endpoint Management Worxアプリをサポートしています Citrix Gatewayにはマイクロ VPNトンネルを確する iOSモバイルデバイスから CitrixGatewayへの接続を可能にする Secure Browseが含まれていますSecure Hubに接続する AndroidデバイスではMicro VPNトンネルが動的に確されWebおよびモバイルアプリケーションレベルのセキュアな内部ネットワーク内のリソースへのアクセスを提供しますユーザーがWorxアプリで Androidデバイスから接続する場合はCitrix Gatewayで DNS設定を構成する必要があります詳細については「Androidデバイスで DNSサフィックスを使した DNSクエリのサポート」を参照してください
コピー完了Failed
Citrix Gatewayプラグインでのユーザー接続のしくみ
April 9 2020
Citrix Gatewayは次のように動作します
bull ユーザーが VPNトンネルを介してネットワークリソースにアクセスしようとするとCitrix Gatewayプラグインは組織の内部ネットワーク宛てのネットワークトラフィックをすべて暗号化しパケットを CitrixGatewayに転送します
bull Citrix Gatewayは SSLトンネルを終了しプライベートネットワーク宛ての着信トラフィックを受けれトラフィックをプライベートネットワークに転送しますCitrix Gatewayは安全なトンネルを介してリモートコンピュータにトラフィックを送信します
ユーザーがWebアドレスをすると資格情報のとログオンをうログオンページが表されます資格情報が正しい場合Citrix Gatewayはユーザーデバイスとのハンドシェイクを終了します
ユーザーと Access Gatewayの間にプロキシサーバーがある場合はプロキシサーバーと認証のための資格情報を指定できます詳しくは「ユーザ接続のプロキシサポートの有効化」を参照してください
copy 1999-2020 Citrix Systems Inc All rights reserved 192
Citrix Gateway 130
Citrix Gatewayプラグインがユーザーデバイスにインストールされます最初の接続後ユーザーがWindowsベースのコンピューターを使してログオンすると通知領域のアイコンを使して接続を確できます
コピー完了Failed
セキュアトンネルの確
March 26 2020
ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443(または Citrix Gateway上の構成済みポート)を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに構成情報を送信しますアドレスプールを有効にするとセキュリティ保護対象のネットワークと IPアドレスが記述されます
セキュアな接続を介したプライベートネットワークトラフィックのトンネリング
Citrix Gatewayプラグインが起動しユーザーが認証されると指定されたプライベートネットワーク宛てのネットワークトラフィックがすべてキャプチャされセキュアなトンネルを介して Citrix GatewayにリダイレクトされますCitrix Workspaceアプリが Citrix Gatewayプラグインをサポートしユーザーがログオンしたときにセキュアなトンネルを介して接続を確する必要があります
Secure HubSecure MailおよびWorxWebはマイクロ VPNを使してiOSおよび Androidモバイルデバイスのセキュアなトンネルを確します
Citrix Gatewayはユーザーデバイスが接続するすべてのネットワーク接続を受信しSecure Sockets Layer(SSL)を介して Citrix Gatewayに多重化しますこの場合トラフィックは逆多重化され接続は正しいホストとポートの組み合わせに転送されます
接続は単のアプリケーションアプリケーションのサブセットまたはイントラネット全体に適される管理セキュリティポリシーに従いますリモートユーザが VPN接続を介してアクセスできるリソース(IPアドレスとサブネットペアの範囲)を指定します
Citrix Gatewayプラグインは定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします
bull TCP(すべてのポート)bull UDP(すべてのポート)bull ICMP(タイプ 8および 0-エコー要求応答)
ユーザーデバイス上のローカルアプリケーションからの接続はCitrix Gatewayに安全にトンネリングされターゲットサーバーへの接続が再確されますターゲットサーバーではプライベートネットワーク上のローカル
copy 1999-2020 Citrix Systems Inc All rights reserved 193
Citrix Gateway 130
Citrix Gatewayからの接続として認識されるためユーザーデバイスは表になりますこれは逆向ネットワークアドレス変換 (NAT)とも呼ばれますIPアドレスを表にすると送信元ロケーションにセキュリティが追加されます
ローカルではユーザーデバイス上でSYN-ACKPUSHACKFINパケットなどの接続関連トラフィックはすべてCitrix Gatewayプラグインによって再作成されプライベートサーバーから表されます
コピー完了Failed
ファイアウォールとプロキシを介した操作
March 26 2020
Citrix Gatewayプラグインのユーザーは次の図にすように別の組織のファイアウォール内に配置されることがあります
図 12つの内部ファイアウォールを介したユーザーデバイスからの接続
NATファイアウォールはCitrix Gatewayからユーザーデバイスにセキュアなパケットをルーティングできるテーブルを維持します回線指向接続の場合Citrix Gatewayはポートマップされたリバース NAT変換テーブルを維持します逆 NAT変換テーブルを使するとCitrix Gatewayは接続を照合しパケットを正しいポート番号でユーザーデバイスに返送しパケットを正しいアプリケーションに戻すことができます
コピー完了Failed
Citrix Gatewayプラグインのアップグレード制御
March 26 2020
概要
システム管理者はCitrix ADCプラグインのバージョンが Citrix Gatewayのリビジョンと致しない場合の CitrixADCプラグインの動作を制御します新しいオプションはMacWindowsまたはオペレーティングシステムのプラグインのアップグレード動作を制御します
VPNプラグインの場合Citrix ADCユーザーインターフェイスの 2つの場所でアップグレードオプションを設定できます
bull グローバル設定で
copy 1999-2020 Citrix Systems Inc All rights reserved 194
Citrix Gateway 130
bull セッションプロファイルレベルで
プラグインの動作
Citrix Gatewayではクライアントの種類ごとに以下の 3つのオプションを使してプラグインのアップグレード動作を制御できます
a[常に表]
エンドユーザーのプラグインのバージョンが Citrix ADCに同梱されているプラグインと致しない場合プラグインは常にアップグレードされますこれはデフォルトの動作ですエンタープライズで複数のプラグインバージョンを実したくない場合はこのオプションを選択します
b エッセンシャル(およびセキュリティ)
プラグインが必要と判断された場合にのみアップグレードされました次の 2つの状況においてはアップグレードが必要と判断されます
bull インストールされているプラグインは現在の Citrix ADCバージョンと互換性がありません
bull インストールされたプラグインは必要なセキュリティ修正のために更新する必要があります
プラグインのアップグレード回数を最限に抑えるがプラグインのセキュリティ更新プログラムを逃したくない場合はこのオプションを選択する必要があります
c[なし]
プラグインはアップグレードされません
VPNプラグインのアップグレードを制御するための CLIパラメータ
Citrix GatewayはWindowsおよびMacオペレーティングシステムの 2種類のプラグイン(EPAと VPN)をサポートしていますセッションレベルで VPNプラグインのアップグレード制御をサポートするためにCitrixGatewayではWindowsinPluginUpgradeとMacPluginUpgradeという 2つのセッションプロファイルパラメーターがサポートされています
これらのパラメータはグローバル仮想サーバグループおよびユーザレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメータの詳細についてはプラグインの動作を参照してください
EPAプラグインのアップグレードを制御するための CLIパラメータ
Citrix GatewayはWindowsおよびMacオペレーティングシステムの EPAプラグインをサポートしています仮想サーバーレベルで EPAプラグインのアップグレード制御をサポートするためにCitrix Gatewayではウィン
copy 1999-2020 Citrix Systems Inc All rights reserved 195
Citrix Gateway 130
ドウ EPAプラグインアップグレードとmacEPAプラグインアップグレードという 2つの仮想サーバーパラメーターがサポートされています
パラメーターは仮想サーバーレベルで使できます各パラメータには常に必須または絶対に設定できますこれらのパラメーターの説明についてはプラグインの動作を参照してください
VPN構成
WindowsLinuxMacプラグインの VPN設定については以下の順に従ってください
1[Citrix NetScalergtポリシー]gt[セッション]の順に選択します
2 的のセッションポリシーを選択し[ Edit]をクリックします
3 [ + ]アイコンをクリックします
4 [クライアントエクスペリエンス]タブを選択します
5 これらのダイアログボックスのオプションはアップグレードの動作に影響します
bull 常に
bull 必須
bull なし
既定値は [常時]です
1 各オプションの右側にあるチェックボックスをオンにしますアップグレード動作を適する頻度を選択します
EPA構成
WindowsLinuxAppleプラグインの EPA構成については以下の順に従ってください
1 Citrix Gateway gt[仮想サーバー]の順に選択します
2 サーバを選択し[編集]ボタンをクリックします
3鉛筆アイコンをクリックします
4 [詳細]をクリックします
5 表されるダイアログボックスはアップグレードの動作に影響します使可能なオプションは次のとおりです
bull 常にbull 必須bull なし
copy 1999-2020 Citrix Systems Inc All rights reserved 196
Citrix Gateway 130
要件
bull Windowsの EPAおよび VPNプラグインのバージョンは 11000よりきくする必要があります
bull Mac EPAプラグインのバージョンは 30031よりきくなければなりません
bull Mac VPNプラグインのバージョンは 314 (357)よりきくなければなりません
注 Citrix ADCを 110リリースにアップグレードするとアップグレード制御の構成に関係なく以前のすべての VPN(および EPA)プラグインが最新バージョンにアップグレードされます以降のアップグレードでは上記のアップグレード制御設定を尊重します
コピー完了Failed
Citrix Gatewayで完全な VPNセットアップを構成する
April 9 2020
このセクションではCitrix Gatewayアプライアンスで完全な VPNセットアップを構成する法について説明しますネットワークに関する考慮事項とネットワークの観点から問題を解決するための理想的なアプローチが含まれています
前提条件
bull SSL証明書これはインストールされVPN仮想サーバー(VServer)にバインドする必要があります
ndash CTX109260 - NetScalerアプライアンスでパブリック SSL証明書を成してインストールする法
ndash CTX122521 - NetScalerアプライアンスのデフォルト証明書をアプライアンスのホスト名に致する信頼された CA証明書に置き換える法
ndash Citrixドキュメント-SSLベースの仮想サーバーへの証明書とキーペアのバインド
bull 認証プロファイルこれはCitrix Gatewayで作成され機能する必要があります
ndash 詳細についてはCitrixのドキュメントを参照 -外部ユーザ認証の設定
ndash 詳細についてはチェックリストを参照してくださいAD FSを使してシングルサインオンを実装および管理する
bull ダウンロード Citrixクライアント
bull セッションポリシー(完全な VPN接続を許可する)
copy 1999-2020 Citrix Systems Inc All rights reserved 197
Citrix Gateway 130
ユーザーが Citrix GatewayプラグインSecure Hubまたは Citrix Workspaceアプリに接続するとクライアントソフトウェアはポート 443(または Citrix Gateway上の構成済みポート)を介してセキュアなトンネルを確し認証情報を送信しますトンネルが確されるとCitrix Gatewayは保護されるネットワークを説明する構成情報を Citrix GatewayプラグインCitrix Secure Hubまたは Citrix Workspaceアプリに送信しますイントラネット IPを有効にした場合この情報には IPアドレスも含まれます
ユーザデバイス接続を設定するにはユーザが内部ネットワークでアクセスできるリソースを定義しますユーザーデバイス接続の設定には次のものが含まれます
bull 分割トンネリングbull ユーザーの IPアドレス (アドレスプール (イントラネット IP)を含む)bull プロキシサーバーを介した接続bull ユーザーがアクセスを許可するドメインの定義bull タイムアウト設定bull シングルサインオンbull Citrix Gateway経由で接続するユーザーソフトウェアbull モバイルデバイスへのアクセス
ほとんどのユーザーデバイス接続はセッションポリシーの部であるプロファイルを使して構成しますまた認証単位トラフィックおよび認可ポリシーを使してユーザーデバイスの接続設定を定義することもできますまたイントラネットアプリケーションを使して構成することもできます
Citrix Gatewayアプライアンスでの完全な VPNセットアップの構成
Citrix Gatewayアプライアンスで VPNセットアップを構成するには以下の順を実します
1 NetScaler構成ユーティリティから「トラフィック管理」gt「DNS」に移動します
2 次のスクリーンショットにすように[ネームサーバー]ノードを選択しますDNSネームサーバがリストされていることを確認します使できない場合はDNSネームサーバーを追加します
3 Citrix Gateway gt[ポリシー]の順に展開します
4「セッション」ノードを選択します
5 Citrix Gatewayセッションポリシーとプロファイル]ページの[プロファイル]タブを有効にして[追加]をクリックします
Citrix Gatewayセッションプロファイルの構成ダイアログボックスで構成するコンポーネントごとに各コンポーネントの「グローバルオーバーライド」オプションが選択されていることを確認します
6 [クライアントエクスペリエンス]タブをアクティブにします
7 ユーザーが VPNにログインするときにURLを表する場合は[ホームページ]フィールドにイントラネットポータルの URLをしますホームページパラメータが「nohomepagehtml」に設定されている場合ホームページは表されませんプラグインが起動するとブラウザインスタンスが起動し動的に強制終了されます
copy 1999-2020 Citrix Systems Inc All rights reserved 198
Citrix Gateway 130
8 [Split Tunnel]リストから的の設定を選択していることを確認します(この設定の詳細については上記を参照してください)
9 FullVPNを使する場合はクライアントレスアクセスリストから OFFを選択します
10 プラグインの [タイプ]リストから [WindowsMac OS X]が選択されていることを確認します
11 必要に応じて「Webアプリケーションへのシングルサインオン」オプションを選択します
12 次のスクリーンショットにすように必要に応じて [クライアントクリーンアッププロンプト]オプションが選択されていることを確認します
13 [セキュリティ]タブをアクティブにします
14 次のスクリーンショットにすように[既定の承認操作]リストから [ALLOW]が選択されていることを確認します
15 [公開アプリケーション]タブをアクティブにします
16[公開アプリケーション]オプションの[ICAプロキシ]リストから[OFF]が選択されていることを確認します
17[作成]をクリックします
18[閉じる]をクリックします
19 Vserverの Citrix Gatewayセッションポリシーとプロファイル]ページの[ポリシー]タブを有効にするか必要に応じて GROUPUSERレベルでセッションポリシーを有効にします
20 次のスクリーンショットにすように必要な式または ns_trueを使してセッションポリシーを作成します
21 セッションポリシーを VPN仮想サーバーにバインドします
Citrix Gateway仮想サーバー]gt[ポリシー]の順に選択しますドロップダウンリストから必要なセッションポリシー(この例では Session_Policy)を選択します
22 分割トンネルが ONに設定されている場合はVPNに接続したときにユーザがアクセスできるようにするイントラネットアプリケーションを設定する必要がありますCitrix Gateway gt[リソース]gt[イントラネットアプリケーション]の順に選択します
23 新しいイントラネットアプリケーションを作成しますWindowsクライアントでの FullVPNの場合は[透過型]を選択します許可するプロトコル(TCPUDPANY)宛先タイプ(IPアドレスとマスクIPアドレスの範囲ホスト名)を選択します
24 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定します
25 次の式を使してiOSおよび Android上の Citrix VPNの新しいポリシーを設定しますREQHTTPHEADER User-Agent CONTAINS CitrixVPN ampamp (REQHTTPHEADER User-AgentCONTAINS NSGiOSplugin || REQHTTPHEADER User-Agent CONTAINS Android)
copy 1999-2020 Citrix Systems Inc All rights reserved 199
Citrix Gateway 130
26 必要に応じてUSERGROUPVSERVERレベルで作成されたイントラネットアプリケーションをバインドします
追加パラメータ
以下に設定できるパラメータの部とそれぞれの簡単な説明をします
分割トンネル
分割トンネルオフ
分割トンネルがオフに設定されている場合Citrix GatewayプラグインはユーザーデバイスからのすべてのネットワークトラフィックをキャプチャしVPNトンネル経由で Citrix Gatewayに送信しますつまりVPNクライアントはCitrix Gateway VIPを指すクライアント PCからのデフォルトルートを確しますつまり宛先に到達するにはすべてのトラフィックをトンネル経由で送信する必要がありますすべてのトラフィックはトンネルを介して送信されるため認可ポリシーではトラフィックが内部ネットワークリソースへの通過を許可するか拒否するかを決定する必要があります
「off」に設定するとWebサイトへの標準Webトラフィックを含むすべてのトラフィックがトンネルを通過しますこのWebトラフィックを監視および制御することが的である場合はNetScalerを使してこれらの要求を外部プロキシに転送する必要がありますユーザーデバイスは内部ネットワークにアクセスするためにプロキシサーバーを介して接続することもできますCitrix GatewayはHTTPSSLFTPおよび SOCKSプロトコルをサポートしていますユーザー接続のプロキシサポートを有効にするにはCitrix Gatewayでこれらの設定を指定する必要がありますCitrix Gatewayのプロキシサーバーが使する IPアドレスとポートを指定できますプロキシサーバーは内部ネットワークへのすべてのそれ以降の接続のためのフォワードプロキシとして使されます
詳細については次のリンクを参照してください
bull ユーザ接続のプロキシサポートの有効化
bull 分割トンネル OFF
分割トンネルON
分割トンネリングを有効にするとCitrix Gatewayプラグインが Citrix Gatewayに不要なネットワークトラフィックを送信しないようにできます分割トンネルが有効な場合Citrix GatewayプラグインはCitrix Gatewayによって保護されたネットワーク(イントラネットアプリケーション)宛てのトラフィックのみを VPNトンネル経由で送信しますCitrix Gatewayプラグインは保護されていないネットワーク宛てのネットワークトラフィックをCitrix Gatewayに送信しませんCitrix Gatewayプラグインが起動するとCitrix Gatewayからイントラネットアプリケーションのリストを取得しクライアント PCのイントラネットアプリケーションタブで定義された各サブネットのルートを確しますCitrix Gatewayプラグインはユーザーデバイスから送信されたすべてのパケットを調べそのパケット内のアドレスをイントラネットアプリケーション(VPN接続の開始時に作成されたルーティングテーブル)のリストと較しますパケット内の宛先アドレスがイントラネットアプリケーションのいずれか内に
copy 1999-2020 Citrix Systems Inc All rights reserved 200
Citrix Gateway 130
ある場合Citrix Gatewayプラグインは VPNトンネルを介して Citrix Gatewayにパケットを送信します宛先アドレスが定義済みのイントラネットアプリケーションにない場合パケットは暗号化されずユーザーデバイスはクライアント PCで最初に定義されたデフォルトのルーティングを使してパケットを適切にルーティングします「分割トンネリングを有効にするとイントラネットアプリケーションはインターセプトされトンネルを介して送信されるネットワークトラフィックを定義します」
詳細については次のリンクを参照してください
bull 分割トンネル ON
リバース分割トンネル
Citrix Gatewayではリバース分割トンネリングもサポートされていますリバース分割トンネリングはCitrixGatewayが傍受しないネットワークトラフィックを定義します分割トンネリングを逆向に設定するとイントラネットアプリケーションはCitrix Gatewayがインターセプトしないネットワークトラフィックを定義しますリバース分割トンネリングを有効にすると内部 IPアドレス宛てのネットワークトラフィックはすべて VPNトンネルをバイパスしその他のトラフィックは Citrix Gatewayを通過しますリバース分割トンネリングはすべてのローカル LANトラフィックをログに記録するために使できますたとえばユーザーがホームワイヤレスネットワークを持っていてCitrix Gatewayプラグインを使してログオンしている場合Citrix Gatewayはワイヤレスネットワーク内のプリンターまたは他のデバイス宛てのネットワークトラフィックを傍受しません
分割トンネリングを設定するには
1 構成ユーティリティから[構成]タブ gt[Citrix Gateway]gt[ポリシー]gt[セッション]の順に選択します
2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします
3 [クライアントエクスペリエンス]タブで[分割トンネル]の横にある [グローバル上書き]を選択しオプションを選択して [OK]を 2回クリックします
分割トンネリングおよび認可の設定
Citrix Gatewayの展開を計画するときは分割トンネリングとデフォルトの承認アクションと承認ポリシーを考慮することが重要です
たとえばネットワークリソースへのアクセスを許可する認可ポリシーがあるとします分割トンネリングがONに設定されておりイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックを送信するように構成していないCitrix Gatewayにこのような構成がある場合リソースへのアクセスは許可されますがユーザーはリソースにアクセスできません
認証ポリシーによってネットワークリソースへのアクセスが拒否され分割トンネリングがオンに設定されていてイントラネットアプリケーションが Citrix Gateway経由でネットワークトラフィックをルーティングするように構成されている場合Citrix Gateway atewayプラグインは Citrix Gatewayにトラフィックを送信しますがリソースへのアクセスは拒否されます
copy 1999-2020 Citrix Systems Inc All rights reserved 201
Citrix Gateway 130
承認ポリシーの詳細については以下を参照してください
bull 認可の設定
bull 認可ポリシーの設定
bull デフォルトのグローバル認可の設定
内部ネットワークリソースへのネットワークアクセスを構成するには
1 構成ユーティリティで[構成]タブ gt[Citrix Gateway]gt[リソース]gt[イントラネットアプリケーション]の順に選択します
2 詳細ウィンドウで[追加]をクリックします
3 ネットワークアクセスを許可するためのパラメータをし[作成][閉じる]の順にクリックします
VPNユーザーのイントラネット IPを設定しない場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこから NetScalerが内部 LAN上にあるイントラネットアプリケーションリソースに新しいパケットを構築しますこの新しいパケットはSNIPからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットの送信元(この場合は SNIP)に返信しようとしますSNIPはパケットを取得し要求をったクライアントに応答を返送します詳細については次のリンクを参照してください
イントラネット IPなし
イントラネット IPが使されている場合ユーザーは Citrix Gateway VIPにトラフィックを送信しそこからNetScalerはクライアント IPをプールから構成された INTRANET IPのいずれかにマップしますNetScalerはイントラネット IPプールを所有するため内部ネットワークではこれらの範囲を使しないでくださいNetScalerはDHCPサーバーの場合と同様に着信 VPN接続にイントラネット IPを割り当てますNetScalerはユーザーがアクセスする LAN上にあるイントラネットアプリケーションへの新しいパケットを構築しますこの新しいパケットはイントラネット IPの 1つからイントラネットアプリケーションに向かって発信されますここからイントラネットアプリケーションはパケットを取得して処理しそのパケットのソース (INTRANET IP)に返信しようとしますこの場合応答パケットを NetScalerに戻す必要がありますNetScalerではイントラネット IPが配置されています(NetScalerはイントラネット IPサブネットを所有しています)このタスクを実するにはネットワーク管理者が INTRANET IPへのルートを設定しSNIPの 1つを指す必要があります(対称トラフィックを避けるためにパケットが最初にNetScalerから出るルートを保持する SNIPにトラフィックを戻すことをお勧めします)
詳細については次のリンクを参照してください
イントラネット IP
ネームサービス解決の設定
Citrix Gatewayのインストール時にCitrix Gatewayウィザードを使してネームサービスプロバイダーなどの追加設定を構成できますネームサービスプロバイダーは完全修飾ドメイン名 (FQDN)を IPアドレスに変換しますCitrix GatewayウィザードではDNSサーバーまたはWINSサーバーの構成DNS検索の優先度およびサーバーへの接続を再試する回数を設定できます
copy 1999-2020 Citrix Systems Inc All rights reserved 202
Citrix Gateway 130
Citrix Gatewayウィザードを実するとその時点で DNSサーバーを追加できますセッションプロファイルを使して追加の DNSサーバーとWINSサーバーを Citrix Gatewayに追加できますその後ウィザードで最初に使した名前解決サーバーとは別の名前解決サーバーに接続するようにユーザーとグループに指できます
Citrix Gatewayで追加の DNSサーバーを構成する前に名前解決のための DNSサーバーとして機能する仮想サーバーを作成します
セッションプロファイル内に DNSまたはWINSサーバーを追加するには
1 構成ユーティリティで[構成]タブ gt[Citrix Gateway]gt[ポリシー]gt[セッション]を選択します
2 詳細ペインの [プロファイル]タブでプロファイルを選択し[開く]をクリックします
3 [ネットワーク構成]タブで次のいずれかの操作をいます
bull DNSサーバーを構成するには[DNS仮想サーバー]の横にある [グローバル上書き]をクリックしサーバーを選択して [OK]をクリックします
bull WINSサーバーを構成するには[WINSサーバー IP]の横にある [グローバル上書き]をクリックしIPアドレスをして [OK]をクリックします
コピー完了Failed
ユーザーアクセス式の選択
March 26 2020
ユーザー接続を提供するように Citrix Gatewayを構成するには以下のシナリオを使します
bull Citrix Workspaceアプリを使したユーザー接続Citrix WorkspaceアプリはStoreFrontまたはWebInterfaceと連携してサーバーファーム内の公開アプリケーションまたは仮想デスクトップへのアクセスをユーザーに提供しますCitrix WorkspaceアプリはICAネットワークプロトコルを使してユーザー接続を確するソフトウェアですユーザーはユーザーデバイスに Citrix WorkspaceアプリをインストールしますユーザーがWindowsベースまたは Macベースのコンピューターに Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリはユーザー接続の Citrix Gatewayプラグインを含むすべてのプラグインをサブサバイサームしますCitrix GatewayはAndroid向け Citrix Workspaceアプリと iOS向け Citrix Workspaceアプリからの接続もサポートしていますユーザーはCitrix EndpointManagementStoreFrontまたはWeb Interfaceを使して仮想デスクトップおよびWindowsベースWebモバイルおよび SaaSアプリケーションに接続できます
bull Secure Hubとのユーザー接続ユーザーはEndpoint Managementで設定されたモバイルWebおよび SaaSアプリケーションに接続できますユーザーはモバイルデバイス(Androidまたは iOS)にSecure HubをインストールしますユーザーはSecure HubにログオンするとWorxMailとWorxWebとEndpoint Managementにインストールした他のモバイルアプリをインストールできますSecure
copy 1999-2020 Citrix Systems Inc All rights reserved 203
Citrix Gateway 130
HubSecure MailおよびWorxWebはマイクロ VPNテクノロジーを使して Citrix Gatewayを介して接続を確します
bull Citrix Gateway プラグインをスタンドアロンアプリケーションとして使するユーザー接続CitrixGatewayプラグインはユーザーがユーザーデバイスにダウンロードしてインストールできるソフトウェアですユーザーがプラグインを使してログオンするとユーザーはオフィスにいるかのようにセキュリティで保護されたネットワークのリソースにアクセスできますリソースには電メールサーバーファイル共有イントラネットWebサイトが含まれます
bull クライアントレスアクセスを使したユーザ接続クライアントレスアクセスによりユーザーはユーザーデバイスに Citrix Gatewayプラグインや Citrix Workspaceアプリなどのソフトウェアをインストールしなくても必要なアクセスが可能になりますクライアントレスアクセスではOutlook Web AccessやSharePointなどの限られたWebリソースCitrix Virtual Appsで公開されたアプリケーションCitrixVirtual Apps and Desktopsからの仮想デスクトップアクセスインターフェイスを介してセキュアなネットワーク内のファイル共有に接続できますユーザーはWebブラウザで Citrix GatewayのWebアドレスをして接続し選択ページでクライアントレスアクセスを選択します
bull 事前認証または認証後のスキャンが失敗した場合のユーザー接続このシナリオはアクセスシナリオのフォールバックと呼ばれますアクセスシナリオのフォールバックではユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合にCitrix Workspaceアプリを使してCitrix Gatewayプラグインから StoreFrontまたはWeb Interfaceにフォールバックできます
ユーザーが Citrix Workspaceアプリを使して Citrix Gatewayにログオンすると事前認証スキャンが機能しません認証後のスキャンはCitrix Gatewayが VPNトンネルを確するときに機能します
ユーザーは以下の法で Citrix Gatewayプラグインをダウンロードしてインストールできます
bull Webブラウザーを使して Citrix Gatewayに接続するbull Citrix Gateway接続を受けれるように構成された StoreFrontへの接続bull グループポリシーオブジェクト (GPO)を使してプラグインをインストールするbull Citrix ADCプラグインをMerchandising Serverアップロードする
コピー完了Failed
ユーザーアクセスの Citrix Gatewayプラグインの展開
March 26 2020
Citrix Gatewayにはユーザーアクセスの次のプラグインが付属しています
bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac
copy 1999-2020 Citrix Systems Inc All rights reserved 204
Citrix Gateway 130
bull Citrix Gateway plug-in for Java
ユーザーが Citrix Gatewayに初めてログオンするとWebページから Citrix GatewayプラグインをダウンロードしてインストールしますユーザーはWindowsベースのコンピューターの通知領域にある Citrix GatewayアイコンをクリックしてログオンしますMac OS Xコンピュータではユーザーは [Dock]メニューまたは [アプリケーション]メニューからログオンできますCitrix Gatewayを新しいソフトウェアバージョンにアップグレードするとユーザーデバイス上で Citrix Gatewayプラグインが動的に更新されます
Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できますJavaの Citrix Gatewayプラグインはほとんどの TCPベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを提供しますJavaの Citrix Gatewayプラグインを使するとユーザーが定義したネットワークリソースへのアクセスが制限されますJavaプラグインの詳細については[Java Citrix Gatewayプラグインを使した接続]を参照してください(ng-plugin-select-typeng-connect-ng-plugin-java-configure-tskhtml)
Citrix Workspaceアプリアップデーターを使した Citrix Gatewayプラグインの展開
またCitrix Workspaceアプリアップデーターを使してCitrix Gatewayプラグインを展開することもできますユーザーが Citrix Workspaceアプリ Updaterをインストールするとユーザーデバイスにインストールされているすべてのユーザープラグインが Citrix Workspaceアプリに動的に追加されますユーザーはCitrixWorkspaceアプリを使して Citrix GatewayプラグインにログオンしますそのためにはCitrix Workspaceアプリを開きCitrix Gatewayプラグインを右クリックし[ログオン]をクリックしますCitrix Gatewayアプライアンスを新しいバージョンにアップグレードするとCitrix Workspaceアプリ内の Citrix Gatewayプラグインが動的に新しいバージョンにアップグレードされます
MSIインストーラーパッケージを使した Citrix Gatewayプラグインの展開
Citrix GatewayプラグインはMicrosoft Active Directoryインフラストラクチャまたは標準のサードパーティ製MSI展開ツール(Windowsサーバーアップデートサービスなど)を使して展開できますWindowsインストーラーパッケージをサポートするツールを使する場合はMSIファイルをサポートする任意のツールでパッケージを展開できます次に展開ツールを使して適切なユーザーデバイスにソフトウェアを展開してインストールします
元化された展開ツールを使する利点は次のとおりです
bull セキュリティ要件を遵守する能たとえば管理者以外のユーザーのソフトウェアインストール権限を有効にせずにユーザーソフトウェアをインストールできます
bull ソフトウェアのバージョンを管理するソフトウェアの更新バージョンをすべてのユーザーに同時に展開できます
bull 拡張性元化された導戦略は追加のユーザーをサポートするように簡単に拡張できますbull 優れたユーザーエクスペリエンスこのプロセスにユーザーを関与させることなくインストール関連の問題を展開テストおよびトラブルシューティングできます
copy 1999-2020 Citrix Systems Inc All rights reserved 205
Citrix Gateway 130
ユーザーソフトウェアのインストールに対する管理制御が優先されユーザーデバイスへのアクセスがすぐに使できる場合はこのオプションをお勧めします
詳しくは「Active Directoryからの Citrix Gatewayプラグインの展開」を参照してください
展開するソフトウェアプラグインの決定
Citrix Gateway環境でユーザーデバイス上にソフトウェアプラグインを必要としない場合はクライアントレスアクセスが提供されているとなされますこのシナリオではユーザーはネットワークリソースにアクセスするのにWebブラウザーのみが必要ですただし部の機能ではユーザーのデバイスにプラグインソフトウェアが必要です
コピー完了Failed
ユーザーの Citrix Gatewayプラグインの選択
March 26 2020
Citrix Gatewayを構成するときにユーザーのログオン法を選択できますユーザーは次のいずれかのプラグインを使してログオンできます
bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Java
構成を完了するにはセッションポリシーを作成しポリシーをユーザーグループまたは仮想サーバーにバインドしますまたグローバル設定を構成してプラグインを有効にすることもできますグローバルプロファイルまたはセッションプロファイル内でプラグインの種類としてWindowsMac OS Xまたは Javaのいずれかを選択しますユーザーがログオンするとグローバルに定義されたプラグインまたはセッションプロファイルとポリシーで定義されたプラグインを受け取りますプラグインの種類ごとに個別のプロファイルを作成する必要がありますセッションプロファイルでは「WindowsMac OS X」または「Java」のいずれかを選択できますJavaに CitrixGatewayプラグインを構成する法についてはJava Citrix Gatewayプラグインを使した接続を参照してください
プラグインをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 206
Citrix Gateway 130
3 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [WindowsMac OS X]を選択し[OK]をクリックします
セッションプロファイルでWindowsまたはMac OS Xのプラグインタイプを設定するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 次のいずれかをいますbull 新しいセッションポリシーを作成する場合は詳細ウィンドウで [追加]をクリックしますbull 既存のポリシーを変更する場合はポリシーを選択して [開く]をクリックします
3 新しいプロファイルを作成するか既存のプロファイルを修正しますこれをうには次のいずれかの操作をいます
bull [プロファイルの要求]の横にある [新規]をクリックしますbull [プロファイルの要求]の横にある [変更]をクリックします
4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバルにオーバーライド]をクリックし[WindowsMac OS X]を選択します
5 次のいずれかをいますbull 新しいプロファイルを作成する場合は[Create]をクリックしポリシーダイアログボックスで式を設定し[Create]をクリックして[Close]をクリックします
bull 既存のプロファイルを修正する場合は選択後に [OK]を 2回クリックします
Windowsの Citrix Gatewayプラグインの傍受モードを設定するには
Windowsの Citrix Gatewayプラグインを構成する場合は傍受モードを構成して透過モードに設定する必要があります
1 構成ユーティリティで[構成]タブをクリックし[Citrix Gateway]gt[リソース]の順に展開し[イントラネットアプリケーション]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [透明]をクリックします5「プロトコル」で「ANY」を選択します6 [宛先の種類]で[IPアドレス]と [ネットマスク]を選択します7 に IPアドレスをします8 [ネットマスク]にサブネットマスクをし[作成][閉じる]の順にクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 207
Citrix Gateway 130
Windowsの Citrix Gatewayプラグインのインストール
March 26 2020
ユーザーが Citrix Gatewayにログオンするとユーザーデバイスに Citrix Gatewayプラグインをダウンロードしてインストールします
プラグインをインストールするにはユーザーがローカル管理者または Administratorsグループのメンバーである必要がありますこの制限は初回インストールにのみ適されますプラグインのアップグレードには管理者レベルのアクセスは必要ありません
ユーザーが Citrix Gatewayに接続して使できるようにするには次の情報を提供する必要があります
bull Citrix GatewayのWebアドレス(例httpsNetScalerGatewayFQDN)bull エンドポイントリソースとポリシーを構成している場合Citrix Gatewayプラグインを実するためのシステム要件
ユーザーデバイスの構成によっては次の情報も提供する必要があります
bull ユーザーがコンピュータ上でファイアウォールを実する場合アクセスを許可したリソースに対応する IPアドレスとの間のトラフィックがファイアウォールによってブロックされないようにファイアウォール設定を変更する必要がある場合がありますCitrix GatewayプラグインはWindows XPのインターネット接続ファイアウォールとWindows XPのサービスパック 2Windows VistaWindows 7Windows 8またはWindows 81のWindowsファイアウォールを動的に処理します
bull Citrix Gateway接続を介して FTPにトラフィックを送信するユーザーはFTPアプリケーションをパッシブ転送するように設定する必要がありますパッシブ転送とはリモートコンピュータが FTPサーバからリモートコンピュータへのデータ接続を確するのではなくFTPサーバへのデータ接続を確することを意味します
bull 接続全体で Xクライアントアプリケーションを実するユーザーはXManagerなどの Xサーバーを分のコンピューターで実する必要があります
bull Receiver for Windowsまたは Receiver for MacをインストールするユーザーはCitrix Gatewayプラグインを Receiverから起動するかWebブラウザを使して起動できますReceiverまたはWebブラウザを使して Citrix Gatewayプラグインを使してログオンする法についてユーザーに説明します
ユーザーはファイルやアプリケーションを組織のネットワークに対してローカルであるかのように操作するためユーザーを再トレーニングしたりアプリケーションを構成したりする必要はありません
セキュリティで保護された接続を初めて確するにはWebログオンページを使して Citrix GatewayにログオンしますWebアドレスの般的な形式はhttpscompanynamecomですユーザーがログオンするとCitrixGatewayプラグインをダウンロードしてコンピュータにインストールできます
Windowsの Citrix Gatewayプラグインをインストールするには
1 WebブラウザでCitrix GatewayのWebアドレスをします
copy 1999-2020 Citrix Systems Inc All rights reserved 208
Citrix Gateway 130
2 ユーザー名とパスワードをし[ログオン]をクリックします3 [ネットワークアクセス]を選択し[ダウンロード]をクリックします4 指に従ってプラグインをインストールします
ダウンロードが完了するとCitrix Gatewayプラグインが接続しWindowsベースのコンピューターの通知領域にメッセージが表されます
ユーザーが Webブラウザーを使せずに Citrix Gatewayプラグインを使して接続できるようにする場合はWindowsベースのコンピューターの通知領域で Citrix Gatewayアイコンを右クリックするか[スタート]メニューからプラグインを起動したときにログオンダイアログボックスを表するようにプラグインを構成できます
Windowsの Citrix Gatewayプラグインのログオンダイアログボックスを構成するには
ログオンダイアログボックスを使するように Citrix Gatewayプラグインを構成するにはこの順を完了するためにユーザーがログオンする必要があります
1 Windows ベースのコンピューターの通知領域で Citrix Gateway のアイコンを右クリックし[CitrixGatewayの構成]をクリックします
2 [プロファイル]タブをクリックし[プロファイルの変更]をクリックします3[オプション]タブで[Citrix Gatewayプラグインを使してログオンする]をクリックします注ユーザーが Receiver内から Citrix Gatewayの構成]ダイアログボックスを開いた場合[オプション]タブは使できません
コピー完了Failed
Active Directoryからの Citrix Gatewayプラグインの展開
March 26 2020
ユーザーデバイスに Citrix Gateway プラグインをインストールするための管理者権限がない場合はActiveDirectoryからユーザーにプラグインを展開できます
この法を使して Citrix Gatewayプラグインを展開する場合インストールプログラムを抽出しグループポリシーを使してプログラムを展開できますこのタイプの展開の般的な順は次のとおりです
bull MSIパッケージを抽出していますbull グループポリシーを使してプラグインを配布するbull 配布ポイントを作成する
copy 1999-2020 Citrix Systems Inc All rights reserved 209
Citrix Gateway 130
bull グループポリシーオブジェクトを使して Citrix Gatewayプラグインパッケージを割り当てます注Active Directory からの Citrix Gateway プラグインの配布はWindows XPWindows VistaWindows 7およびWindows 8でのみサポートされています
MSIパッケージは構成ユーティリティまたは CitrixのWebサイトからダウンロードできます
構成ユーティリティから Citrix GatewayプラグインのMSIパッケージをダウンロードするには
1 構成ユーティリティで[ダウンロード]をクリックします
2[Citrix Gatewayプラグイン]で[Windows Citrix Gatewayプラグインのダウンロード]をクリックしnsvpnc_setupexeファイルをWindowsサーバーに保存します
注[ファイルのダウンロード] ダイアログボックスが表されない場合はCtrl キーを押しながら [CitrixGateway Plugin for Windowsをダウンロード]リンクをクリックします
3 コマンドプロンプトでnsvpnc_setupexeを保存したフォルダに移動し次のようにします
setup c
これによりageemsiファイルが抽出されます
4 解凍したファイルをWindowsサーバ上のフォルダに保存します
ファイルを抽出した後Windows Serverのグループポリシーを使してファイルを配布します
配布を開始する前にグループポリシー管理コンソールをWindows Server 2003Windows Server 2008またはWindows Server 2012にインストールします詳細についてはWindowsのオンラインヘルプを参照してください
注グループポリシーを使して Citrix Gatewayプラグインを公開する場合はパッケージをユーザーデバイスに割り当てることをお勧めしますMSIパッケージはデバイスごとにインストールされるように設計されています
ソフトウェアを配布する前にMicrosoftインターネットセキュリティとアクセラレータ (ISA)サーバーなどの公開サーバー上のネットワーク共有に配布ポイントを作成します
配布ポイントを作成するには
1 管理者として公開サーバーにログオンします2 フォルダーを作成し配布パッケージにアクセスする必要があるすべてのアカウントの読み取りアクセス許可を持つネットワーク上で共有します
3 コマンドプロンプトで解凍したファイルを保存するフォルダに移動し「msiexec-a ageemsi」とします
copy 1999-2020 Citrix Systems Inc All rights reserved 210
Citrix Gateway 130
4[ネットワークの場所]画で[変更]をクリックしCitrix Gatewayプラグインの管理インストールを作成する共有フォルダーに移動します
5 [OK]をクリックし[インストール]をクリックします
展開したパッケージをネットワーク共有に配置した後Windowsのグループポリシーオブジェクトにパッケージを割り当てます
Citrix Gatewayプラグインを管理ソフトウェアパッケージとして正常に構成するとユーザーデバイスの次回起動時にプラグインが動的にインストールされます
注インストールパッケージがコンピュータに割り当てられている場合ユーザーはコンピュータを再起動する必要があります
インストールが開始されるとCitrix Gatewayプラグインがインストール中であることをすメッセージが表されます
コピー完了Failed
Active Directoryを使した Citrix Gatewayプラグインのアップグレードと削除
March 26 2020
Citrix Gatewayプラグインの各リリースはパッチとしてではなく完全な製品インストールとしてパッケージ化されていますユーザーがログオンしCitrix Gatewayプラグインが新しいバージョンのプラグインを検出するとプラグインは動的にアップグレードされますまたActive Directoryを使してアップグレードするためにCitrix Gatewayプラグインを展開することもできます
これをうにはCitrix Gatewayプラグインの新しい配布ポイントを作成します新しいグループポリシーオブジェクトを作成し新しいバージョンのプラグインを割り当てます次に新しいパッケージと既存のパッケージ間のリンクを作成しますリンクを作成するとCitrix Gatewayプラグインが更新されます
ユーザーデバイスからの Citrix Gatewayプラグインの削除
ユーザーデバイスから Citrix Gatewayプラグインを削除するにはグループポリシーオブジェクトエディターから割り当てられたパッケージを削除します
ユーザーデバイスからプラグインを削除するとプラグインがアンインストール中であることをすメッセージが表されます
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 211
Citrix Gateway 130
Active Directoryを使した Citrix Gatewayプラグインのインストールのトラブルシューティング
March 26 2020
ユーザーデバイスの起動時に割り当てられたパッケージのインストールに失敗するとアプリケーションイベントログに次の警告が表されることがあります
ソフトウェアのインストール設定に変更を適できませんでした管理者がグループポリシーのログオンの最適化を有効にしているためソフトウェアのインストールポリシーアプリケーションは次のログオンまで遅れていますエラーは次のとおりですグループポリシーフレームワークは同期フォアグラウンドポリシーの更新で拡張を呼び出す必要があります
このエラーはWindows XPの速ログオン最適化によって発しますWindows XPではグループポリシーオブジェクトの処理を含むすべてのネットワークコンポーネントをオペレーティングシステムが初期化する前にログオンできますポリシーによっては有効にするには複数の再起動が必要になる場合がありますこの問題を解決するにはActive Directoryで速ログオン最適化を無効にします
管理対象ソフトウェアのインストールに関するその他の問題のトラブルシューティングをうにはグループポリシーを使してWindowsインストーラログを有効にすることをお勧めします
コピー完了Failed
Java Citrix Gatewayプラグインを使した接続
March 26 2020
Javaの Citrix GatewayプラグインはJavaをサポートする任意のユーザーデバイスで使できます
注 Javaランタイム環境(JRE)バージョン 142から最新バージョンの JREまで次のオペレーティングシステムおよびWebブラウザが必要です
bull Mac OS Xbull Linuxbull Windows XP(すべてのバージョン)Windows VistaWindows 7Windows 8bull Internet Explorerbull Firefoxbull ウェブブラウザの最新バージョンに Safari 12まで
Java の Citrix Gateway プラグインはほとんどの TCP ベースのアプリケーションをサポートしますがWindowsの Citrix GatewayプラグインまたはMac OS Xの Citrix Gatewayプラグインの部の機能のみを
copy 1999-2020 Citrix Systems Inc All rights reserved 212
Citrix Gateway 130
提供します
Java Citrix Gatewayプラグインを使するためにユーザーデバイスに対する管理者権限は必要ありませんセキュリティ上の理由から使するユーザーデバイスに関係なく特定の仮想サーバーグループまたはユーザーに対してこのプラグインバージョンを使する必要がある場合があります
ユーザーデバイスに Citrix Gateway wayプラグインをインストールするように Citrix Gatewayを構成するにはセッションポリシーを構成し仮想サーバーグループまたはユーザーにバインドします
ユーザーがWindows 7を実しているコンピューターからログオンした場合Internet Explorerでプロキシサーバーの情報は動的には設定されませんユーザーはWindows 7を実しているコンピューターでプロキシサーバーを動で構成する必要があります
Javaに Citrix Gatewayプラグインを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウで[プロファイル]タブをクリックします3 セッションプロファイルを選択し[開く]をクリックします4 [クライアントエクスペリエンス]タブで[プラグインの種類]の横にある [グローバル上書き]をクリックし
[Java]を選択して [OK]をクリックします
インターセプションモードを設定するには
セッションポリシーを作成したらイントラネットアプリケーションを作成してCitrix Gatewayプラグイン forJavaでログオンするユーザーの傍受モードを定義します
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[リソース]の順に展開し[イントラネットアプリケーション]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]ボックスに名前をします4 [プロキシ]をクリックします5 [宛先 IPアドレス]に IPアドレスをします6 [宛先ポート]にポート番号をします7 [送信元 IPアドレス]に IPアドレスをします8 [ソースポート]にポート番号をし[作成][閉じる]の順にクリックします
送信元 IPアドレスとポート番号を指定しない場合Citrix Gatewayでは IPアドレスに 127001ポートに 0が動的に使されます
copy 1999-2020 Citrix Systems Inc All rights reserved 213
Citrix Gateway 130
WindowsベースのコンピュータでのHOSTSファイルの更新
ユーザーがWindows VistaWindows 7またはWindows 8を実しているコンピューターで Javaの CitrixGatewayプラグインを使してログオンするとTCPイントラネットアプリケーションのネットワークトラフィックはトンネリングされませんHOSTSファイルはVistaおよびWindows 7を実しているコンピューターでは動的に更新されませんイントラネットアプリケーションを HOSTSファイルに動で追加する必要があります
Windowsベースのコンピュータではメモ帳などのテキストエディタでHOSTSファイルを編集できますHOSTSファイルをメモ帳で編集する場合は管理者としてメモ帳を実する必要がありますJava Citrix Gatewayプラグインのイントラネットアプリケーションのマッピングエントリを追加しファイルを保存します
コピー完了Failed
Citrix Gatewayプラグインと Citrix Workspaceアプリの統合
April 9 2020
Citrix GatewayはCitrix Workspaceアプリをサポートしています オーケストレーションされたシステムは次のコンポーネントで構成されています
bull Windows向け Citrix Workspaceアプリ 34以降bull Mac向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull StoreFront 21以降bull アプリケーションコントローラー 28以降または Citrix Endpoint Management 10bull シトリックスのWebサイトでホストされている Citrixアップデートサービス
Citrix製品との Citrix Gatewayの互換性について詳しくは「Citrix製品との互換性」を参照してください
ユーザーがアプライアンスにログオンしたときにCitrix Gateway プラグインによって Web ブラウザが開きCitrix WorkspaceアプリホームページにシングルサインオンできるようCitrix Gatewayを構成できますユーザーはホームページから Citrix Workspaceアプリをダウンロードできます
ユーザーが Citrix Workspaceアプリでログオンするとユーザー接続は次の法で Citrix Gateway経由でルーティングできます
bull Endpoint Managementへのダイレクトbull StoreFrontに直接bull Endpoint Managementで MDXモバイルアプリを構成しない場合StoreFrontと Endpoint Manage-
ment
copy 1999-2020 Citrix Systems Inc All rights reserved 214
Citrix Gateway 130
bull Endpoint Management で MDX モバイルアプリを構成する場合はEndpoint Management からStoreFrontへ
注 Endpoint Management に直接ルーティングされる接続はAppController 20AppController 25AppController 26アプリケーションコントローラー 28およびアプリケーションコントローラー 29でのみサポートされますAppController 11をネットワークに展開している場合ユーザー接続は StoreFront経由でルーティングする必要があります
コピー完了Failed
ユーザー接続と Citrix Workspaceアプリの仕組み
March 26 2020
ユーザーはCitrix Workspaceアプリから次のアプリデスクトップおよびデータに接続できます
bull StoreFrontおよびWeb Interfaceで公開されたWindowsベースのアプリケーションおよび仮想デスクトップ
bull Citrix Endpoint Managementを介してアクセスされる ShareFileデータ
ユーザーは次の Citrix Workspaceアプリのいずれかを使してログオンできます
bull Web向け Citrix Workspaceアプリbull Windows向け Citrix Workspaceアプリbull Mac向け Citrix Workspaceアプリbull iOS向け Citrix Workspaceアプリbull Android向け Citrix Workspaceアプリ
ユーザーはWebブラウザーまたはユーザーデバイスの Citrix Workspaceアプリのアイコンを使してWebCitrix Workspaceアプリでログオンできます
ユーザーが Citrix Workspaceアプリの任意のバージョンでログオンするとアプリケーションShareFileデータおよびデスクトップがブラウザまたは Citrix Workspaceアプリのウィンドウに表されます
コピー完了Failed
Citrix Workspaceアプリへの Citrix Gatewayプラグインの追加
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 215
Citrix Gateway 130
ユーザーデバイスに Citrix Workspaceアプリをインストールするとユーザーは Citrix Workspaceアプリを介して Citrix Gatewayプラグインを使してログオンできますCitrix Gatewayプラグインを MerchandisingServerアップロードするとプラグインがユーザーデバイスの Citrix Workspaceアプリにダウンロードされてインストールされますユーザーが Citrix Workspaceアプリを初めてインストールするときに Citrix Gatewayプラグインをインストールしている場合プラグインは動的に Citrix Workspaceアプリに追加されます
ユーザーデバイスへのプラグインの配信
プラグインをユーザーデバイスに配信するにはMerchandising Serverに Citrix Gatewayプラグインをアップロードして構成する必要がありますユーザーが選択するとプラグインはMerchandising Serverからダウンロードおよびインストールされます
ユーザーが Citrix Gatewayプラグインをインストールした後Citrix WorkspaceアプリをインストールするとCitrix Workspaceアプリのインストールが完了するとCitrix Workspaceアプリのメニューに Citrix Gatewayプラグインが表されます
ユーザーが Windows の Citrix Workspace アプリを持っている場合ユーザーは Windows の CitrixWorkspaceアプリアップデーターをインストールできますこれはプラグインを更新しMerchandising Serverと通信するオプションのコンポーネントですCitrix WorkspaceアプリにはCitrix Gatewayプラグインを含め配信可能なすべてのプラグインが含まれていますWindows Citrix Workspaceアプリアップデーターの詳細についてはCitrix eDocsライブラリにある Citrix Workspaceアプリとプラグインのセクションを参照してください
Citrix Workspaceアプリを使した Citrix Gatewayへの接続
ユーザーがWindowsの Citrix Workspaceアプリに接続する場合通知領域で Citrix Workspaceアプリのアイコンを右クリックし[環境設定]をクリックして[プラグインの状態]をクリックしますCitrix Gatewayプラグインがユーザーデバイスにインストールされている場合ユーザーは Citrix Gatewayプラグインを右クリックし[ログオン]をクリックします認証が成功するとCitrix Gatewayプラグインは Citrix Gatewayへの接続を確し完全な VPNトンネルを確します
ユーザーはWebブラウザを使してログオンすることもできますユーザーはCitrix Gatewayの完全修飾ドメイン名(FQDN)をしログオンしますCitrix Gatewayが接続を確するとユーザーは Citrix Workspaceアプリの[環境設定]gt[プラグインのステータス]パネルで接続を確認できます
Citrix GatewayのWebアドレスはMerchandising Serverで構成されたメタデータの部でありユーザーはアドレスを変更できませんCitrix GatewayプラグインによりCitrix Gatewayへのログオンが開始されますユーザーデバイスにインストールされているWindowsの Citrix Gatewayプラグインのバージョンが CitrixGatewayアプライアンスのバージョンと異なる場合はユーザーがログオンしたときにプラグインが動的にダウングレードまたはアップグレードされますMac OS Xの Citrix Gatewayプラグインは動的にダウングレードされません以前のバージョンのプラグインをMacコンピュータにインストールするにはまず Citrix GatewayプラグインをアンインストールしてからCitrix Gatewayから以前のバージョンをダウンロードする必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 216
Citrix Gateway 130
Citrix Gatewayプラグインのアップグレードまたはダウングレード
Citrix Gatewayプラグインのアップグレードまたはダウングレード中にアプライアンスは正しいバージョンのプラグインを削除ダウンロードインストールしますユーザーはCitrix Workspaceアプリの[環境設定]gt[プラグインのステータス]パネルでプラグインのエントリを確認することで新しいインストールを確認できます新しくインストールした Citrix GatewayプラグインのバージョンはMerchandising Serverで設定したバージョンとは異なる場合があります
Citrix GatewayプラグインをMerchandising Serverに追加する
またCitrix Gatewayプラグインの配信をMerchandising Serverで構成することもできますマーチャンダイジングサーバーではCitrix GatewayプラグインのMSIインストールパッケージをアップロードできるWeb構成インターフェイスが提供されますMerchandising Serverでは次の操作を実できます
bull Citrix Gatewayプラグインのバージョンとメタデータを指定します
bull Citrix Gatewayアプライアンスの 1つまたは複数のWebアドレスを構成します
bull オペレーティングシステムまたはその他のパラメータに基づいて特定のルールを関連付けます
ユーザーはMerchandising Serverで構成されたサーバーのリストからサーバーを追加または削除することはできませんがCitrix Workspaceアプリのネットワーク設定パネルの構成済みリストから別のサーバーを選択することはできます
アクセスシナリオのフォールバックまたは負荷分散を使している場合はCitrix GatewayのWebアドレスの固定セットを構成しMerchandising Serverデフォルトのアドレスとして指定することができますユーザーはCitrix Workspaceアプリのメニューから[ログオン]を選択するとデフォルトのサーバーに接続しますユーザーはCitrix Workspaceアプリの[環境設定]gt[ネットワーク設定]パネルを使して表されたリストから別のアドレスを選択できます
ユーザーは引き続きWebブラウザーを使して任意の Citrix GatewayにログオンできますユーザーがWebブラウザーを使してログオンするとCitrix Gatewayプラグインは動的に Citrix Gatewayのバージョンにアップグレードまたはダウングレードされます
以下にCitrix GatewayプラグインをMerchandising Serverに追加する般的な順をします具体的な構成順についてはCitrix eDocsライブラリの「テクノロジー」セクションの「Merchandising Server」を参照してください
bull Merchandising Server管理コンソールの [全般]タブで設定を構成します
bull Citrix GatewayプラグインをMerchandising Serverに追加します
bull ターゲットプラットフォームに適したプラグインバージョンを選択しますCitrix Gatewayプラグインを商品配信に追加ページにプラグインを表するにはMerchandising Serverメインページに追加する必要があります
bull Citrix Gatewayプラグインの配信を構成します
copy 1999-2020 Citrix Systems Inc All rights reserved 217
Citrix Gateway 130
bull Citrix Gatewayの Webアドレスを識別する場所のわかりやすい名前を使しますこの名前はCitrixWorkspaceアプリに表されますCitrix Gatewayアプライアンスを追加することもできます
bull 認証の種類を指定しユーザー名パスワード暗証番号(PIN)などCitrix Workspaceアプリのログオンダイアログボックスに表される特定のラベルをカスタマイズします
bull 配送のルールを追加します
bull [配信へのルールの追加]ページにルールを表する場合はルールを作成する必要があります
bull 配送のスケジュールを設定します
コピー完了Failed
Citrix Workspaceアプリのアイコンの切り離し
March 26 2020
Citrix Workspaceアプリと統合されたCitrix Gatewayプラグインを使してCitrix Virtual Apps and Desktops展開を構成するとVPNに接続しているユーザーにはプラグインのアイコンが表されませんCitrix Gatewayのプラグインアイコンは通常Windowsのシステムトレイまたは Mac OS X Finderのメニューバーにありますこのアイコンはプラグインの設定とコントロールへのインタフェースですWindowsユーザーの場合CitrixWorkspaceアプリと Citrix Gatewayプラグインが統合されている場合Citrix Workspaceアプリの[バージョン情報]ダイアログにCitrix Gatewayプラグインのコントロールが表されますMac OS Xユーザーの場合統合後に使できる Citrix Gatewayプラグインのコントロールはありません
部の統合デプロイメントでは基盤となる機能の統合を維持しながらプラグインのコントロールを公開する必要がある場合がありますこれをうには以下の CLIコマンドまたは Citrix ADC構成ユーティリティータスクを使してVPNクライアントのアイコン統合を切り替えます
コマンドラインを使したアイコン統合の設定
次のコマンドを使します
1 set vpn parameter [-iconWithReceiver (ONOFF)]
構成ユーティリティを使したアイコン統合の設定
Citrix ADC構成ユーティリティを使して次の操作をいます
1[構成]タブでCitrix Gateway gt[グローバル設定]に移動します
copy 1999-2020 Citrix Systems Inc All rights reserved 218
Citrix Gateway 130
2 [グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します
3 [詳細設定]をクリックします
4[Citrix Workspaceアプリで VPNプラグインアイコンを表する]を選択します
コピー完了Failed
ICA接続の IPv6の構成
March 26 2020
Citrix Gateway はICA 接続の IPv6 アドレスをサポートしますIPv6 を使した Web Interface またはStoreFrontへの接続はIPv4接続と同じように機能しますユーザーが Citrix GatewayのWebアドレスを使して接続するとCitrix GatewayはWeb Interfaceまたは StoreFrontへの接続をプロキシします
1つの DMZに展開された Citrix Gatewayまたはダブルホップ DMZに展開された Citrix Gatewayに IPv6を構成できます
Citrix Gatewayで IPv6を有効にするにはコマンドラインを使します次のガイドラインを使できます
bull アプライアンスで IPv6を有効にします
bull サブネット IPアドレスを設定します
bull DNS解決の順序を設定します
bull Web Interfaceまたは StoreFrontのWebアドレスを設定します
bull Secure Ticket Authority(STA)を Citrix Gatewayにバインドします
デフォルトではマッピング IPアドレスは IPv6アドレスをサポートしませんユーザー通信を内部ネットワークにルーティングするにはサブネット IPアドレスを作成しサブネット IPアドレスを使するように Citrix Gatewayを設定する必要があります
ネットワーク内に複数の IPv6サブネットを展開する場合はCitrix Gatewayでネットワーク上の各サブネットに対して複数の IPv6サブネット IPアドレスを作成しますネットワークルーティングはサブネット IPアドレスを使して IPv6パケットをそれぞれのサブネットに送信します
ICAプロキシに IPv6を構成するには
ICAプロキシに IPv6を構成するには
1 PuTTYなどのセキュアシェル(SSH)接続を使してCitrix Gatewayにログオンします
2 コマンドプロンプトでns機能を有効にする IPv6PTとしますこれによりIPv6が有効になります
copy 1999-2020 Citrix Systems Inc All rights reserved 219
Citrix Gateway 130
3 コマンドプロンプトでnsモードを有効にする USNIPとしますこれによりサブネット IPアドレスの使が可能になります
4 コマンドプロンプトで次のようにしますset dns parameter ndashresolutionOrder AAAA-ThenAQuery AThenAAAAQuery OnlyAAAAQuery OnlyAQuery
5 コマンドプロンプトで「set vpn parameter -wihome httpXD_domainCitrixStoreWeb」とします
ここでltXD_domaingtは StoreFrontのドメイン名または IPアドレスです
たとえばset vpn parameter -wihome httpstorefrontdomaincomCitrixStoreWeb
または
set vpn parameter -wihome http[100020003000]CitrixStoreWeb
IPv6アドレスを使してこのパラメータを構成する場合はIPアドレスを括弧で囲む必要があります
コピー完了Failed
CitrixCitrix Gatewayでの Citrix Workspaceアプリのホームページの構成
March 26 2020
Citrix Workspaceアプリのホームページはグローバルに構成することもセッションプロファイルの部として構成することもできますCitrix Workspace Gateway経由で StoreFrontを認識しないWebおよびそれ以前のバージョンの Citrix Workspaceアプリに Citrix Workspaceアプリを構成する場合は2つのセッションプロファイルを個別に作成する必要がありますCitrix Workspaceアプリのホームページにはユーザーが正常にログオンできるように各プロファイルの正しいWebアドレスが必要です
Citrix Gatewayを介して StoreFrontを認識する Citrix Workspaceアプリの場合Web Citrix Workspaceアプリと Citrix Workspaceアプリでプロファイルを共有できますただしWeb Citrix Workspaceアプリにセッションプロファイルを構成し他のすべての Citrix Workspaceアプリに個別のセッションプロファイルを構成することをお勧めします
Citrix Workspaceアプリのホームページをグローバルに設定するには
Citrix Workspaceアプリのホームページをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 220
Citrix Gateway 130
3[グローバル Citrix Gateway設定]ダイアログボックスで[公開アプリケーション]タブをクリックします
4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「OK」をクリックします
セッションプロファイルで Citrix Workspaceアプリのホームページを構成するには
セッションプロファイルで Citrix Workspaceアプリのホームページを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [プロファイル]タブで[追加]をクリックします
3 Citrix Gatewayセッションプロファイルの作成]ダイアログボックスの[公開アプリケーション]タブで[Citrix Receiverのホームページ]の横にある[グローバル上書き]をクリックします
4 Citrix WorkspaceアプリのホームページでCitrix WorkspaceアプリまたはWebホームページの CitrixWorkspaceアプリのWebアドレスをし「作成」をクリックします
コピー完了Failed
ログオンページへの Receiverテーマの適
March 26 2020
構成ユーティリティを使してCitrix Gatewayのログオンページに Receiverテーマを適できますReceiverテーマデフォルトテーマまたは作成したカスタムテーマを切り替えることができますこの機能は以下の CitrixGatewayバージョンで使できます
bull Citrix Gateway 101以降のバージョンです
bull Access Gateway 10ビルド 716014e
bull Access Gateway 10ビルド 735002e
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします
3[グローバル Citrix Gateway設定]ダイアログボックスで[クライアントエクスペリエンス]タブをクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 221
Citrix Gateway 130
4 [UIテーマ]の横にある [緑の泡]をクリックし[OK]をクリックします
このコマンドは元のログオンページを Receiverテーマで上書きします注別のテーマを適した後キャッシュされたページが表されないようにブラウザのキャッシュをクリアするようにユーザーに助します
コピー完了Failed
ログオンページのカスタムテーマの作成
March 26 2020
構成ユーティリティを使してCitrix Gatewayのログオンページのカスタムテーマを作成できますデフォルトのテーマを使することもCitrix Workspaceアプリのテーマを使することもできますログオンページにカスタムテーマを適する場合はCitrix Gatewayコマンドラインを使してテーマを作成して展開します次に構成ユーティリティを使してカスタムテーマページを設定します
カスタムテーマページはCitrix Gatewayのグローバル設定を使して構成します
この機能は以下のバージョンの Citrix Gatewayで使できます
bull Citrix Gateway 101
bull Access Gateway 10ビルド 735002e (アプリケーションコントローラーのバージョン 2526または28でこの機能を使するにはビルド 716104eの後にこのビルドをインストールする必要があります)
bull Access Gateway 10ビルド 716104e
コマンドラインを使してカスタムテーマを作成して展開する
コマンドラインを使してカスタムテーマを作成して展開するには
1 Citrix Gatewayのコマンドラインにログオンします
2 コマンドプロンプトで shellとします
3 コマンドプロンプトでmkdir varns_gui_custom cd netscaler tar -cvzf varns_gui_customcustomthemetargzns_guiとします
4 構成ユーティリティを使してカスタムテーマに切り替えvarns_gui_customns_guivpnでカスタマイズを変更します次の操作を実できます
bull cssctxauthenticationcssファイルを編集します
bull カスタムロゴを varns_gui_customns_guivpnメディアフォルダにコピーします注 WinSCPを使してファイルを転送できます
copy 1999-2020 Citrix Systems Inc All rights reserved 222
Citrix Gateway 130
5 複数の Citrix Gatewayアプライアンスがある場合はすべてのアプライアンスに対して順 3と 4を繰り返します
コピー完了Failed
ユーザーポータルのカスタマイズ
March 26 2020
VPNユーザーにポータルを提供する Citrix Gatewayのインストールにはポータルのテーマを選択してポータルページの外観をカスタマイズするオプションがあります意されているテーマのセットから選択するかテーマをテンプレートとして使してカスタマイズまたはブランド化されたポータルを構築できます構成ユーティリティーを使して新しいロゴ背景画像カスタムボックスラベルおよび CSSベースのポータルデザインのさまざまな属性を追加することでテーマを変更できます組み込みのポータルテーマには英語フランス語スペイン語ドイツ語本語の 5つの語のコンテンツが含まれますWebブラウザによって報告されるロケールに応じて異なるユーザーが異なる語で提供されます
VPNユーザがサインインを許可する前に VPNユーザに提されるカスタムのエンドユーザー使許諾契約(EULA)を作成するオプションがありますEULA機能はロケール固有のバージョンの EULAをサポートしますEULAはWebブラウザで報告されたロケールに基づいてユーザに提されます
ポータルテーマと EULA構成の両はVPN仮想サーバーおよび VPNグローバルレベルで個別にバインドできます
重要 Citrixではコードの変更が必要なカスタマイズはサポートされておらずデフォルトのテーマに戻す以外の問題を解決するためのサポートも提供していません
ポータルテーマの適
デフォルトではVPNポータルは Caxtonテーマを使するように構成されていますCaxtonテーマの名前はDefaultです
Caxton Theme
Citrix Gatewayにはポータルに適できる 2つのテーマがありますグリーンバブルと X1のテーマです
copy 1999-2020 Citrix Systems Inc All rights reserved 223
Citrix Gateway 130
Greenbubble Theme
X1 Theme
提供されたテーマはVPN仮想サーバに直接適することもグローバル VPNバインディングとして適することもできます
VPN仮想サーバーへのポータルテーマのバインド
ポータルテーマは既存の仮想サーバー上または新しい仮想サーバーの作成時にバインドできます
コマンドラインを使してポータルテーマを既存の VPN仮想サーバーにバインドする
コマンドプロンプトで「」とします
1 bind vpn vserver ltnamegt - portaltheme ltnamegt
構成ユーティリティーを使したポータルテーマの既存の VPN仮想サーバーへのバインド
1[構成]タブで[Citrix Gateway]に移動し[仮想サーバー]をクリックします2 仮想サーバーを選択し[編集]をクリックします3 ポータルテーマがまだ仮想サーバーにバインドされていない場合は詳細ペインの [詳細設定]の [ポータルテーマ]をクリックしますそれ以外の場合[ポータルのテーマ]オプションは詳細ペインで既に展開されています
4 詳細ペインの [ポータルテーマ]で[ポータルテーマなし]をクリックして [ポータルテーマバインディング]ウィンドウを展開します
5 [クリックして選択]をクリックします6 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします7[バインド]をクリックします8[完了]をクリックします
VPN仮想サーバーを作成する場合はVPN仮想サーバーの編集ペインで上記の順 3から開始してポータルのテーマをバインドできます
VPNグローバルへのポータルテーマのバインド
コマンドラインを使したポータルテーマの VPNグローバルスコープへのバインド
コマンドプロンプトで「」とします
copy 1999-2020 Citrix Systems Inc All rights reserved 224
Citrix Gateway 130
1 bind vpn global portaltheme ltnamegt
構成ユーティリティーを使したポータルテーマの VPNグローバルスコープへのバインド
1[構成]タブで[Citrix Gatewayに移動します2 メインの詳細ペインで[Citrix Gatewayポリシーマネージャー]をクリックします3「+」アイコンをクリックします4「バインドポイント」リストで「リソース」を選択します5「接続タイプ」リストで「ポータルテーマ」を選択します6[続]をクリックします7「バインドポイント」画で「バインドの追加」をクリックします8 [クリックして選択]をクリックします9 [ポータルテーマ]ウィンドウでテーマ名をクリックし[選択]をクリックします
10[バインド]をクリックします11[閉じる]をクリックします12 [完了]をクリックします
ヒント連の変更が完了したらコマンドラインで「save ns config」コマンドを使するか構成ユーティリティの保存アイコンをクリックして変更内容が Citrix ADC構成ファイルに保存されます
ポータルテーマの作成
カスタムポータルデザインを作成するには提供されているポータルテーマの 1つをテンプレートとして使します選択したテンプレートテーマのコピーが指定した名前で作成されます
在庫ポータルテーマのカスタムポータルテーマのテンプレートとしての使
ポータルテーマを作成するには構成ユーティリティーまたはコマンドラインを使してテーマエンティティーを作成しますただし詳細なカスタマイズコントロールは構成ユーティリティ内でのみ使できます
コマンドラインを使したポータルテーマの作成
コマンドプロンプトで「」とします
1 add portaltheme ltnamegt basetheme ltnamegt
copy 1999-2020 Citrix Systems Inc All rights reserved 225
Citrix Gateway 130
構成ユーティリティーを使したポータルテーマの作成
1[構成]タブで[Citrix Gateway]に移動し[ポータルのテーマ]をクリックします2 メインの詳細ウィンドウで[追加]をクリックします3 テーマの名前をしテンプレートリストからテンプレートを選択し[ OK]をクリックします4 この時点でポータルテーマ編集ウィンドウの初回ビューが表されます[OK]をクリックして終了します
最初のビューを使して新しいポータルテーマのカスタマイズに進むことができますただしポータルテーマの編集を続する前にインターフェースに関する次のポータルテーマのカスタマイズセクションおよびインターフェース内のカスタマイズ可能なポータル属性のポップアップの説明をお読みください
新しいテーマが作成されたらVPN仮想サーバーへのポータルテーマのバインドまたはVPNグローバルへのポータルテーマのバインドの説明に従ってバインドできます新しいテーマは作成後またはカスタマイズ完了後すぐにバインドできます
ポータルテーマのカスタマイズ
ポータルテーマをカスタマイズするには構成ユーティリティーのポータルテーマインターフェースを使します最良の結果を得るにはこのインタフェースを使する前にこのインタフェースのさまざまな要素を理解しておく必要があります
ポータルテーマインタフェースについて
Citrix Gateway構成ユーティリティでポータルのテーマインターフェイスを開くには[構成]タブで[CitrixGateway]に移動し[ポータルのテーマ]をクリックします「ポータルテーマの作成」の説明に従ってテーマを作成するかメインの詳細ペインで既存のテーマを選択して「編集」をクリックします
ポータルテーマのカスタマイズページにはポータルデザインを変更するための 4つの主要なコンポーネントペインがあります「ポータルテーマ」ペイン「ルックアンドフィール」ペイン「詳細設定」ペインおよび「語」ペインです
ポータルテーマインタフェース
ページ上部の「ポータルテーマ」ペインには編集にロードされたテーマとそれが基づいているテンプレートテーマがされますここでの表オプションを使するとユーザー接続で VPNにアクセスすることなくカスタマイズ内容を表できます表オプションを使するにはテーマを VPN仮想サーバにバインドする必要がありますバインディングは表ウィンドウを閉じた後も有効です
ページの中央にある [ルックampフィール]ペインでヘッダー背景と画像フォントのプロパティロゴなどテーマの全般プロパティを構成しますこのペインが編集モードの場合属性凡例を使してポータルページでLook amp Feel属性が使される場所に関するガイダンスを使できます
copy 1999-2020 Citrix Systems Inc All rights reserved 226
Citrix Gateway 130
[詳細設定]ペインには個々のポータルページの画上のコンテンツコントロールが表されます編集にページのコンテンツを読み込むには覧表されているページの 1つをクリックしますページコントロールは他の中央のペインの下に表されますページが変更されていない限りポータルテーマの編集をっても[詳細設定]ペインでページが折りたたまれたままになります
[語]ペインでは[詳細設定]ペインで編集対象のページを選択したときにロードする語を選択できますデフォルトでは英語のページが読み込まれます
カスタマイズ可能なページ属性のタイプ
ポータルテーマをカスタマイズする場合ポータルテーマインタフェースで属性の範囲を変更できます編集可能なテキストとサポートされている語に加えてポータルのレイアウトのすべてのグラフィック要素をニーズに合わせて調整できます各ページ要素タイプには変更する前に考慮すべきパラメータまたは推奨事項があります
ポータルデザインではページの背景ハイライトタイトルと本コンテンツのテキストボタンコントロールホバー応答などの属性のを指定しますカラー属性をカスタマイズするには選択した項のカラー値を直接するか付属のカラーピッカーを使してカラー値を成しますこのインターフェイスでは有効なHTMLカラー値を RGBA形式HTMLの 16進数トリプレット形式および X11カラー名でできますカラーピッカーはアトリビュートのフィールドの横にあるカラーボックスをクリックすることで適可能なカラーアトリビュートに対してアクセスできます
カラーピッカー
フォント
フォントのに加えて部のページ属性のフォントサイズを変更できますこれらの属性ごとにポータルの設計によって決定される各属性で使できるサイズがメニューに表されます
画像
画像の場合各コントロールで使できるポップアップの説明に推奨サイズやその他の要件が表されます説明はページ上の属性の場所とその機能によって異なりますPNGまたは JPEGイメージファイル形式を使できますアップロードするイメージを選択するにはアイテムのファイル名の下にあるチェックボックスをオンにしローカルコンピュータのドライブ上のイメージがある場所を参照します
ラベル
[詳細設定]セクションで変更する特定のポータルページのテキストを選択できますページの既定の英語のテキストを変更しても他の語のテキストは再翻訳されません代替語のページコンテンツは利便性のために提供されていますがカスタマイズについては動で更新する必要がありますページの別の語バージョンを編集するには開いているポータルページの [ X ]アイコンをクリックしてウィンドウが開いている場合はまずウィンドウを折りたたみます次に[語]ペインで語を選択し[ OK ]をクリックします[詳細設定]ウィンドウから開いたすべてのポータルページは別のページを選択するまでその語で表されます
copy 1999-2020 Citrix Systems Inc All rights reserved 227
Citrix Gateway 130
重要
可性またはクラスター化されたデプロイメントではポータルのテーマが共有構成全体に分散されるのはプライマリまたは構成コーディネータの Citrix ADCエンティティでそれぞれポータルのテーマが設定されている場合のみです
古いポータルのカスタマイズに関する注意事項
Citrix Gatewayまたは Access Gatewayリリース 110より前のリリースで作成されたカスタムポータル設計を動で変更したインストールの場合はカスタマイズインターフェイスで新しいポータルテーマから開始することを強くお勧めしますカスタマイズができない場合は動でカスタマイズを適できますがその直接サポートは提供されません
動でカスタマイズしたポータルを使する場合はカスタマイズしたポータルをグローバルポータル構成として設定する必要がありますただしそうすると適されたグローバルポータル構成を VPN仮想サーバーレベルのポータルテーマのバインドで上書きすることはできませんこの場合設定ユーティリティまたはコマンドラインを使して VPN仮想サーババインディングを作成しようとするとエラーが返されます
また可性とクラスタ構成の場合はCitrix ADCファイルシステムの基盤となるファイルが動的に共有される構成で配布されないため展開内のすべてのノードで動でカスタマイズをう必要があります
カスタムポータル構成の動作成
Citrix Gateway 110へのアップグレード後にカスタマイズされた古いポータル構成を動で適するには既存のポータルページのコピーを変更しカスタマイズされたポータルファイルを Citrix ADCファイルシステムに配置しUITHEMEパラメーターとしてカスタムを選択する必要があります
WinSCPまたはその他のセキュアコピープログラムを使してCitrix ADCファイルシステムにファイルを転送できます
1 Citrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします3 コマンドプロンプトでmkdir varns_gui_custom cd ネットスケーラ tar-cvzf varns_gui_カスタムカスタムテーマtargz ns_guiとします
4 コマンドプロンプトでcd varnetscalerログオンテーマとしますbull グリーンバブルテーマをカスタマイズする場合は「cp-rグリーンバブルカスタム」としてグリーンバブルテーマのコピーを作成します
bull 既定のテーマ (Caxton)をカスタマイズする場合はcp-r既定のカスタムとしますbull X1テーマをカスタマイズするには「cp-r X1カスタム」とします
5 varnetscalerlogonthemesCustomの下にコピーされたファイルに必要な変更を加えテーマを動でカスタマイズします
bull cssbasecssに必要な編集をいます
copy 1999-2020 Citrix Systems Inc All rights reserved 228
Citrix Gateway 130
bull カスタムイメージを varns_gui_customns_guivpnメディアディレクトリにコピーしますbull resourcesディレクトリにあるファイルのラベルを変更しますこれらのファイルはポータルでサポートされているロケールに対応しています
bull HTMLページまたは javascriptファイルに対する変更も必要な場合はvarns_gui_customns_gui内のファイルに関連するようにできます
6 カスタマイズの変更がすべて完了したらプロンプトに次のようにしますtar mdashcvzfvarns_gui_customcustomthemetargz varns_gui_customns_gui
重要
前述の順でテーマディレクトリをコピーする場合はCitrix ADCシェルインターフェイス内でディレクトリ名の字と字が区別されるためコピーしたフォルダ名を「カスタム」と正確にする必要がありますディレクトリ名が正確にされていない場合UITHEME設定が CUSTOMに設定されている場合フォルダは認識されません
カスタマイズしたテーマを VPNグローバルパラメータとして選択
動でカスタマイズしたポータル構成が完了しCitrix ADCファイルシステムにコピーしたらその構成を CitrixGateway構成に適する必要がありますこれはUITHEMEパラメータを CUSTOMに設定することによって実されコマンドラインまたは構成ユーティリティを使して完了できます
コマンドラインを使するには次のコマンドをして UITHEMEパラメータを設定します
1 set vpn parameter UITHEME CUSTOM
構成ユーティリティーを使して UITHEMEパラメーターを設定するには以下の順に従います
1[構成]タブでCitrix Gateway gt[グローバル設定]に移動します2 [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブをクリックします4 画の下部までスクロールし[ UIテーマ]リストメニューから [カスタム]を選択します5[OK]をクリックします
これで動でカスタマイズしたポータルが VPNユーザーに提供されるポータル設計になりました
使許諾契約書の作成
VPNポータルシステムはポータル構成にエンドユーザーライセンス契約 (EULA)を適するオプションを提供しますEULAが VPNグローバルスコープまたは関連する VPN仮想サーバーのいずれかで Citrix Gateway構成にバインドされるとVPNユーザーは VPNへの認証を許可する前に利規約として EULAに同意する必要があります
ポータルテーマと同様にユーザーはWebブラウザーから報告されたロケールに基づいて語固有の EULAを提供しますサポートされているどの語にも致しないロケールの場合デフォルトの語は英語ですEULAご
copy 1999-2020 Citrix Systems Inc All rights reserved 229
Citrix Gateway 130
とにサポートされている各語でカスタムメッセージをできますEULA構成ではポータルテーマの場合と同様に事前に翻訳されたコンテンツは提供されませんユーザーの報告されたロケールがEULAコンテンツがされていない語と致する場合VPNログインページの [利規約]リンクをクリックすると空のページが返されます
EULAを作成するにはCitrixGatewaygtグローバル設定gtEULAまたは CitrixGatewaygtリソースgtEULAの[構成]タブで構成ユーティリティーのいずれかのコントロールを使します[ Global Settings]ペインのコントロールは VPNグローバル EULAバインディングを管理するために使され[Resources] gt [EULA ]ノードのコントロールは EULA設定の般的な操作に使されますVPN仮想サーバーの EULAバインディングを管理するには[Citrix Gateway]gt[仮想サーバー]で VPN仮想サーバーを編集します部のコマンドはEULAエンティティを管理するためのコマンドラインでも使できますただし完全な EULA管理コントロールは構成ユーティリティでのみ使できます
コマンドラインを使した EULAエンティティの作成
コマンドプロンプトで「」とします
1 add vpn eula ltnamegt
構成ユーティリティを使した EULAエンティティの作成
1 Citrix Gateway gt[リソース]gt[EULA]に移動します2「追加」(Add )をクリックしてエンティティを作成します3 エンティティの名前をします4 各語について関連するタブの下にコンテンツを貼り付けますテキスト形式または HTMLタグを使して改を追加するltbrgtタグなどコンテンツの書式を設定できます
5[作成]をクリックします
EULAエンティティが作成されるとそのエンティティは VPN設定にグローバルにバインドすることもVPN仮想サーバーにバインドすることもできます
コマンドラインを使して EULAを VPNグローバルにバインドする
コマンドプロンプトで「」とします
1 bind vpn global eula ltnamegt
設定ユーティリティを使したグローバル EULA VPNバインディングの作成
1[構成]タブでCitrix Gateway gt[グローバル設定]に移動します
copy 1999-2020 Citrix Systems Inc All rights reserved 230
Citrix Gateway 130
2 メインの詳細ペインで[使許諾契約書の設定]をクリックします3 [バインドを追加]をクリックします4 [クリックして選択]をクリックします5 EULAエンティティを選択し[選択]をクリックします6[バインド]をクリックします7[閉じる]をクリックします
コマンドラインを使して EULAを VPN仮想サーバーにバインドする
コマンドプロンプトで「」とします
1 bind vpn vserver ltnamegt eula ltnamegt
設定ユーティリティを使した EULAを VPN仮想サーバにバインドする
1[構成]タブでCitrix Gateway gt[仮想サーバー]の順に選択します2 メインの詳細ペインでVPN仮想サーバーを選択し[ Edit]をクリックします3 ページの右側の [詳細設定]ペインで[ EULA ]をクリックします4 新しく追加された EULAペインで[ EULAなし]をクリックします5 [クリックして選択]をクリックします6 EULAエンティティを選択し[選択]をクリックします7[バインド]をクリックします8[完了]をクリックします
コピー完了Failed
クライアントレスアクセスの設定
March 26 2020
クライアントレスアクセスによりユーザーは Citrix Gatewayプラグインや Receiverなどのユーザーソフトウェアをインストールしなくても必要なアクセスが可能になりますユーザーはWebブラウザを使してOutlookWeb AccessなどのWebアプリケーションに接続できます
クライアントレスアクセスを設定する順は次のとおりです
bull グローバルにまたはユーザグループまたは仮想サーバにバインドされたセッションポリシーを使してクライアントレスアクセスを有効にします
bull Webアドレスのエンコード式の選択
copy 1999-2020 Citrix Systems Inc All rights reserved 231
Citrix Gateway 130
特定の仮想サーバに対してのみクライアントレスアクセスを有効にするにはクライアントレスアクセスをグローバルに無効にしそれを有効にするセッションポリシーを作成します
Citrix Gatewayウィザードを使してアプライアンスを構成する場合はウィザード内でクライアントレスアクセスを構成できますウィザードの設定はグローバルに適されますCitrix Gatewayウィザードでは次のクライアント接続法を構成できます
bull Citrix GatewayプラグインユーザーはCitrix Gatewayプラグインを使してのみログオンできますbull Citrix Gatewayプラグインを使しアクセスシナリオのフォールバックを許可しますユーザーはCitrix
Gatewayプラグインを使して Citrixゲートウェイにログオンしますユーザーデバイスがエンドポイント分析スキャンに失敗した場合ユーザーはクライアントレスアクセスを使してログオンできますこの場合ユーザーはネットワークリソースへのアクセスが制限されます
bull ユーザーがWebブラウザとクライアントレスアクセスを使してログオンできるようにしますユーザーはクライアントレスアクセスを使してのみログオンできネットワークリソースへのアクセスが制限されます
コピー完了Failed
クライアントレスアクセスの有効化
March 26 2020
グローバルレベルでクライアントレスアクセスを有効にするとすべてのユーザがクライアントレスアクセスの設定を受け取りますCitrix Gatewayウィザードグローバルポリシーまたはセッションポリシーを使してクライアントレスアクセスを有効にできます
グローバル設定またはセッションプロファイルではクライアントレスアクセスには次の設定があります
bull Onクライアントレスアクセスを有効にしますクライアントの選択を無効にしStoreFrontまたはWebInterfaceを構成または無効にしない場合ユーザーはクライアントレスアクセスを使してログオンします
bull Allow デフォルトではクライアントレスアクセスは有効になっていませんクライアントの選択を無効にしStoreFrontまたはWeb Interfaceを構成または無効にしない場合ユーザーは Citrix Gatewayプラグインを使してログオンしますユーザーのログオン時にエンドポイントの分析が失敗するとクライアントレスアクセスが可能な選択肢ページが表されます
bull Off クライアントレスアクセスはオフになっていますこの設定を選択するとユーザーはクライアントレスアクセスを使してログオンできずクライアントレスアクセスのアイコンが選択肢ページに表されません
注コマンドラインインターフェイスを使してクライアントレスアクセスを設定する場合オプションは ONOFFまたは Disabledです
Citrix Gatewayウィザードを使してクライアントレスアクセスを有効にしなかった場合はグローバルにまたは構成ユーティリティを使してセッションポリシーで有効にすることができます
copy 1999-2020 Citrix Systems Inc All rights reserved 232
Citrix Gateway 130
クライアントレスアクセスをグローバルに有効にするには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [ON]を選択し[OK]をクリックします
セッションポリシーを使してクライアントレスアクセスを有効にするには
選択したユーザグループまたは仮想サーバだけにクライアントレスアクセスを使する場合はクライアントレスアクセスをグローバルに無効にするかオフにします次にセッションポリシーを使してクライアントレスアクセスを有効にしユーザグループまたは仮想サーバにバインドします
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします
7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
8[Create]をクリックしてから[Close]をクリックします
クライアントレスアクセスを有効にするセッションポリシーを作成したらユーザグループまたは仮想サーバにバインドします
コピー完了Failed
Webアドレスのエンコーディング
March 26 2020
クライアントレスアクセスを有効にすると内部Webアプリケーションのアドレスをエンコードするかアドレスをクリアテキストのままにするかを選択できます設定は次のとおりです
bull わかりにくいこれは標準のエンコーディングメカニズムを使してリソースのドメインとプロトコル部分を隠します
copy 1999-2020 Citrix Systems Inc All rights reserved 233
Citrix Gateway 130
bull クリアWebアドレスはエンコードされずユーザーに表されますbull 暗号化ドメインとプロトコルはセッションキーを使して暗号化されますWebアドレスが暗号化されている場合同じWebリソースのユーザセッションごとにURLが異なりますユーザーがエンコードされたWebアドレスをブックマークしWebブラウザに保存してからログオフするとユーザーがログオンしてブックマークを使してWebアドレスに再度接続しようとするとWebアドレスに接続できなくなります注ユーザーがセッション中に暗号化されたブックマークをアクセスインターフェイスに保存するとユーザーがログオンするたびにブックマークが機能します
この設定はグローバルに構成することもセッションポリシーの部として構成することもできますセッションポリシーの部としてエンコーディングを構成する場合はユーザーグループまたは仮想サーバーにバインドできます
Webアドレスのエンコーディングをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横のエンコードレベルを選択し[OK]をクリックします
セッションポリシーを作成してWebアドレスエンコーディングを設定するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセス URLエンコーディング]の横にある [グローバル上書き]をクリックしエンコードレベルを選択して [OK]をクリックします
7 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
クライアントレスアクセスポリシーのしくみ
March 26 2020
copy 1999-2020 Citrix Systems Inc All rights reserved 234
Citrix Gateway 130
Webアプリケーションへのクライアントレスアクセスを設定するにはポリシーを作成しますクライアントレスアクセスポリシーの設定は設定ユーティリティで設定できますクライアントレスアクセスポリシーは規則とプロファイルで構成されますCitrix Gatewayに付属する構成済みのクライアントレスアクセスポリシーを使できます独のカスタムクライアントレスアクセスポリシーを作成することもできます
Citrix Gatewayには以下のポリシーが事前に構成されています
bull Outlook Web Accessと Outlook Web Appbull SharePointのユーザーbull その他すべてのWebアプリケーション
事前設定されたクライアントレスアクセスポリシーの次の特性に注意してください
bull これらは動的に設定され変更することはできませんbull 各ポリシーはグローバルレベルでバインドされますbull クライアントレスアクセスをグローバルに有効にするかセッションポリシーを作成しない限り各ポリシーは適されません
bull クライアントレスアクセスを有効にしていない場合でもグローバルバインディングを削除または変更することはできません
他のWebアプリケーションのサポートはCitrix Gatewayで構成するリライトポリシーのレベルによって異なります作成したカスタムポリシーをテストしてアプリケーションのすべてのコンポーネントが正常に書き換えられるようにすることをお勧めします
Receiver for AndroidReceiver for iOSまたはWorxHomeからの接続を許可する場合はクライアントレスアクセスを有効にする必要がありますiOSデバイスで実されるWorxHomeの場合はセッションプロファイル内で Secure Browseも有効にする必要がありますSecure Browseとクライアントレスアクセスが連携してiOSデバイスからの接続を許可しますユーザーが iOSデバイスに接続していない場合Secure Browseを有効にする必要はありません
クイック構成ウィザードではモバイルデバイスの正しいクライアントレスアクセスポリシーと設定を設定しますクイック構成ウィザードを実してStoreFrontおよび Citrix Endpoint Managementへの接続に適切なポリシーを構成することをお勧めします
カスタムクライアントレスアクセスポリシーはグローバルにバインドすることも仮想サーバにバインドすることもできますクライアントレスアクセスポリシーを仮想サーバにバインドする場合は新しいカスタムポリシーを作成してからバインドする必要がありますクライアントレスアクセスにグローバルまたは仮想サーバに対して異なるポリシーを適するにはカスタムポリシーのプライオリティ番号を変更して事前設定されたポリシーよりもさい番号にしますこれによりカスタムポリシーのプライオリティがくなります仮想サーバに他のクライアントレスアクセスポリシーがバインドされていない場合は事前に設定されたグローバルポリシーが優先されます
注事前設定されたクライアントレスアクセスポリシーのプライオリティ番号は変更できません
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 235
Citrix Gateway 130
新しいクライアントレスアクセスポリシーの作成
March 26 2020
デフォルトのクライアントレスアクセスポリシーと同じ設定を使しポリシーを仮想サーバにバインドする場合はポリシーの新しい名前を指定してデフォルトポリシーをコピーできます設定ユーティリティを使してデフォルトのポリシーをコピーできます
新しいポリシーを仮想サーバーにバインドした後ユーザーがログオンしたときにポリシーが最初に実されるようにポリシーの優先順位を設定できます
デフォルト設定を使して新しいクライアントレスアクセスポリシーを作成するには
1 構成ユーティリティのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[クライアントレスアクセス]をクリックします
2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの新しい名前をし[作成][閉じる]の順にクリックします
クライアントレスアクセスポリシーを仮想サーバにバインドするには
新しいポリシーを作成したら仮想サーバにバインドします
1 構成ユーティリティの [構成]タブのナビゲーションペインで[Citrix Gateway]を展開し[仮想サーバー]をクリックします
2 詳細ウィンドウで仮想サーバーを選択し[開く]をクリックします3 Citrix Gateway仮想サーバーの構成]ダイアログボックスで[ポリシー]タブをクリックし[クライアントレス]をクリックします
4 [ポリシーの挿]をクリックし覧からポリシーを選択して [OK]をクリックします
クライアントレスアクセスポリシー式の作成と評価
クライアントレスアクセスの新しいポリシーを作成する場合ポリシーの独の式を作成できますエクスプレッションの作成が完了したらエクスプレッションの精度を評価できます
1 構成ユーティリティのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[クライアントレスアクセス]をクリックします
2 詳細ウィンドウの [ポリシー]タブで既定のポリシーをクリックし[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします
copy 1999-2020 Citrix Systems Inc All rights reserved 236
Citrix Gateway 130
6 書き換え設定を構成し[作成]をクリックします7 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]で[追加]をクリックします8 [式の追加]ダイアログボックスで式を作成し[OK]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスで[評価]をクリックし式が正しいとテストされた場合は[作成]をクリックします
コピー完了Failed
Citrix Gatewayを使した度なクライアントレス VPNアクセス
March 26 2020
クライアントレス VPN(CVPN)はクライアントマシンで VPNクライアントアプリケーションを使せずにCitrix Gatewayを介して企業のイントラネットリソースにリモートアクセスを提供する法を認識しますCVPNはクライアント側でWebブラウザを使して企業のWebアプリケーションポータルおよびその他のリソースへのリモートアクセスを提供します度な CVPNソリューションはCVPNに関する次の制限を排除します
bull 相対 URLは時々識別できません
bull 動的に成された相対 URLは識別できません
度なクライアントレス VPNは絶対 URLとホスト名を識別しHTTP応答Webページに存在する相対 URLを書き換える代わりに新しい意の法でそれらを書き換えますSharePointではURLの書き換えに既定のフォルダを使する必要がなくなりカスタム SharePointアクセスがサポートされます
前提条件
次に拡張 CVPNを設定するための前提条件をします
1 ワイルドカードサーバ証明書 -VPN仮想サーバにはワイルドカードサーバ証明書が必要ですサーバーがでhttpsvpncomホストされている場合サーバー証明書には証明書 CNまたは SANの部として (vpncomおよびvpncom )のエントリが含まれている必要があります (ここでCN =共通名SAN=Subject代替名)この証明書をバインドするプロセスはCitrix Gatewayでも変わりません
2 ワイルドカードDNSエントリ -sクライアント (Webブラウザ)は度な CVPNアプリケーションの FQDNを解決する必要がありますCitrix Gatewayサーバーのセットアップ中にvpncomを解決する DNSエントリを構成していましたrsquovpncomrsquoもvpncomに解決されるようにrsquovpncomrsquoのサブドメインを設定する必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 237
Citrix Gateway 130
度なクライアントレス VPNアクセスの設定
コマンドラインインターフェイスを使して度なクライアントレス VPNアクセスを設定するにはコマンドプロンプトで次のようにします
1 set vpn parameter -clientlessVpnMode ON2 set vpn parameter -advancedClientlessVpnMode ENABLED
セッションアクションが仮想サーバにバインドされている場合はそのセッションアクションに対して [AdvancedClientless VPN Mode]オプションも有効にする必要があります
例
1 set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
Citrix ADC GUIを使して度なクライアントレス VPNアクセスを設定するには
1 NetScalerの GUIで「構成」gt「Citrix NetScalergt「グローバル設定」の順に選択します
2 [グローバル設定]ページで[グローバル設定の変更]をクリックし[クライアントエクスペリエンス]タブを選択します
3 [クライアントエクスペリエンス]タブの [クライアントレスアクセス]リストから [オン]をクリックします
4 [クライアントエクスペリエンス]タブの [度なクライアントレス VPNモード]リストから [有効]をクリックします
注
bull セッションアクションが仮想サーバーにバインドされている場合は[Citrix Gatewayセッションプロファイルの 設定]ページの[クライアント エクスペリエンス]タブでもそのセッションアクションの[クライアントレス VPNモード の詳細設定]オプションを有効にする必要があります
bull [グローバルをオーバーライド]オプションを選択するとグローバル設定をオーバーライドできます
Advanced CVPN機能はセッションレベルでも設定できます
警告
度な CVPNはエンタープライズWebアプリケーションへのアクセスを提供することを的としていますこのようなアプリには必要なすべての種類のリソース(JavaScriptCSS画像など)に対して FQDNが 1つしかありません内部アプリケーションの完全な FQDNを単オクテット(cvpn)にエンコードするのでサブドメインの関係を失いますその結果エンタープライズWebAppが CORSで設定されるたびにAdvanced CVPN経由でアクセスする際に問題が発することがあります
copy 1999-2020 Citrix Systems Inc All rights reserved 238
Citrix Gateway 130
コピー完了Failed
ユーザーのドメインアクセスの構成
March 26 2020
ユーザがクライアントレスアクセスを使して接続する場合ユーザがアクセスを許可するネットワークリソースドメインおよびWebサイトを制限できますCitrix Gatewayウィザードまたはグローバル設定を使してドメインへのアクセスを含めたり除外したりするためのリストを作成できます
すべてのネットワークリソースドメインおよびWebサイトへのアクセスを許可してから除外リストを作成できます除外リストにはユーザーがアクセスできない特定のリソースのセットが記載されていますユーザーは除外リストに含まれているドメインにアクセスできません
またすべてのネットワークリソースドメインおよびWebサイトへのアクセスを拒否し特定の包含リストを作成することもできます包含リストにはユーザーがアクセスできるリソースが挙げられますユーザーはリストに表されていないドメインにアクセスできません
注Citrix Endpoint Managementまたは StoreFrontのクライアントレスアクセスポリシーを構成しユーザーが Receiver for Webに接続する場合Receiver for Webがアクセスできるドメインを許可する必要がありますこれはCitrix Gatewayが StoreFrontおよび Endpoint Managementネットワークトラフィックを書き換えるために必要です
Citrix Gatewayウィザードを使してドメインアクセスを構成するには
1 構成ユーティリティで[構成]タブをクリックしナビゲーションペインで[Citrix Gateway]をクリックします
2 詳細ペインの [はじめに]で[Citrix Gatewayウィザード]をクリックします3 [次へ]をクリックしウィザードの指に従って[クライアントレスアクセスの設定]ページを表します4 [クライアントレスアクセスのドメインの設定]をクリックし次のいずれかの操作をいます
bull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします
5 [ドメイン名]にドメイン名をし[追加]をクリックします6 覧に追加するドメインごとに順 5を繰り返し終了したら [OK]をクリックします7 Citrix Gatewayウィザードを使してアプライアンスの構成を続します
構成ユーティリティを使してドメイン設定を構成するには
構成ユーティリティのグローバル設定を使してドメイン覧を作成または変更することもできます
copy 1999-2020 Citrix Systems Inc All rights reserved 239
Citrix Gateway 130
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ペインの [クライアントレスアクセス]で[クライアントレスアクセスのドメインの構成]をクリックします
3 次のいずれかをいますbull 除外するドメインの覧を作成するには[除外するドメイン]をクリックしますbull 含まれるドメインの覧を作成するには[ドメインの許可]をクリックします
4 [ドメイン名]にドメイン名をし[追加]をクリックします5 リストに追加するドメインごとに順 4を繰り返し終了したら [OK]をクリックします
コピー完了Failed
クライアントレスアクセスの構成
March 26 2020
Citrix Gatewayでは1つまたは複数の SharePoint 2003または SharePoint 2007または SharePoint 2013サイトのコンテンツを書き換えることができますこれによりユーザーは Citrix Gatewayプラグインを使せずにコンテンツを利できるようになります書き換えプロセスを正常に完了するにはネットワーク内の各SharePointサーバーのホスト名を使して Citrix Gatewayを構成する必要があります
Citrix Gatewayウィザードまたは構成ユーティリティを使してSharePointサイトのホスト名を構成できます
Citrix Gatewayウィザードでウィザード内を移動して設定を構成します[クライアントレスアクセスの構成]ページが表されたらSharePointサイトのWebアドレスをし[追加]をクリックします
Citrix Gatewayウィザードの実後に初めてWebサイトを追加したりSharePointを構成したりするには構成ユーティリティを使します
Citrix ADC GUIを使して SharePointのクライアントレスアクセスを構成するには
1 Citrix Gateway gt[グローバル設定]に移動します2 詳細ウィンドウの [クライアントレスアクセス]で[ SharePointのクライアントレスアクセスの構成]をクリックします
3 [SharePointのクライアントレスアクセス]の [SharePointサーバーのホスト名]に SharePointサイトのホスト名をし[追加]をクリックします
4 リストに追加する SharePointサイトごとに順 3を繰り返し終了したら [ OK ]をクリックします
コピー完了Failed
copy 1999-2020 Citrix Systems Inc All rights reserved 240
Citrix Gateway 130
SharePointサイトをホームページとして設定する
March 26 2020
SharePoint サイトをユーザーのホームページとして設定する場合はセッションプロファイルを構成しSharePointサイトのホスト名をします
SharePointサイトをホームページとして構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[ホームページ]の横にある [グローバルに上書き]をクリックし
SharePointサイトの名前をします7 [クライアントレスアクセス]の横にある [グローバル上書き]をクリックし[オン]を選択して [作成]をクリックします
8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
セッションポリシーを完了したらユーザーグループ仮想サーバーまたはグローバルにバインドしますユーザーがログオンするとSharePoint Webサイトがホームページとして表されます
コピー完了Failed
SharePoint 2007サーバーの名前解決を有効にする
March 26 2020
SharePoint 2007サーバーは応答の部として構成されたサーバー名をさまざまな URL内のホスト名として送信します構成済みの SharePointサーバー名が完全修飾ドメイン名 (FQDN)でない場合Citrix GatewayはSharePointサーバー名を使して IPアドレスを解決できず部のユーザー機能がタイムアウトしrdquoHTTP 11Gatewayのタイムアウトrdquoというエラーメッセージが表されるこれらの機能にはファイルのチェックインとチェックアウトWorkspace表およびユーザーがクライアントレスアクセスを使してログオンしているときの複数のファイルのアップロードなどがあります
この問題を解決するには次のいずれかをお試しください
copy 1999-2020 Citrix Systems Inc All rights reserved 241
Citrix Gateway 130
bull 名前解決の前に SharePointのホスト名が FQDNに変換されるようにCitrix Gatewayで DNSサフィックスを構成します
bull すべての SharePointサーバー名に対してCitrix Gatewayでローカル DNSエントリを構成しますbull FQDNを使するすべての SharePointサーバー名を変更しますたとえばSharePointintranetドメインではなく
DNSサフィックスを構成するには
1 構成ユーティリティの [構成]タブのナビゲーションウィンドウで[DNS]を展開し[DNSサフィックス]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [DNSサフィックス]でイントラネットドメイン名をサフィックスとしてし[作成][閉じる]の順にクリックします
追加するドメインごとにステップ 3を繰り返すことができます
Citrix Gateway上のすべての SharePointサーバー名に対してローカルDNSレコードを構成するには
1 構成ユーティリティのナビゲーションウィンドウで[DNS] gt [レコード]を展開し[アドレスレコード]をクリックします
2 詳細ウィンドウで[追加]をクリックします3 [ホスト名]にDNSアドレスレコードの SharePointホスト名をします4 [IPアドレス]に SharePointサーバーの IPアドレスをし[追加][作成][閉じる]の順にクリックします
Aレコードを追加するホスト名にはCNAMEレコードがあってはなりませんまたアプライアンス上に重複するAレコードが存在することもできません
コピー完了Failed
クライアントレスアクセスパーシステント Cookieの有効化
March 26 2020
パーシステント CookieはSharePointサーバーでホストされているMicrosoft WordExcelPowerPointドキュメントを開いたり編集したりするなどSharePointの特定の機能にアクセスするために必要です
永続的なクッキーはユーザーデバイスに残りHTTPリクエストごとに送信されますCitrix Gatewayは永続的なCookieをユーザーデバイス上のプラグインに送信する前に暗号化しセッションが存在する限り定期的に Cookieを更新しますセッションが終了するとクッキーは古くなります
copy 1999-2020 Citrix Systems Inc All rights reserved 242
Citrix Gateway 130
Citrix Gatewayウィザードでは管理者は永続的な Cookieをグローバルに有効にできますセッションポリシーを作成してユーザーグループまたは仮想サーバーごとに永続的な Cookieを有効にすることもできます
パーシステント Cookieでは次のオプションを使できます
bull [許可]は永続的な Cookieを有効にしユーザーは SharePointに保存されているMicrosoftドキュメントを開いて編集できます
bull [拒否]は永続的な Cookieを無効にしユーザーが SharePointに保存されているMicrosoftドキュメントを開いて編集することはできません
bull Promptはセッション中に永続的な Cookieを許可または拒否するようユーザに要求します
ユーザーが SharePointに接続しない場合クライアントレスアクセスには永続的な Cookieは必要ありません
コピー完了Failed
SharePointのクライアントレスアクセスの永続的な Cookieの構成
March 26 2020
SharePointのクライアントレスアクセスの永続的な Cookieはグローバルにまたはセッションポリシーの部として構成できます
永続的な Cookieをグローバルに設定するには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にあるオプションを選択し[OK]をクリックします
セッションポリシーの部として永続的な Cookieを構成するには
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[クライアントレスアクセスパーシステント Cookie]の横にある
[グローバル上書き]をクリックしオプションを選択して [作成]をクリックします
copy 1999-2020 Citrix Systems Inc All rights reserved 243
Citrix Gateway 130
7 [認証ポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
Web Interfaceを使したクライアントレスアクセスのユーザ設定の保存
March 26 2020
ユーザーがクライアントレスアクセスを使してWeb Interfaceからログオンしてログオフするとユーザーが複数回ログオンしたときに Cookieが永続的であってもCitrix Gatewayは前のセッションで設定したクライアント消費 Cookieを転送しません設定ユーティリティまたはコマンドラインを使してCookieをクライアントCookieのパターンセットにバインドしセッション間のWeb Interfaceの設定を保持できます
構成ユーティリティを使してWeb Interfaceの永続性の Cookieをバインドするには
1 構成ユーティリティの [構成]タブで[Citrix Gateway] gt [ポリシー]を展開し[クライアントレスアクセス]をクリックします
2 右側のウィンドウの [ポリシー]タブで[追加]をクリックします3 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [名前]にポリシーの名前をします4 [プロファイル]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントクッキー]タブの [クライアントクッキー]で [ns_cvpn_default_client_cookie]を選択し
[変更]をクリックします7 [パターンセットを設定]ダイアログボックスの [パターンを指定]領域の [パターン]で次のパラメータをします
bull [WIUser]をクリックし[追加]をクリックしますbull WINGデバイス]をクリックし[追加]をクリックしますbull WINGセッション]をクリックし[追加]をクリックします
8 [OK]をクリックし[作成]をクリックします9 [クライアントレスアクセスポリシーの作成]ダイアログボックスの [式]に trueとし[作成]をクリックし[閉じる]をクリックします
コマンドラインを使してWeb Interfaceの永続性の Cookieをバインドするには
1 PuTTYなどのセキュアシェル(SSH)接続を使してCitrix Gatewayのコマンドラインにログオンします2 コマンドプロンプトで shellとします
copy 1999-2020 Citrix Systems Inc All rights reserved 244
Citrix Gateway 130
3 コマンドプロンプトで次のコマンドをしますbull バインドポリシーパッチセット ns_cvpn_default_client_cookie WIUserとしEnterキーを押します
bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGデバイスしENTERキーを押します
bull バインドポリシーパセット ns_cvpn_default_client_cookie WINGセッションしEnterキーを押します
コピー完了Failed
クライアント選択ページの設定
March 26 2020
複数のログオンオプションをユーザーに提供するように Citrix Gatewayを構成できますクライアント選択ページを構成することによりユーザーは次の選択肢を使して1つの場所からログオンできます
bull Windows向け Citrix Gatewayプラグインbull Citrix Gateway plug-in for Mac OS Xbull Citrix Gateway plug-in for Javabull StoreFrontbull Web Interfacebull クライアントレスアクセス
ユーザーはCitrix Gatewayまたは仮想サーバーにバインドされた証明書の Webアドレスを使してCitrixGatewayにログオンしますセッションポリシーとプロファイルを作成することでユーザーが受け取るログオンの選択肢を決定できますCitrix Gatewayの構成法に応じて[クライアントの選択]ページには以下のログオン選択肢を表すアイコンが 3つまで表されます
bull ネットワークアクセスユーザーがWebブラウザーを使して Citrix Gatewayに初めてログオンし[ネットワークアクセス]を選択するとダウンロードページが表されますユーザーが「ダウンロード」をクリックするとプラグインがユーザーデバイスにダウンロードおよびインストールされますダウンロードとインストールが完了するとアクセスインターフェイスが表されます新しいバージョンの Citrix Gatewayをインストールしたり古いバージョンに戻したりするとCitrix Gateway atewayプラグインがアプライアンス上のバージョンにサイレントでアップグレードまたはダウングレードされますユーザーがMacのCitrix Gatewayプラグインを使して接続する場合ユーザーのログオン時に新しいアプライアンスのバージョンが検出されるとプラグインはサイレントモードでアップグレードされますこのバージョンのプラグインではサイレントダウングレードはわれません
bull Web InterfaceまたはStoreFrontユーザーがログオンするWeb Interfaceを選択すると[Web Interface]ページが表されますユーザーは公開アプリケーションまたは仮想デスクトップにアクセスできますユ
copy 1999-2020 Citrix Systems Inc All rights reserved 245
Citrix Gateway 130
ーザーが StoreFrontを選択してログオンするとReceiverが開きアプリケーションやデスクトップにアクセスできます注StoreFrontをクライアントとして構成するとアプリケーションおよびデスクトップはアクセスインターフェイスの左ペインに表されません
bull クライアントレスアクセスユーザがクライアントレスアクセスを選択してログオンするとアクセスインターフェイスまたはカスタマイズされたホームページが表されますアクセスインターフェイスではユーザーはファイル共有Webサイトに移動しOutlook Web Accessを使できます
ユーザーが Javaの Citrix Gatewayプラグインを選択するとプラグインが起動しユーザーがログオンします選択ページは表されません
Secure Browse を使するとユーザーは iOS デバイスから Citrix Gateway 経由で接続できますSecureBrowseを有効にした場合ユーザーが Secure Hubを使してログオンするとSecure Browseはクライアント選択ページを無効にします
コピー完了Failed
ログオン時のクライアント選択ページの表
March 26 2020
クライアント選択オプションを有効にするとCitrix Gatewayへの認証に成功すると1つの WebページからCitrix GatewayプラグインWeb InterfaceReceiverまたはクライアントレスアクセスを使してログオンできますログオンに成功するとWebページにアイコンが表されユーザーは接続を確する法を選択できますまた選択ページに表されるようにJavaの Citrix Gatewayプラグインを構成することもできます
エンドポイント分析を使したりアクセスシナリオのフォールバックを実装したりすることなくクライアントの選択を有効にできますクライアントセキュリティ式を定義しない場合ユーザーは Citrix Gatewayで構成された設定の接続オプションを受け取りますユーザーセッションにクライアントセキュリティ式が存在しユーザーデバイスがエンドポイント分析スキャンに失敗した場合Web Interfaceが設定されている場合選択ページにはWebInterfaceを使するオプションのみが表されますそれ以外の場合ユーザーはクライアントレスアクセスを使してログオンできます
クライアントの選択肢はグローバルに構成するかセッションプロファイルとポリシーを使して構成します
重要クライアントの選択を構成するときは検疫グループを構成しないでくださいエンドポイント分析スキャンに失敗し隔離されたユーザーデバイスはエンドポイントスキャンに合格したユーザーデバイスと同様に扱われます
copy 1999-2020 Citrix Systems Inc All rights reserved 246
Citrix Gateway 130
クライアント選択オプションをグローバルに有効にするには
1 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gatewayを展開し[グローバル設定]をクリックします
2 詳細ウィンドウで[設定]の [グローバル設定の変更]をクリックします3 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします4 [全般]タブで[クライアントの選択]をクリックし[OK]をクリックします
セッションポリシーの部としてクライアントの選択を有効にするには
またセッションポリシーの部としてクライアントの選択肢を構成しユーザーグループ仮想サーバーにバインドすることもできます
1 構成ユーティリティーの構成タブのナビゲーションペインで[Citrix Gateway]gt[ポリシー]の順に展開し[セッション]をクリックします
2 詳細ウィンドウの [ポリシー]タブで[追加]をクリックします3 [名前]にポリシーの名前をします4 [プロファイルの要求]の横にある [新規]をクリックします5 [名前]にプロファイルの名前をします6 [クライアントエクスペリエンス]タブで[詳細設定]をクリックします7 [全般]タブで[クライアントの選択肢]の横にある [グローバルに上書き][クライアントの選択肢][OK]
[作成]の順にクリックします8 [セッションポリシーの作成]ダイアログボックスで[名前付き式]の横にある [全般][True value][式の追加][作成][閉じる]の順にクリックします
コピー完了Failed
クライアント選択オプションの構成
March 26 2020
セッションプロファイルとポリシーを使してクライアントを選択できるようにするだけでなくユーザーソフトウェアの設定を構成する必要がありますたとえばユーザーが Citrix GatewayプラグインStoreFrontまたはWeb Interfaceまたはクライアントレスアクセスを使してログオンできるようにする場合です3つのオプションとクライアントの選択をすべて有効にする 1つのセッションプロファイルを作成します次にプロファイルをアタッチして True valueに設定された式を使してセッションポリシーを作成します次にセッションポリシーを仮想サーバーにバインドします
セッションポリシーとプロファイルを作成する前にユーザーの承認グループを作成する必要があります
copy 1999-2020 Citrix Systems Inc All rights reserved 247