9月14日、XenApp 7.11 / XenDesktop 7.11がダウンロード可能となりました。本リリースの特徴として、Windows Server 2016対応や、Azure Resource Manager対応といったMicrosoft社との連携強化が挙げられますが、管理面でも見逃せない機能が追加されています。本ブログではその機能の一つ、”セルフサービスパスワードリセット”を、設定例を含めてご紹介します。

パスワード入力ミスでアカウントロックされた!!そんなとき…

PCへのログオン、ECサイトで買い物、銀行口座の残高を確認…私たちは毎日様々なシーンでパスワードを聞かれます。多くのケースでは共通のパスワードを使っていることもあるかもしれません。しかし、企業内のネットワークにアクセスする際に求められるパスワードに関しては、その企業のセキュリティポリシーに則り、定期的なパスワード変更を強制していることが多いかと思います。

そんな時に起こるのが、「あれ?このパスワードじゃなかったかな?」と何回もパスワードを入力し、しまいにはアカウントロックされてしまう事故です。(私も何回か経験があります…)

哀れなユーザーは、その度に申し訳ない気持ちでヘルプデスクにアカウントロック解除依頼の連絡をする羽目になります。

ある調査によると、アカウントロック解除やパスワード変更への対応はヘルプデスク業務全体のおよそ30%を占めるそうです。

アカウントロック解除やパスワードリセットをユーザーが行う

“セルフサービスパスワードリセット”は、StoreFrontのログイン画面で、「セキュリティの質問」に回答することで、ユーザー自身でパスワードリセットやアカウントロック解除ができる便利な機能です。

この機能は以前からあったのですが、XenApp 6.5でサービスを配信させる必要ありました。今回のリリースでは機能を独立させ、XenApp 6.5のコンポーネントを不要としています。

事前準備

まず、コンポーネント間の関係を把握しましょう。

fig1

ここでのポイントは以下になります。

  • Self-Service Password Reset (SSPR)サーバーはデリバリーコントローラーやStoreFrontとは分ける
  • SSPRとデータ保存先の中央ストア(Central Storage Server)はServer Message Block(SMB)で通信
    ※SSPRサーバーに中央ストアを作成することを推奨
  • SSPRサーバーがライセンスサーバーと通信
    ※XenAppもしくはXenDesktop Platinumエディションが必要

ファイアウォールの設定など、詳細は以下ご確認ください。

【安全な構成】

http://docs.citrix.com/ja-ja/self-service-password-reset/1-0/secure.html

次にシステム要件を確認します。

【システム要件】

http://docs.citrix.com/ja-ja/self-service-password-reset/1-0/system-requirements.html

ポイントは以下になります。

  • ドメインコントローラーへのインストールは未サポート
  • SSPRサーバーはWindows Server 2016にも対応
  • Self-Service Account(ドメインパスワードの再設定、アカウントロック解除するための権限を持つアカウント)を作成
  • Data Proxy Account(中央ストアへの読み書き権限を持つアカウント)を作成
  • StoreFrontとはTLS通信
  • Receiver for Web / Windows / Linux対応
  • NetScaler Gateway経由の接続は未サポート

インストールと管理コンソール起動

XenApp/XenDesktop 7.11のインストールメディアで「セルフサービスパスワードリセット」を選択し、インストールウィザードを実行します。

fig2

アプリ一覧から起動します。

fig3

アカウント作成

・Self-Service Account作成

ドメインパスワードの再設定、アカウントロック解除するための権限を持つアカウントを作成します。詳細は以下ご確認ください。

http://docs.citrix.com/ja-ja/self-service-password-reset/1-0/secure.html

・Data Proxy Account作成

ドメイン管理者/ローカル管理者グループに所属しないドメインメンバーのアカウントを作成します。

中央ストアの作成

共有の設定を下記に沿って設定します。

http://docs.citrix.com/ja-ja/self-service-password-reset/1-0/install-configure.html

「データアクセスの暗号化」を有効化する必要があるため、SMB 3.0をサポートするWindows Server 2012 R2以降のサーバー上に作成します。

fig4

Self-Service Password Resetの構成

・サービスの構成

fig5

作成した共有フォルダ、Self-Service Account、Data Proxy Accountの設定をします。

fig6

・ユーザー設定

SSPRを有効化するユーザーを、OU単位、グループ単位、ユーザー単位で設定します。上段は「OUまたはユーザー」、下段は「グループ」の入力欄です。

本検証環境では「グループ」に「Domain Users」を入力しました。

fig8

次にライセンスサーバーの指定を行った後、SSPRの設定を行います。有効化するオプションの選択とサービスアドレス(”<SSPRのFQDN>/mpmservice”)を入力します。
※IISでSSL有効化をしていないとエラーが表示されます。

fig9

・ユーザー識別処理

fig10

デフォルトで4つの質問が用意されています。質問の新規作成や、質問をグループ化しユーザーが回答しなければならない質問の数を設定することが可能です。

本検証環境ではデフォルトの質問のうち2つをグループ化し、ユーザーにはその質問のうちどちらかを選択して回答を求めるシナリオで設定しました。

まず、言語を選択します。(ドイツ語、英語、スペイン語、日本語、フランス語)

fig11

次に、「セキュリティ用の質問」で「グループの作成」-「編集」でグループの名前の設定と質問の内容、質問の数を設定します。

fig12

「質問リスト」ではデフォルトの4つの質問を削除します。

※グループに含まれる質問が残っている状態だと、新規作成したグループが追加できません。

「追加」をクリックすると作成したグループが表示されるので追加します。

fig13

StoreFrontの構成

※HTTPSでStoreFrontのベースURLを構成しておく必要があるため、HTTPS化されていない場合は以下を参考にStoreFrontの設定を行います。

【How to Change the Server Base URL from HTTP to HTTPS on Citrix StoreFront】

http://support.citrix.com/article/CTX135050

Studioにてストアを選択し、右ペインの「認証方法の管理」で「ユーザー名とパスワード」の横の歯車マークをクリックすると「アカウントセルフサービスの構成」が表示されます。

fig14

※先に進む前に「パスワードオプションの管理」で「ユーザーにパスワードの変更を許可する」を「常時」に設定します。これでSSPRの「パスワードリセットを有効にする」が選択可能になります。

fig15

「アカウントセルフサービスの構成」で「Citrix SSPR」を選択します。

fig16

SSPRで有効化するオプションの選択とSSPRアカウントサービスのURLを”https://<SSPRのFQDN>/mpmservice”の形式で入力します。

fig17

以上でStoreFrontの設定は完了です。

セキュリティの質問の登録

SSPRが有効化されたユーザーでStoreFrontにログオンすると、画面上部に「タスク」が追加されており、「セキュリティの質問の管理」が利用できます。

fig18

起動してパスワード入力後、質問に対する回答を登録します。

fig19

SSPRの利用

SSPRが有効化された状態でStoreFrontにアクセスすると「アカウントセルフサービス」オプションが確認できます。

fig20

ここから、タスクを選択してアカウントロックの解除やパスワードリセットが実行可能です。

fig21

動作確認

パスワードを規定回数間違えてアカウントロックされた後にStoreFrontからログオンしようとすると、自動的に「アカウントのロック解除」画面に移行します。

fig22

ユーザー名を入力すると、「セキュリティの質問の管理」で登録した質問と回答の入力を求められます。

fig23

正しい回答を入力すると、アカウントのロック解除が実行されます。

fig24

以上で動作確認ができました。

まとめ

パスワードの管理は、ヘルプデスク業務にもユーザーの業務生産性にも関わる見えないコストの代表例です。シンプルな仕組みで導入しやすくなった新しいセルフパスワードリセットの導入を是非ご検討ください。

シトリックス・システムズ・ジャパン株式会社
セールスエンジニアリング本部 井深祐輝

参考情報

・英語版ブログ

【Self-Service Password Reset for FMA!】

https://www.citrix.com/blogs/2016/09/14/self-service-password-reset-for-fma/

・XenApp / XenDesktop 7.11紹介ブログ

https://www.citrix.com/blogs/2016/09/29/xenapp-xendesktop-7-11提供開始!-その1/

・製品ドキュメント

http://docs.citrix.com/ja-ja/self-service-password-reset/1-0.html

・XenApp / XenDesktop 7.11新機能

https://docs.citrix.com/ja-ja/xenapp-and-xendesktop/7-11/whats-new.html

・XenApp 7.11 / XenDesktop 7.11ダウンロードページ

https://www.citrix.co.jp/downloads.html