説明/参照：
Explanation:
http://support.citrix.com/article/CTX111079
NetScaler VPNのログインページにログイン資格情報を入力してEnterキーを押すと、資格情報がActive Directoryに送信され、検証されます。ユーザ名とパスワードが有効な場合、Active Directoryはユーザ属性をNetScalerアプライアンスに送信します。 memberOf属性は、Active DirectoryがNetScalerアプライアンスに送信する属性の1つです。この属性には、Active Directory内のメンバーとして定義されているグループ名が含まれます。複数のActive Directoryグループのメンバーである場合、複数のmemberOf属性がNetScalerアプライアンスに送信されます。その後、NetScalerアプライアンスはこの情報を解析して、memberOf属性がアプライアンスに設定されている検索フィルタパラメータと一致するかどうかを判断します。属性が一致すると、ネットワークにログインできます。
次に、Active DirectoryがNetScalerアプライアンスに送信できるサンプルアトリビュートを示します。
dn：CN = johnd、CN = Users、DC = citrix、DC = com
changetype：add
memberOf：CN = VPNAllowed、OU =サポート、DC = citrix、DC = com
cn：johnd
givenName：john
objectClass：user
sAMAccountName：johnd
Active Directoryグループを抽出するためのNetScalerアプライアンスの設定Active Directoryグループを抽出し、クライアントがLightweightを使用してActive Directoryグループに基づいてNetScaler VPNにアクセスできるようにNetScalerアプライアンスを設定するには
ディレクトリアクセスプロトコル（LDAP）認証を使用するには、次の手順を実行します。
アクセス許可を持つActive Directoryグループを決定します。グループ抽出のためにNetScalerアプライアンスを設定するには、ネットワークリソースへのアクセスを許可するために、ユーザがメンバーになる必要があるグループを定義する必要があります。注：正確な構文を判別するには、「NetScalerアプライアンスでのグループのトラブルシューティングのトラブルシューティング」を参照する必要があります。
検索フィルターの構文を決定します。
次のサンプルスクリーンショットのように、[認証サーバーの作成]ダイアログボックスの[検索フィルタ]フィールドに適切な構文を入力します。

注意：memberOf =で検索フィルタのファイルに値を開始し、値に埋め込みスペースがないことを確認してください。
NetScalerアプライアンスのコマンドラインインターフェイスからのグループ抽出を使用したLDAP認証を、上記のスクリーンショットの値と似た値に設定するには、次のコマンドを実行します。
認証ldapaction LDAP認証を追加する
-serverip 10.3.4.15
-ldapBase "CN = Users、DC = citrix、DC = com"
-ldapBindDn "CN =管理者、CN = Users、DC = citrix、DC = com" -ldapBindDnPassword ..dd2604527edf70
-ldapLoginName sAMAccountName
-searchFilter "memberOf = CN = VPNAllowed、OU = support、DC = citrix、DC = com" -groupAttrName memberOf
-subAttributeName CN
注：subAttributeNameパラメーターをCNに設定してください。 NetScalerアプライアンスでのグループ抽出のトラブルシューティングNetScalerアプライアンスでのグループ抽出のトラブルシューティングを行うには、次の点を考慮してください。
グループ抽出のためにLDAPポリシーを構成した後にLDAPポリシーが失敗する場合は、LDAPが適切に構成されるようにグループ抽出が構成されていないポリシーを作成することをお勧めします。 MicrosoftのLDAPデータ交換フォーマットデータ交換（LDIFDE）ユーティリティを使用して、Active Directoryサーバーから属性を抽出して、memberOfグループの正確な内容を判断する必要があります。
このユーティリティは、Active Directoryサーバー上で実行する必要があります。 LDIFDEユーティリティを実行するコマンドの構文は、次のとおりです。
ldifde -f <ファイル名> -s <AD_Server_Name> -d "dc = <ドメイン名>、dc = com" -pサブツリー-r "（＆（objectCategory = person）（objectClass =ユーザー）（givenname = *））" l
"cn、givenName、objectclass、samAccountName、memberOf"
上記のコマンドを実行すると、File_Nameパラメーターに指定した名前のテキストファイルが作成されます。このファイルには、Active Directoryのすべてのオブジェクトが含まれています。作成されたテキストファイルの例を次に示します。
dn：CN = johnd、CN = Users、DC = citrix、DC = com
changetype：add
memberOf：CN = VPNAllowed、OU =サポート、DC = citrix、DC = com
cn：johnd
givenName：john
objectClass：user
sAMAccountName：johnd