Citrix ADC

401-basierte Authentifizierung

Mit der 401-basierten Authentifizierung zeigt die Citrix ADC-Appliance dem Endbenutzer ein Popup-Dialogfeld an.

401 basiert AAA-TM

Das formularbasierte AAA-TM arbeitet mit den Umleitungsnachrichten. Einige Anwendungen unterstützen jedoch keine Weiterleitungen. In solchen Anwendungen wird 401-Authentifizierung aktiviertes AAA-TM verwendet.

Stellen Sie Folgendes sicher, damit AAA-TM mit 401-Authentifizierung aktiviert ist:

  • Der ‘AuthNVSName’ -Parameterwert für den virtuellen Lastausgleichsserver muss der Name des virtuellen Authentifizierungsservers sein, der zur Authentifizierung von Benutzern verwendet werden soll.

  • ‘authn401’ -Parameter muss aktiviert sein. Der Befehl zum Konfigurieren des gleichen lautet wie folgt:

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

Die folgenden Schritte führen Sie durch, wie die 401-Authentifizierung funktioniert:

  1. Der Benutzer versucht, über den virtuellen Lastausgleichsserver auf eine bestimmte URL zuzugreifen.

  2. Der virtuelle Lastausgleichsserver sendet eine 401-HTTP-Antwort an den Benutzer zurück und gibt an, dass für den Zugriff eine Authentifizierung erforderlich ist.
  3. Der Benutzer sendet seine Anmeldeinformationen im Autorisierungsheader an den virtuellen Lastausgleichsserver.
  4. Der virtuelle Lastausgleichsserver authentifiziert den Benutzer und verbindet den Benutzer dann mit den Back-End-Servern.

    401 basiertes AAA-TM-Flussdiagramm

Wichtig:

Für einen virtuellen Lastausgleichsserver mit eingeschalteter 401-Authentifizierung können in kurzer Zeit mehrere Authentifizierungs- und Autorisierungssitzungen für denselben Benutzer erstellt werden. Dies könnte zu einem Anstieg des Speichers führen. In diesem Fall können Sie die folgende Konfiguration auf der Citrix ADC-Appliance anwenden, um die Endclientanwendung zu debuggen und zu identifizieren.


>set syslogparams -userDefinedAuditlog yes
>
>add audit messageaction 401_log_act InFORMATIONAL '"LB-401 accessed: User: <" + AAA.USER.NAME + "> SessionID <"+ AAA.USER.SESSIONID + "> Client :<" + CLIENT.IP.SRC + "> accessed URL: <" + HTTP.REQ.URL + ">"'
>
>add rewritepolicy rewrite_401_log true NOREWRITE -logAction 401_log_act
>
>bind lb vserver <lb_name> -policyName rewrite_401_log -priority 100 -type reqUEST

<!--NeedCopy-->
401-basierte Authentifizierung

In diesem Artikel