ADC

Web-Authentifizierung

Authentifizierung, Autorisierung und Überwachung können nun einen Benutzer bei einem Webserver authentifizieren, indem die Anmeldeinformationen bereitgestellt werden, die der Webserver in einer HTTP-Anforderung benötigt, und die Webserverantwort analysiert wird, um festzustellen, dass die Benutzerauthentifizierung erfolgreich war. Wie bei anderen Typen von Authentifizierungsrichtlinien besteht eine Webauthentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest.

Um die webbasierte Authentifizierung mit einem bestimmten Webserver einzurichten, erstellen Sie zunächst eine Webauthentifizierungsaktion. Da die Authentifizierung bei Webservern kein starres Format verwendet, müssen Sie beim Erstellen der Aktion genau angeben, welche Informationen der Webserver benötigt und in welchem Format benötigt. Dazu erstellen Sie einen Ausdruck in der Standardsyntax der Citrix ADC Appliance, der die folgenden Elemente enthält:

  • Server-IP— Die IP-Adresse des Authentifizierungswebservers.
  • Serverport— Der Port des Authentifizierungswebservers.
  • Authentifizierungsregel— Ein Ausdruck in der Standardsyntax der Citrix ADC Appliance, der die Anmeldeinformationen des Benutzers in dem vom Webserver erwarteten Format enthält.
  • Schema— HTTP (für unverschlüsselte Webauthentifizierung) oder HTTPS (für verschlüsselte Webauthentifizierung).
  • Erfolgsregel— Ein Ausdruck in der Standardsyntax der Citrix ADC Appliance, der mit der Antwortzeichenfolge des Webservers übereinstimmt, die angibt, dass der Benutzer erfolgreich authentifiziert wurde.

Befolgen Sie für alle anderen Parameter die normalen Regeln für den Befehl Authentifizierungsaktion hinzufügen.

Als Nächstes erstellen Sie eine Richtlinie, die dieser Aktion zugeordnet ist. Die Richtlinie ähnelt einer LDAP-Richtlinie, und wie LDAP-Richtlinien verwendet die Citrix ADC Appliance-Syntax.

Hinweis:

Diese Anweisungen gehen davon aus, dass Sie bereits mit den Authentifizierungsanforderungen der Webserver, auf denen Sie sich authentifizieren möchten, vertraut sind und den Webauthentifizierungsserver bereits konfiguriert haben.

So konfigurieren Sie eine Webauthentifizierungsaktion mit der Befehlszeilenschnittstelle

Um eine Webauthentifizierungsaktion in der Befehlszeile zu erstellen, geben Sie in der Befehlszeile den folgenden Befehl ein:

add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->

Beispiel

add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"

add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"

add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->

So konfigurieren Sie eine Webauthentifizierungsaktion mit dem Konfigurationsdienstprogramm

Hinweis:

Im Konfigurationsdienstprogramm wird der Termserver anstelle von Aktion verwendet, bezieht sich aber auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > LDAP.
  2. Führen Sie im Detailbereich auf der Registerkarte Server eine der folgenden Aktionen aus:

    • Wenn Sie eine neue Webauthentifizierungsaktion erstellen möchten, klicken Sie auf Hinzufügen.
    • Wenn Sie eine vorhandene Webauthentifizierungsaktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann auf Bearbeiten.
  3. Wenn Sie eine neue Webauthentifizierungsaktion erstellen, geben Sie im Dialogfeld Authentifizierungswebserver erstellen im Textfeld Name einen Namen für die neue Webauthentifizierungsaktion ein. Der Name kann von einem bis 127 Zeichen lang sein und kann aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrich (-) und Unterstrich (_) bestehen. Wenn Sie eine vorhandene Webauthentifizierungsaktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt. Sie können ihn nicht ändern.</span>
  4. Geben Sie im Textfeld IP-Adresse des Webservers die IPv4- oder IPv6-IP-Adresse des Authentifizierungswebservers ein. Wenn es sich bei der Adresse um eine IPv6-IP-Adresse handelt, aktivieren Sie zuerst das Kontrollkästchen IPv6.
  5. Geben Sie im Textfeld Port die Portnummer ein, auf der der Webserver Verbindungen akzeptiert.
  6. Wählen Sie HTTP oder HTTPS in der Dropdownliste Protokoll aus.
  7. Geben Sie im Textbereich HTTP-Anforderungsausdruck einen regulären Ausdruck im PCRE-Format ein, der die Webserveranforderung erstellt, die die Anmeldeinformationen des Benutzers im genauen Format enthält, das vom Authentifizierungswebserver erwartet wird.
  8. Geben Sie im Textbereich Ausdruck zum Überprüfen der Authentifizierung einen Standardsyntax der Citrix ADC Appliance ein, der die Informationen in der Webserverantwort beschreibt, die angibt, dass die Benutzerauthentifizierung erfolgreich war.
  9. Füllen Sie die verbleibenden Felder aus, wie in der Dokumentation zur allgemeinen Authentifizierungsaktion beschrieben.
  10. Klicken Sie auf OK.
Web-Authentifizierung