Authentifizierungsrichtlinien

Hinweis:

Citrix ADC Appliance kodiert nur UTF-8-Zeichen für die Authentifizierung und ist nicht kompatibel mit Servern, die ISO-8859-1-Zeichen verwenden.

Citrix ADC kann Benutzer mit lokalen Benutzerkonten oder mithilfe eines externen Authentifizierungsservers authentifizieren. Die Appliance unterstützt die folgenden Authentifizierungstypen:

  • LOCAL

    Authentifiziert sich bei der Citrix ADC Appliance mithilfe eines Kennworts ohne Verweis auf einen externen Authentifizierungsserver. Benutzerdaten werden lokal auf der Citrix ADC Appliance gespeichert.

  • RADIUS

    Authentifizieren Sie sich bei einem externen RADIUS-Server.

  • LDAP

    Authentifiziert sich bei einem externen LDAP-Authentifizierungsserver.

  • TACACS

    Authentifiziert sich bei einem externen TACACS-Authentifizierungsserver (Terminal Access Controller Access-Control System).

    Nachdem sich ein Benutzer bei einem TACACS-Server authentifiziert hat, stellt der Citrix ADC eine Verbindung mit demselben TACACS-Server für alle nachfolgenden Berechtigungen her. Wenn ein primärer TACACS-Server nicht verfügbar ist, verhindert diese Funktion Verzögerungen, während der ADC auf das Timeout des ersten TACACS-Servers wartet, bevor die Autorisierungsanforderung an den zweiten TACACS-Server erneut gesendet wird.

    Hinweis:

    Bei der Authentifizierung über einen TACACS-Server haben Authentifizierungs-, Autorisierungs- und Überwachungsprotokolle nur erfolgreich TACACS-Befehle ausgeführt, um zu verhindern, dass die Protokolle TACACS-Befehle anzeigen, die von Benutzern eingegeben wurden, die nicht zur Ausführung berechtigt waren.

Ab NetScaler 12.0 Build 57.x blockiert das Terminal Access Controller Access Control System (TACACS) den Authentifizierungs-, Autorisierungs- und Auditing-Daemon beim Senden der TACACS-Anfrage nicht. Der Authentifizierungs-, Autorisierungs- und Auditing-Daemon ermöglicht die LDAP- und RADIUS-Authentifizierung mit der Anforderung fortzufahren. Die TACACS-Authentifizierungsanforderung wird fortgesetzt, sobald der TACACS-Server die TACACS-Anforderung bestätigt.

  • CERT

    Authentifiziert sich bei der Citrix ADC Appliance mithilfe eines Clientzertifikats ohne Verweis auf einen externen Authentifizierungsserver.

  • NEGOTIATE

    Authentifiziert sich bei einem Kerberos-Authentifizierungsserver. Wenn bei der Kerberos-Authentifizierung ein Fehler auftritt, verwendet Citrix ADC die NTLM-Authentifizierung.

  • SAML

    Authentifiziert sich bei einem Server, der die Security Assertion Markup Language (SAML) unterstützt.

  • SAML IDP

    Konfiguriert den Citrix ADC als Identitätsanbieter (Security Assertion Markup Language) (SAML).

  • WEB

    Authentifiziert sich bei einem Webserver und stellt die Anmeldeinformationen bereit, die der Webserver in einer HTTP-Anforderung benötigt, und analysiert die Webserverantwort, um festzustellen, dass die Benutzerauthentifizierung erfolgreich war.

Eine Authentifizierungsrichtlinie besteht aus einem Ausdruck und einer Aktion. Authentifizierungsrichtlinien verwenden Citrix ADC Ausdrücke.

Binden Sie nach dem Erstellen einer Authentifizierungsaktion und einer Authentifizierungsrichtlinie an einen virtuellen Authentifizierungsserver und weisen Sie ihm eine Priorität zu. Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest. Primäre Richtlinien werden vor sekundären Richtlinien ausgewertet. In Konfigurationen, die beide Richtlinientypen verwenden, sind primäre Richtlinien normalerweise spezifischere Richtlinien, während sekundäre Richtlinien normalerweise allgemeinere Richtlinien sind, die die Authentifizierung für Benutzerkonten behandeln sollen, die die spezifischeren Kriterien nicht erfüllen.

Name-Wert-Attribut-Unterstützung für die TACACS-Authentifizierung

Sie können nun TACACS Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im Aktionsparameter TACACS konfiguriert und die Werte werden durch Abfrage der Namen ermittelt. Durch Angabe des Name-Attributwerts können Administratoren problemlos nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr allein nach seinem Wert merken.

Wichtig

  • Im Befehl tacacsAction können Sie maximal 64 Attribute durch Komma getrennt mit einer Gesamtgröße von weniger als 2048 Byte konfigurieren.

So konfigurieren Sie die Name-Wert-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication tacacsAction <name> [-Attributes <string>]

Beispiel:

add authentication tacacsAction tacacsAct1 -attributes "mail,sn,userprincipalName"

So fügen Sie mit der Befehlszeilenschnittstelle eine Authentifizierungsaktion hinzu

Wenn Sie keine LOCAL-Authentifizierung verwenden, müssen Sie eine explizite Authentifizierungsaktion hinzufügen. Geben Sie hierzu an der Eingabeaufforderung den folgenden Befehl ein:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Beispiel


> add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

So konfigurieren Sie eine Authentifizierungsaktion mit der Befehlszeilenschnittstelle

Um eine vorhandene Authentifizierungsaktion zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Beispiel

> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

So entfernen Sie eine Authentifizierungsaktion mit der Befehlszeilenschnittstelle

Um eine vorhandene RADIUS-Aktion zu entfernen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

rm authentication radiusAction <name>

Beispiel


> rm authentication tacacsaction Authn-Act-1
Done

So konfigurieren Sie einen Authentifizierungsserver mit dem Konfigurationsdienstprogramm

Hinweis:

Im Konfigurationsdienstprogramm wird der Termserver anstelle von Aktion verwendet, bezieht sich aber auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung.
  2. Führen Sie im Detailbereich auf der Registerkarte Server eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um einen neuen Authentifizierungsserver zu erstellen.
    • Um einen vorhandenen Authentifizierungsserver zu ändern, wählen Sie den Server aus, und klicken Sie dann auf Öffnen.
  3. Geben Sie im Dialogfeld Authentifizierungsserver erstellen oder Authentifizierungsserver konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    • Name* — radiusActionName (Kann für eine zuvor konfigurierte Aktion nicht geändert werden)
    • Authentifizierungstyp * — authtype (auf RADIUS gesetzt, kann nicht geändert werden)
    • IP-Adresse*—serverip </IP>
    • IPv6* — Aktivieren Sie das Kontrollkästchen, wenn die Server-IP eine IPv6-IP ist. (Keine Befehlszeilenäquivalent.)
    • Port*—serverPort
    • Timeout (Sekunden) *— authTimeout
  4. Klicken Sie auf Erstellen oder OK, und klicken Sie dann auf Schließen . Die von Ihnen erstellte Richtlinie wird auf der Seite Authentifizierungsrichtlinien und Server angezeigt.

So erstellen und binden Sie eine Authentifizierungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein, um eine Authentifizierungsrichtlinie zu erstellen und zu binden und die Konfiguration zu überprüfen:

  • add authentication negotiatePolicy <name> <rule> <reqAction>
  • show authentication localPolicy <name>
  • bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
  • show authentication vserver <name>

Beispiel


  > add authentication localPolicy Authn-Pol-1 ns_true   Done
  > show authentication localPolicy
  1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done
  > bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
  Done
  > show authentication vserver Auth-Vserver-2          Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED          Disable Primary Vserver On Down : DISABLED          Authentication : ON          Current AAA Users: 0          Authentication Domain: myCompany.employee.com
  1)  Primary authentication policy name: Authn-Pol-1 Priority: 0
  Done

So ändern Sie eine vorhandene Authentifizierungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine vorhandene Authentifizierungsrichtlinie zu ändern:

set authentication localPolicy <name> <rule> [-reqaction <action>]

Beispiel


> set authentication localPolicy Authn-Pol-1 'ns_true'  Done

So entfernen Sie eine Authentifizierungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um eine Authentifizierungsrichtlinie zu entfernen:

rm authentication localPolicy <name>

Beispiel


> rm authentication localPolicy Authn-Pol-1
Done

So konfigurieren und binden Sie Authentifizierungsrichtlinien mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung, und wählen Sie dann den zu erstellenden Richtlinientyp aus.
  2. Führen Sie im Detailbereich auf der Registerkarte Richtlinien eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um eine neue Richtlinie zu erstellen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Aktion aus, und klicken Sie dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen oder Authentifizierungsrichtlinie konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    • Name — policyname (Kann nicht für eine zuvor konfigurierte Aktion geändert werden)
    • Authentifizierungstyp — authtype
    • Server — authVsName
    • Ausdruck — Regel (Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unterhalb des Ausdrucksfensters auswählen und dann den Ausdruck direkt in den Ausdruckstextbereich eingeben oder auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und das Dropdown-Menü unten Listen darin, um Ihren Ausdruck zu konstruieren.)
  4. Klicken Sie auf Erstellen oder OK. Die von Ihnen erstellte Richtlinie wird auf der Seite Richtlinien angezeigt.
  5. Klicken Sie auf die Registerkarte Server, und führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Um einen vorhandenen Server zu verwenden, wählen Sie ihn aus, und klicken Sie dann auf.
    • Um einen neuen Server zu erstellen, klicken Sie auf Hinzufügen, und folgen Sie den Anweisungen.
  6. Wenn Sie diese Richtlinie als sekundäre Authentifizierungsrichtlinie festlegen möchten, klicken Sie auf der Registerkarte Authentifizierung auf Sekundär. Wenn Sie diese Richtlinie als primäre Authentifizierungsrichtlinie festlegen möchten, überspringen Sie diesen Schritt.
  7. Klicken Sie auf Richtlinie einfügen.
  8. Wählen Sie in der Dropdownliste die Richtlinie aus, die an den virtuellen Authentifizierungsserver gebunden werden soll.
  9. Ändern Sie in der Spalte Priorität links die Standardpriorität nach Bedarf, um sicherzustellen, dass die Richtlinie in der richtigen Reihenfolge ausgewertet wird.
  10. Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich konfiguriert wurde.

Unterstützung zum Abrufen aktueller Anmeldeversuche für einen Benutzer

Die Citrix ADC Appliance bietet eine Option, um den Wert der aktuellen Anmeldeversuche für einen Benutzer mit dem neuen Ausdruck “aaa.user.login_attempts” abzurufen. Der Ausdruck verwendet entweder ein Argument (Benutzername) oder kein Argument. Wenn kein Argument vorhanden ist, ruft der Ausdruck den Benutzernamen aus der aaa_session oder aaa_info ab.

Sie können den Ausdruck “aaa.user.login_attempts” mit Authentifizierungsrichtlinien für die weitere Verarbeitung verwenden.

So konfigurieren Sie die Anzahl der Anmeldeversuche pro Benutzer mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add expression er aaa.user.login_attempts