Citrix ADC

LDAP-Authentifizierungsrichtlinien

Wie bei anderen Typen von Authentifizierungsrichtlinien besteht eine LDAP-Authentifizierungsrichtlinie (Lightweight Directory Access Protocol) aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest. Zusätzlich zu den Standardauthentifizierungsfunktionen kann LDAP andere Active Directory-Server (AD) nach Benutzerkonten für Benutzer suchen, die lokal nicht vorhanden sind. Diese Funktion wird als Verweisunterstützung oder Verweisjagd bezeichnet.

Normalerweise konfigurieren Sie Citrix ADC für die Verwendung der IP-Adresse des Authentifizierungsservers während der Authentifizierung. Bei LDAP-Authentifizierungsservern können Sie den ADC auch so konfigurieren, dass er den FQDN des LDAP-Servers anstelle seiner IP-Adresse zum Authentifizieren von Benutzern verwendet. Die Verwendung eines FQDN kann eine ansonsten viel komplexere Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration in Umgebungen vereinfachen, in denen sich der Authentifizierungsserver möglicherweise an einer von mehreren IP-Adressen befindet, aber immer einen einzigen FQDN verwendet. Um die Authentifizierung mithilfe des FQDN eines Servers anstelle der IP-Adresse zu konfigurieren, führen Sie den normalen Konfigurationsprozess aus, außer wenn Sie die Authentifizierungsaktion erstellen. Beim Erstellen der Aktion verwenden Sie den ServerName-Parameter anstelle des Parameters ServerIP und ersetzen den FQDN des Servers durch seine IP-Adresse.

Bevor Sie entscheiden, ob der ADC für die Verwendung der IP oder des FQDN des LDAP-Servers zur Authentifizierung von Benutzern konfiguriert werden soll, sollten Sie berücksichtigen, dass das Konfigurieren von Authentifizierung, Autorisierung und Überwachung für die Authentifizierung bei einem FQDN anstelle einer IP-Adresse einen zusätzlichen Schritt zum Authentifizierungsprozess hinzufügt. Jedes Mal, wenn der ADC einen Benutzer authentifiziert, muss er den FQDN auflösen. Wenn sehr viele Benutzer versuchen, sich gleichzeitig zu authentifizieren, können die resultierenden DNS-Lookups den Authentifizierungsprozess verlangsamen.

Die LDAP-Verweisunterstützung ist standardmäßig deaktiviert und kann nicht global aktiviert werden. Sie muss für jede LDAP-Aktion explizit aktiviert sein. Sie müssen auch sicherstellen, dass der AD-Server dieselben binddn Anmeldeinformationen akzeptiert, die mit dem verweisenden Server (GC) verwendet werden. Um die Verweisunterstützung zu aktivieren, konfigurieren Sie eine LDAP-Aktion, um Verweise zu folgen, und geben die maximale Anzahl von Verweisen an, die befolgt werden sollen.

Wenn die Verweisunterstützung aktiviert ist und der Citrix ADC eine LDAP_REFERRAL-Antwort auf eine Anforderung, Authentifizierung, Autorisierung und Überwachung erhält, folgt der Verweis auf den Active Directory-Server (AD), der im Verweis enthalten ist, und führt das Update auf diesem Server durch. Zunächst sucht Authentifizierung, Autorisierung und Überwachung den Empfehlungsserver in DNS und stellt eine Verbindung zu diesem Server her. Wenn die Verweisrichtlinie SSL/TLS erfordert, stellt sie eine Verbindung über SSL/TLS her. Es bindet dann an den neuen Server mit den binddn Anmeldeinformationen, die er mit dem vorherigen Server verwendet hat, und führt den Vorgang aus, der den Verweis generiert hat. Diese Funktion ist für den Benutzer transparent.

Die Portnummern für LDAP-Verbindungen lauten:

  • 389 für ungesicherte LDAP-Verbindungen (für Klartext-LDAP)
  • 636 für sichere LDAP-Verbindungen (für SSL LDAP)
  • 3268 für Microsoft unsichere LDAP-Verbindungen (für Nur-Text-Global Catalog Server)
  • 3269 für sichere Microsoft-LDAP-Verbindungen (für SSL Global Catalog Server)

Die folgende Tabelle enthält Beispiele für Benutzerattributfelder für LDAP-Server:

LDAP-Server Benutzerattribut Groß-/Kleinschreibung beachten
Microsoft Active Directory-Server sAMAccountName Nein
Novell eDirectory ou Ja
IBM Directory Server uid Ja
Lotus Domino CN Ja
Sun ONE Verzeichnis (ehemals iPlanet) uid oder cn Ja

Diese Tabelle enthält Beispiele für den Basis-DN:

LDAP-Server Basis-DN
Microsoft Active Directory-Server DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) ou=People,dc=citrix,dc=com

Die folgende Tabelle enthält Beispiele für Bind-DN:

LDAP-Server Binden DN
Microsoft Active Directory-Server CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Weitere Informationen zum Einrichten von Authentifizierungsrichtlinien im Allgemeinen finden Sie unter Authentifizierungsrichtlinien. Weitere Informationen zu Citrix ADC Ausdrücken, die in der Richtlinienregel verwendet werden, finden Sie unter Richtlinien und Ausdrücke.

So erstellen Sie einen LDAP-Authentifizierungsserver mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add authentication ldapAction <name> {-serverIP} <ip_addr|ipv6_addr|> | {-serverName <string>}}

Beispiel

add authentication ldapAction ldap_server -serverip 1.1.1.1 -serverName ldap_test

So erstellen Sie einen LDAP-Authentifizierungsserver mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu System > Authentifizierung > Grundrichtlinien > LDAP > Server > Hinzufügen.

    lokalisiertes Bild

  2. Konfigurieren Sie auf der Seite Authentifizierungs-LDAP-Server erstellen die Paramater für den LDAP-Server.
  3. Klicken Sie auf Erstellen.

So aktivieren Sie die Authentifizierungsrichtlinie mit der Befehlszeilenschnittstelle

add authentication ldappolicy <name> <rule> [<reqAction>]

Beispiel:

add authentication ldappolicy ldap-service-policy ns_true ldap_Server

So erstellen Sie eine LDAP-Authentifizierungsrichtlinie mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu System > Authentifizierung > Grundrichtlinien > LDAP > Richtlinien > Hinzufügen
  2. Konfigurieren Sie auf der Seite Authentifizierungs-LDAP-Richtlinie erstellen die Parameter für die LDAP-Richtlinie.

    lokalisiertes Bild

  3. Klicken Sie auf Erstellen.

Hinweis:

Sie haben die Möglichkeit, LDAP-Server/-Richtlinien über die Registerkarte Sicherheit zu konfigurieren. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Grundrichtlinien > LDAP > Server/Richtlinien.

So aktivieren Sie die LDAP-Verweisunterstützung mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set authentication ldapAction <name> -followReferrals ON
  • set authentication ldapAction <name> -maxLDAPReferrals <integer>

Beispiel

> set authentication ldapAction ldapAction-1 -followReferrals ON
> set authentication ldapAction ldapAction-1 -maxLDAPReferrals 2

Schlüsselbasierte Authentifizierungsunterstützung für LDAP-Benutzer

Mit der schlüsselbasierten Authentifizierung können Sie nun die Liste der öffentlichen Schlüssel abrufen, die auf dem Benutzerobjekt im LDAP-Server über SSH gespeichert sind. Die Citrix ADC Appliance während der rollenbasierten Authentifizierung (RBA) muss öffentliche SSH-Schlüssel vom LDAP-Server extrahieren. Der abgerufene öffentliche Schlüssel, der mit SSH kompatibel ist, muss Ihnen erlauben, sich über die RBA-Methode anzumelden.

Ein neues Attribut “sshPublicKey” wird in den Befehlen “add authentication ldapAction” und “set authentication ldapAction” eingeführt. Wenn Sie dieses Attribut verwenden, können Sie die folgenden Vorteile erhalten:

  • Kann den abgerufenen öffentlichen Schlüssel speichern, und die LDAP-Aktion verwendet dieses Attribut, um SSH-Schlüsselinformationen vom LDAP-Server abzurufen.
  • Kann Attributnamen von bis zu 24 KB extrahieren.

Hinweis:

Der externe Authentifizierungsserver, wie LDAP, wird nur zum Abrufen von SSH-Schlüsselinformationen verwendet. Es wird nicht für Authentifizierungszwecke verwendet.

Es folgt ein Beispiel für den Ablauf von Ereignissen durch SSH:

  • Der SSH-Daemon sendet eine AAA_AUTHENTICATE-Anforderung mit leerem Kennwortfeld an den Authentifizierungs-, Autorisierungs- und Überwachungsdaemon-Port.
  • Wenn LDAP so konfiguriert ist, dass der öffentliche SSH-Schlüssel gespeichert wird, antwortet Authentifizierung, Autorisierung und Überwachung mit dem Attribut “SSHPublicKey” zusammen mit anderen Attributen.
  • Der SSH-Daemon überprüft diese Schlüssel mit den Client-Schlüsseln.
  • Der SSH-Daemon übergibt den Benutzernamen in der Anforderungsnutzlast, und Authentifizierung, Autorisierung und Überwachung gibt die für diesen Benutzer spezifischen Schlüssel zusammen mit generischen Schlüsseln zurück.

Um das Attribut sshPublicKey zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • Mit Add-Operation können Sie SSHPublicKey Attribut hinzufügen, während LDAPAction Befehl konfigurieren.

    add authentication ldapAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-Attribute1 <string>] … [-Attribute16 <string>][-sshPublicKey <string>][-authentication off]

  • Mit set operation können Sie das Attribut SSHPublicKey zu einem bereits hinzugefügten LDAPAction Befehl konfigurieren.

    set authentication ldapAction <name> [-sshPublicKey <string>][-authentication off]

Name-Wert-Attribut-Unterstützung für LDAP-Authentifizierung

Sie können nun die Attribute der LDAP-Authentifizierung mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im LDAP-Aktionsparameter konfiguriert und die Werte werden durch Abfrage des Namens abgerufen. Durch die Nutzung dieser Funktion kann ein Citrix ADC Appliance-Administrator nun die folgenden Vorteile erzielen:

  • Minimiert den Aufwand für Administratoren, indem das Attribut nach Namen (nicht nur nach Wert) gespeichert wird
  • Verbessert die Suche, um den Attributwert abzufragen, der einem Namen zugeordnet ist
  • Bietet eine Option zum Extrahieren mehrerer Attribute

Geben Sie Folgendes ein, um dieses Feature an der Eingabeaufforderung der Citrix ADC Appliance zu konfigurieren:

add authentication ldapAction <name> [-Attribute1 <string>]

Beispiel

add authentication ldapAction ldapAct1 attribute1 mail

Unterstützung für die Validierung der End-to-End-LDAP-Authentifizierung

Die Citrix ADC Appliance kann nun die End-to-End-LDAP-Authentifizierung über GUI validieren. Um diese Funktion zu validieren, wird eine neue Schaltfläche Test in GUI eingeführt. Ein Citrix ADC Appliance-Administrator kann diese Funktion nutzen, um folgende Vorteile zu erzielen:

  • Konsolidiert den gesamten Fluss (Paketengine — AAA Daemon — externer Server), um eine bessere Analyse zu ermöglichen
  • Verkürzt die Zeit bei der Überprüfung und Behebung von Problemen im Zusammenhang mit einzelnen Szenarien

Sie haben zwei Optionen zum Konfigurieren und Anzeigen der Testergebnisse der LDAP-End-to-End-Authentifizierung mit der GUI.

Von Systemoption

  1. Navigieren Sie zu System > Authentifizierung > Grundlegende Richtlinien > LDAP, und klicken Sie auf die Registerkarte Server.
  2. Wählen Sie die verfügbare LDAP-Aktion aus der Liste aus.
  3. Auf der Seite Authentifizierungs-LDAP-Server konfigurieren haben Sie zwei Optionen im Abschnitt Verbindungseinstellungen .
  4. Um die LDAP-Serververbindung zu überprüfen, klicken Sie auf LDAP-Erreichbarkeit testen . Sie können eine Popup-Meldung über eine erfolgreiche Verbindung zum LDAP-Server mit TCP-Portdetails und Authentizität gültiger Anmeldeinformationen anzeigen.
  5. Um die End-to-End-LDAP-Authentifizierung anzuzeigen, klicken Sie auf Endbenutzerverbindung testen .
  6. Klicken Sie auf der Seite Endbenutzerverbindungtesten auf Test .
    • Geben Sie auf der Authentifizierungsseite die gültigen Anmeldeinformationen ein, um sich anzumelden. Der Erfolgsbildschirm wird angezeigt.

    lokalisiertes Bild

    • Wenn die Authentifizierung fehlschlägt, wird der Fehlerbildschirm angezeigt.

    lokalisiertes Bild

Von Authentifizierungsoption

  1. Navigieren Sie zu Authentifizierung > Dashboard, und wählen Sie die verfügbare LDAP-Aktion aus der Liste aus.
  2. Auf der Seite Authentifizierungs-LDAP-Server konfigurieren haben Sie zwei Optionen im Abschnitt Verbindungseinstellungen .
  3. Um die LDAP-Serververbindung zu überprüfen, klicken Sie auf LDAP-Erreichbarkeit testen . Sie können eine Popup-Meldung über eine erfolgreiche Verbindung zum LDAP-Server mit TCP-Portdetails und Authentizität gültiger Anmeldeinformationen anzeigen.
  4. Um den End-to-End-LDAP-Authentifizierungsstatus anzuzeigen, klicken Sie auf Endbenutzerverbindung testen .
  5. Klicken Sie auf der Seite Endbenutzerverbindungtesten auf Test .

    • Geben Sie auf der Authentifizierungsseite die gültigen Anmeldeinformationen ein, um sich anzumelden. Der Erfolgsbildschirm wird angezeigt.

    lokalisiertes Bild

    • Wenn die Authentifizierung fehlschlägt, wird der Fehlerbildschirm angezeigt.

    lokalisiertes Bild

14-Tage-Kennwort-Ablaufbenachrichtigung für LDAP-Authentifizierung

Die Citrix ADC Appliance unterstützt jetzt 14-tägige Kennwortablaufbenachrichtigung für die LDAP-basierte Authentifizierung. Mithilfe dieser Funktion haben Administratoren die Möglichkeit, die Endbenutzer über die Ablaufschwelle des Kennworts in Tagen zu informieren. Die 14-tägige Kennwort-Ablaufbenachrichtigung ist ein Vorläufer für das Self-Service-Kennwort-Reset (SSPR).

Hinweis:

Der maximale Wert oder der Schwellenwert in Tagen für die Kennwortablaufbenachrichtigung beträgt 255 Tage.

Vorteile der Kennwortablaufbenachrichtigung

  • Benutzer können ihre Kennwörter selbst zurücksetzen und Administratoren eine flexible Möglichkeit bieten, den Endbenutzer über den Ablauf ihres Kennworts innerhalb von Tagen zu informieren.
  • Eliminiert die Abhängigkeit von Endbenutzern, um ihre Kennwortablauftage zu verfolgen.
  • Sendet Benachrichtigungen an die VPN-Portalseite an die Benutzer (basierend auf der Anzahl der Tage), um ihr Kennwort vor Ablauf zu ändern.

Hinweis:

Diese Funktion gilt nur für LDAP-basierte Authentifizierungsschemata, nicht für RADIUS oder TACACS.

Verstehen der 14-tägigen Kennwortbenachrichtigung

Die Citrix ADC Appliance ruft zwei Attribute (Max-Pwd-Age und Pwd-Last-Set) vom LDAP-Authentifizierungsserver ab.

  • Max-Pwd-Age. Dieses Attribut gibt die maximale Zeit in Intervallen von 100 Nanosekunden an, bis das Kennwort gültig ist. Der Wert wird als große Ganzzahl gespeichert, die die Anzahl der 100-Nanosekunden-Intervalle ab dem Zeitpunkt darstellt, an dem das Kennwort festgelegt wurde, bevor das Kennwort abläuft.
  • Pwd-Last-Set. Dieses Attribut bestimmt das Datum und die Uhrzeit, zu der das Kennwort für ein Konto zuletzt geändert wurde.

Durch Abrufen der beiden Attribute vom LDAP-Authentifizierungsserver bestimmt die Citrix ADC Appliance die verbleibende Zeit, bis das Kennwort für einen bestimmten Benutzer abläuft. Diese Informationen werden gesammelt, wenn Benutzeranmeldeinformationen auf dem Authentifizierungsserver validiert werden und eine Benachrichtigung an den Benutzer zurückgesendet wird.

Ein neuer Parameter PwdExpiryNotification wird in set aaa parameter Befehl eingeführt. Mithilfe dieses Parameters kann ein Administrator die Anzahl der verbleibenden Tage für das Ablaufdatum des Kennworts verfolgen. Die Citrix ADC Appliance kann nun beginnen, den Endbenutzer über das Ablaufdatum des Kennworts zu benachrichtigen.

Hinweis:

Derzeit funktioniert dieses Feature nur für Authentifizierungsserver mit Microsoft AD-Servern mit LDAP-Implementierung. Die Unterstützung für OpenLDAP-basierte Server wird später angestrebt.

Es folgt ein Beispiel für den Ablauf von Ereignissen zum Einstellen einer 14-tägigen Kennwort-Ablaufbenachrichtigung:

  1. Ein Administrator legt mit der Citrix ADC Appliance eine Zeit (14 Tage) für das Ablaufdatum des Kennworts fest.
  2. Der Benutzer sendet eine HTTP- oder HTTPS-Anforderung, um auf eine Ressource auf dem Backend-Server zuzugreifen.
  3. Vor der Bereitstellung des Zugriffs überprüft die Citrix ADC Appliance die Benutzeranmeldeinformationen mit den auf dem LDAP-Authentifizierungsserver konfigurierten Daten.
  4. Zusammen mit dieser Abfrage an den Authentifizierungsserver trägt die Citrix ADC Appliance die Anforderung, die Details zweier Attribute (Max-Pwd-Age und Pwd-Last-Set) abzurufen.
  5. Basierend auf der verbleibenden Zeit für das Ablaufdatum des Kennworts wird eine Ablaufbenachrichtigung angezeigt.
  6. Der Benutzer ergreift dann geeignete Maßnahmen, um das Kennwort zu aktualisieren.

So konfigurieren Sie 14-Tage-Ablaufbenachrichtigung mit der Befehlszeilenschnittstelle

Hinweis:

14 Tage Ablaufbenachrichtigung kann für CVPN- und Full VPN-Anwendungsfälle und nicht für ICA-Proxy konfiguriert werden.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set aaa parameter –pwdExpiryNotificationDays <positive_integer>
  • show aaa parameter

Beispiel

> set aaa parameter -pwdExpiryNotificationDays 14
Fertig
> show aaa parameter                          Configured AAA parameters  EnableStaticPageCaching: YES  EnableEnhancedAuthFeedback: NO  DefaultAuthType: LOCAL MaxAAAUsers:           Unlimited                                       AAAD nat ip: None            EnableSessionStickiness : NO  aaaSessionLoglevel : INFORMATIONAL               AAAD Log Level : INFORMATIONAL                 Dynamic address: OFF
   GUI mode: ON
   Max Saml Deflate Size: 1024              Password Expiry Notification Days: 14

So konfigurieren Sie 14-Tage-Ablaufbenachrichtigung mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Authentifizierungseinstellungen.
  2. Klicken Sie auf Authentifizierungs-AAA-Einstellungen ändern.
  3. Geben Sie auf der Seite AAA Parameter konfigurieren die Tage im Feld Kennwortablaufbenachrichtigung (Tage) an.

    lokalisiertes Bild

  4. Klicken Sie auf OK.

    Die Benachrichtigung wird in der oberen rechten Ecke der VPN-Portalseite angezeigt, wie unten dargestellt.

    lokalisiertes Bild