Citrix ADC

Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC-Appliance

In diesem Thema werden ausführliche Schritte zum Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC-Appliance mithilfe der CLI und der GUI beschrieben.

Konfigurieren der Kerberos-Authentifizierung auf der CLI

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion, um die Authentifizierung von Datenverkehr auf der Appliance

    ns-cli-prompt ns-funktion aktivieren AAA

  2. Fügen Sie die Keytab-Datei der Citrix ADC-Appliance hinzu. Eine Keytab-Datei ist erforderlich, um das während der Kerberos-Authentifizierung vom Client erhaltene Geheimnis zu entschlüsseln. Eine einzelne Keytab-Datei enthält Authentifizierungsdetails für alle Dienste, die an den virtuellen Verkehrsverwaltungsserver auf der Citrix ADC-Appliance gebunden sind.

    Generieren Sie zuerst die Keytab-Datei auf dem Active Directory-Server und übertragen Sie sie dann auf die Citrix ADC-Appliance.

    • Melden Sie sich am Active Directory-Server an und fügen Sie einen Benutzer für die Kerberos-Authentifizierung hinzu. Um beispielsweise einen Benutzer mit dem Namen “Kerb-SVC-Account” hinzuzufügen:

      net user Kerb-SVC-Account freebsd!@#456 /add

      Hinweis

      Stellen Sie im Abschnitt Benutzereigenschaften sicher, dass die Option “Kennwort bei der nächsten Anmeldung ändern” nicht ausgewählt ist und die Option “Kennwort läuft nicht ab” ausgewählt ist.

    • Ordnen Sie den HTTP-Dienst dem obigen Benutzer zu und exportieren Sie die Keytab-Datei. Führen Sie beispielsweise den folgenden Befehl auf dem Active Directory-Server aus:

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      Hinweis

      Sie können mehr als einen Dienst zuordnen, wenn eine Authentifizierung für mehr als einen Dienst erforderlich ist. Wenn Sie weitere Dienste zuordnen möchten, wiederholen Sie den obigen Befehl für jeden Dienst. Sie können denselben Namen oder unterschiedliche Namen für die Ausgabedatei angeben.

    • Übertragen Sie die Keytab-Datei mit dem Unix-Befehl ftp oder einem anderen Dateiübertragungsprogramm Ihrer Wahl auf die Citrix ADC-Appliance. Laden Sie die Keytab-Datei in das Verzeichnis /nsconfig/krb/auf die Citrix ADC-Appliance hoch.

  3. Die Citrix ADC-Appliance muss die IP-Adresse des Domänencontrollers aus dem vollqualifizierten Domänennamen (FQDN) beziehen. Citrix empfiehlt daher, den Citrix ADC mit einem DNS-Server zu konfigurieren.

    ns-cli-prompt> add dns nameserver <ip-address>

    Hinweis

    Alternativ können Sie statische Hosteinträge hinzufügen oder andere Mittel verwenden, damit die Citrix ADC-Appliance den FQDN-Namen des Domänencontrollers in eine IP-Adresse auflösen kann.

  4. Konfigurieren Sie die Authentifizierungsaktion und ordnen Sie sie anschließend einer Authentifizierungsrichtlinie zu.

    • Konfigurieren Sie die Aushandlungsaktion.

      <ns-cli-prompt> add authentication negotiateAction <name> -domain <domain name> -domainUser <domain user name> -domainUserPasswd <domain user password> -defaultAuthenticationGroup <default authentication group> -keytab <string> -NTLMPath <string>

      Hinweis: Wechseln Sie für die Konfiguration von Domänenbenutzern und Domänennamen zum Client und verwenden Sie den Befehl klist wie im folgenden Beispiel gezeigt:

      Client: username @ AAA.LOCAL

      Server: HTTP/onprem_idp.aaa.local @ AAA.LOCAL

      add authentication negotiateAction <name> -domain <AAA.LOCAL> -domainUser <HTTP/onprem_idp.aaa.local>

    • Konfigurieren Sie die Verhandlungsrichtlinie, und ordnen Sie die Verhandlungsaktion dieser Richtlinie zu.

      <ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. Erstellen Sie einen virtuellen Authentifizierungsserver und verknüpfen Sie die Verhandlungsrichtlinie damit.

    • Erstellen Sie einen virtuellen Authentifizierungsserver.

      <ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.

      <ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).

    <ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    Hinweis

    Ähnliche Konfigurationen können auch auf dem virtuellen Content Switching-Server vorgenommen werden.

  7. Überprüfen Sie die Konfigurationen, indem Sie Folgendes tun:

    • Greifen Sie mit dem FQDN auf den virtuellen Server zur Datenverkehrsverwaltung zu. Beispiel: Sample

    • Zeigen Sie die Details der Sitzung auf der CLI an.

      <ns-cli-prompt> show aaa session

Konfigurieren der Kerberos-Authentifizierung auf der GUI

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

    Navigieren Sie zu System > Einstellungen, klicken Sie auf Grundfunktionen konfigurieren und aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

  2. Fügen Sie die Keytab-Datei hinzu, wie in Schritt 2 des oben genannten CLI-Verfahrens beschrieben.

  3. Fügen Sie einen DNS-Server hinzu.

    Navigieren Sie zu Traffic Management > DNS > Nameserver, und geben Sie die IP-Adresse für den DNS-Server an.

  4. Konfigurieren Sie die Aktion und Richtlinie Aushandeln .

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und erstellen Sie eine Richtlinie mit Aushandeln als Aktionstyp. Klicken Sie auf HINZUFÜGEN, um einen neuen Authentifizierungsverhandlungsserver zu erstellen, oder klicken Sie auf Bearbeiten, um die vorhandenen Details zu konfigur

  5. Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.

    Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und verknüpfen Sie die Aushandlungsrichtlinie mit dem virtuellen Authentifizierungsserver.

  6. Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).

    Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und geben Sie die entsprechenden Authentifizierungseinstellungen an.

    Hinweis

    Ähnliche Konfigurationen können auch auf dem virtuellen Content Switching-Server vorgenommen werden.

  7. Überprüfen Sie die Konfigurationen wie in Schritt 7 der oben genannten CLI-Prozedur beschrieben.

Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC-Appliance