Funktionsweise von Authentifizierung, Autorisierung und Auditing
Authentifizierung, Autorisierung und Überwachung bieten Sicherheit für eine verteilte Internetumgebung, da jedem Client mit den richtigen Anmeldeinformationen eine sichere Verbindung zu geschützten Anwendungsservern von überall im Internet ermöglicht wird. Diese Funktion enthält die drei Sicherheitsfunktionen Authentifizierung, Autorisierung und Überwachung. Mit der Authentifizierung kann Citrix ADC die Anmeldeinformationen des Clients entweder lokal oder mit einem Authentifizierungsserver eines Drittanbieters überprüfen und nur genehmigten Benutzern den Zugriff auf geschützte Server ermöglichen. Autorisierung ermöglicht es dem ADC, zu überprüfen, auf welchen Inhalt auf einem geschützten Server jeder Benutzer zugreifen kann. Die Überwachung ermöglicht es dem ADC, die Aktivitäten jedes Benutzers auf einem geschützten Server aufzuzeichnen.
Um zu verstehen, wie Authentifizierung, Autorisierung und Auditing in einer verteilten Umgebung funktioniert, sollten Sie eine Organisation mit einem Intranet berücksichtigen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Der Inhalt im Intranet ist vertraulich und erfordert einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, führt der ADC folgende Schritte aus:
- Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
-
Sammelt die Anmeldeinformationen des Benutzers, übermittelt sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis, auf das über LDAP zugegriffen werden kann. Weitere Informationen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.
- Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
- Behält ein Sitzungszeitlimit bei, nach dem sich Benutzer erneut authentifizieren müssen, um den Zugriff auf das Intranet wiederherzustellen. (Sie können das Timeout konfigurieren.)
- Protokolliert die Zugriffsberechtigung des Benutzers, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.
Konfigurieren von Authentifizierungsautorisierungs- und Überwachungsrichtlinien
Nachdem Sie Ihre Benutzer und Gruppen eingerichtet haben, konfigurieren Sie als Nächstes Authentifizierungsrichtlinien, Autorisierungsrichtlinien und Überwachungsrichtlinien, um festzulegen, welche Benutzer auf Ihr Intranet zugreifen dürfen, auf welche Ressourcen jeder Benutzer oder Gruppe zugreifen darf und welche Detailgenauigkeit Authentifizierung, Autorisierung und Überwachung wird in den Überwachungsprotokollen beibehalten. Eine Authentifizierungsrichtlinie definiert den Typ der Authentifizierung, die angewendet werden soll, wenn ein Benutzer versucht, sich anzumelden. Wenn eine externe Authentifizierung verwendet wird, gibt die Richtlinie auch den externen Authentifizierungsserver an. Autorisierungsrichtlinien geben die Netzwerkressourcen an, auf die Benutzer und Gruppen nach der Anmeldung zugreifen können. Überwachungsrichtlinien definieren den Typ und den Speicherort des Überwachungsprotokolls.
Sie müssen jede Richtlinie binden, um sie in Kraft zu setzen. Sie binden Authentifizierungsrichtlinien an virtuelle Authentifizierungsserver, Autorisierungsrichtlinien an ein oder mehrere Benutzerkonten oder Gruppen und Überwachungsrichtlinien sowohl global als auch an ein oder mehrere Benutzerkonten oder Gruppen.
Wenn Sie eine Richtlinie binden, weisen Sie ihr eine Priorität zu. Die Priorität bestimmt die Reihenfolge, in der die von Ihnen definierten Richtlinien ausgewertet werden. Sie können die Priorität auf eine beliebige positive Ganzzahl festlegen. Im Citrix ADC Betriebssystem funktionieren Richtlinienprioritäten in umgekehrter Reihenfolge: Je höher die Zahl, desto niedriger die Priorität. Wenn Sie beispielsweise drei Richtlinien mit den Prioritäten 10, 100 und 1000 haben, wird zuerst die Richtlinie ausgeführt, die eine Priorität von 10 zugewiesen hat, dann wird die Richtlinie mit einer Priorität von 100 und schließlich der Richtlinie eine Reihenfolge von 1000 zugewiesen. Das Authentifizierungs-, Autorisierungs- und Überwachungsfeature implementiert nur den ersten von jedem Richtlinientyp, dem eine Anforderung entspricht, und keine zusätzlichen Richtlinien dieses Typs, mit denen eine Anforderung auch übereinstimmen könnte. Daher ist die Richtlinienpriorität wichtig, um die gewünschten Ergebnisse zu erhalten.
Sie können sich viel Platz lassen, um andere Richtlinien in beliebiger Reihenfolge hinzuzufügen und sie dennoch in der gewünschten Reihenfolge auszuwerten, indem Sie Prioritäten mit Intervallen von 50 oder 100 zwischen jeder Richtlinie festlegen, wenn Sie die Richtlinien binden. Sie können dann jederzeit zusätzliche Richtlinien hinzufügen, ohne die Priorität einer vorhandenen Richtlinie neu zuweisen zu müssen.
Weitere Informationen zum Binden von Richtlinien auf der Citrix ADC Appliance finden Sie in der Citrix ADC-Produktdokumentation.
Konfigurieren Sie die Richtlinie “No_Auth”, um bestimmten Datenverkehr zu umgehen
Sie können jetzt No_Auth Richtlinie so konfigurieren, dass bestimmten Datenverkehr von der Authentifizierung umgangen wird, wenn 401-basierte Authentifizierung auf dem virtuellen Server der Datenverkehrsverwaltung aktiviert ist. Für diesen Verkehr müssen Sie eine “No_Auth” -Richtlinie binden.
So konfigurieren Sie die No_Auth Richtlinie, um bestimmten Datenverkehr mit der CLI zu umgehen
Geben Sie an der Eingabeaufforderung Folgendes ein:
add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->
Beispiel:
add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->