Authentifizierung, Autorisierung und Überwachung des Anwendungsdatenverkehrs

Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC Appliance

In diesem Thema finden Sie detaillierte Schritte zum Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC Appliance mit der CLI und der GUI.

Konfigurieren der Kerberos-Authentifizierung auf der CLI

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion, um die Authentifizierung des Datenverkehrs auf der Appliance sicherzustellen.

    ns-cli-prompt> enable ns feature AAA

  2. Fügen Sie der Citrix ADC Appliance die Keytab-Datei hinzu. Eine Keytab-Datei ist für die Entschlüsselung des Geheimnisses erforderlich, der vom Client während der Kerberos-Authentifizierung empfangen wurde. Eine einzelne Keytab-Datei enthält Authentifizierungsdetails für alle Dienste, die an den virtuellen Server für die Datenverkehrsverwaltung auf der Citrix ADC Appliance gebunden sind.

    Generieren Sie zuerst die Keytab-Datei auf dem Active Directory -Server und übertragen Sie sie dann an die Citrix ADC Appliance.

    • Melden Sie sich beim Active Directory -Server an, und fügen Sie einen Benutzer für die Kerberos-Authentifizierung hinzu. Um beispielsweise einen Benutzer mit dem Namen Kerb-SVC-Konto hinzuzufügen:

      net user kerb-SVC-account freebsd! @ #456 /hinzufügen

      Hinweis:

      Stellen Sie im Abschnitt Benutzereigenschaften sicher, dass die Option “Kennwort bei der nächsten Anmeldung ändern” nicht ausgewählt ist und die Option “Kennwort läuft nicht ab” ausgewählt ist.

    • Ordnen Sie den HTTP-Dienst dem obigen Benutzer zu und exportieren Sie die keytab-Datei. Führen Sie beispielsweise den folgenden Befehl auf dem Active Directory -Server aus:

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      Hinweis:

      Sie können mehrere Dienste zuordnen, wenn eine Authentifizierung für mehrere Dienste erforderlich ist. Wenn Sie weitere Dienste zuordnen möchten, wiederholen Sie den obigen Befehl für jeden Dienst. Sie können den gleichen Namen oder andere Namen für die Ausgabedatei angeben.

    • Übertragen Sie die keytab-Datei mithilfe des Befehls unix ftp oder eines anderen Dateiübertragungsdienstprogramms Ihrer Wahl auf die Citrix ADC Appliance.

  3. Die Citrix ADC Appliance muss die IP-Adresse des Domänencontroller aus dem vollqualifizierten Domänennamen (FQDN) abrufen. Daher empfiehlt Citrix die Konfiguration des Citrix ADC mit einem DNS-Server.

    ns-cli-prompt> add dns nameserver <ip-address>

    Hinweis:

    Alternativ können Sie statische Hosteinträge hinzufügen oder andere Mittel verwenden, damit die Citrix ADC Appliance den FQDN-Namen des Domänencontroller in eine IP-Adresse auflösen kann.

  4. Konfigurieren Sie die Authentifizierungsaktion, und ordnen Sie sie dann einer Authentifizierungsrichtlinie zu.

    • Konfigurieren Sie die Aushandlungsaktion.

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>

    • Konfigurieren Sie die Verhandlungsrichtlinie, und ordnen Sie die Verhandlungsaktion dieser Richtlinie zu.

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. Erstellen Sie einen virtuellen Authentifizierungsserver, und ordnen Sie ihm die Verhandlungsrichtlinie zu.

    • Erstellen Sie einen virtuellen Authentifizierungsserver.

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • Binden Sie die Verhandlungsrichtlinie an den virtuellen Authentifizierungsserver.

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. Ordnen Sie den virtuellen Authentifizierungsserver dem virtuellen Server zur Datenverkehrsverwaltung (Lastausgleich oder Inhaltswechsel) zu.

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    Hinweis:

    Ähnliche Konfigurationen können auch auf dem virtuellen Server mit Content Switching vorgenommen werden.

  7. Überprüfen Sie die Konfigurationen, indem Sie die folgenden Schritte ausführen:

    • Greifen Sie mithilfe des FQDN auf den virtuellen Server zur Datenverkehrsverwaltung zu. Beispiel: Beispiel

    • Zeigen Sie die Details der Sitzung auf der CLI an.

      ns-cli-prompt> show aaa session

Konfigurieren der Kerberos-Authentifizierung auf der GUI

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

    Navigieren Sie zu System > Einstellungen, klicken Sie auf Basisfunktionen konfigurieren, und aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

  2. Fügen Sie die Keytab-Datei wie in Schritt 2 der oben genannten CLI-Prozedur beschrieben hinzu.

  3. Fügen Sie einen DNS-Server hinzu.

    Navigieren Sie zu Verkehrsverwaltung > DNS > Namensserver, und geben Sie die IP-Adresse für den DNS-Server an.

  4. Konfigurieren Sie die Aktion und die Richtlinie aushandeln .

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und erstellen Sie eine Richtlinie mit Negotiateals Aktionstyp. Klicken Sie auf Hinzufügen, um einen neuen Authentifizierungsverhandlungsserver zu erstellen, oder klicken Sie auf Bearbeiten, um die vorhandenen Details zu konfigurieren.

  5. Binden Sie die Verhandlungsrichtlinie an den virtuellen Authentifizierungsserver.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server, und ordnen Sie die Negotiate-Richtliniedem virtuellen Authentifizierungsserver zu.

  6. Ordnen Sie den virtuellen Authentifizierungsserver dem virtuellen Server zur Datenverkehrsverwaltung (Lastausgleich oder Inhaltswechsel) zu.

    Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und geben Sie die entsprechenden Authentifizierungseinstellungen an.

    Hinweis:

    Ähnliche Konfigurationen können auch auf dem virtuellen Server mit Content Switching vorgenommen werden.

  7. Überprüfen Sie die Konfigurationen wie in Schritt 7 der oben genannten CLI-Prozedur beschrieben.

Konfigurieren der Kerberos-Authentifizierung auf der Citrix ADC Appliance