Funktionsweise von Authentifizierung, Autorisierung und Auditing

Authentifizierung, Autorisierung und Überwachung bieten Sicherheit für eine verteilte Internetumgebung, da jedem Client mit den richtigen Anmeldeinformationen eine sichere Verbindung zu geschützten Anwendungsservern von überall im Internet ermöglicht wird. Diese Funktion enthält die drei Sicherheitsfunktionen Authentifizierung, Autorisierung und Überwachung. Mit der Authentifizierung kann Citrix ADC die Anmeldeinformationen des Clients entweder lokal oder mit einem Authentifizierungsserver eines Drittanbieters überprüfen und nur genehmigten Benutzern den Zugriff auf geschützte Server ermöglichen. Mit der Autorisierung kann der ADC überprüfen, auf welche Inhalte auf einem geschützten Server jeder Benutzer zugreifen darf. Die Überwachung ermöglicht es dem ADC, die Aktivitäten jedes Benutzers auf einem geschützten Server aufzuzeichnen.

Um zu verstehen, wie Authentifizierung, Autorisierung und Auditing in einer verteilten Umgebung funktioniert, sollten Sie eine Organisation mit einem Intranet berücksichtigen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Der Inhalt im Intranet ist vertraulich und erfordert einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, führt der ADC folgende Schritte aus:

  • Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
  • Sammelt die Anmeldeinformationen des Benutzers, übermittelt sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis, auf das über LDAP zugegriffen werden kann.
  • Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
  • Behält ein Sitzungszeitlimit bei, nach dem sich Benutzer erneut authentifizieren müssen, um den Zugriff auf das Intranet wiederherzustellen. (Sie können das Timeout konfigurieren.)
  • Protokolliert die Zugriffsberechtigung des Benutzers, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.

Die Authentifizierung erfordert, dass mehrere Entitäten: der Client, die Citrix ADC Appliance, der externe Authentifizierungsserver, sofern eine verwendet wird, und der Anwendungsserver, aufeinander reagieren, wenn eine komplexe Reihe von Aufgaben in der richtigen Reihenfolge ausgeführt wird. Wenn Sie einen externen Authentifizierungsserver verwenden, kann dieser Prozess in die folgenden fünfzehn Schritte unterteilt werden.

  1. Der Client sendet eine GET-Anforderung für eine URL auf dem Anwendungsserver.
  2. Der virtuelle Server der Citrix ADC Appliance leitet die Anforderung an den Anwendungsserver weiter.
  3. Der Anwendungsserver stellt fest, dass der Client nicht authentifiziert wurde, und sendet daher eine HTTP 200 OK-Antwort über den TM vserver an den Client. Die Antwort enthält ein verstecktes Skript, das dazu führt, dass der Client eine POST-Anforderung für /cgi/tm. ausgibt.
  4. Der Client sendet eine POST-Anforderung für /cgi/tm.
  5. Der virtuelle Authentifizierungsserver der Citrix ADC Appliance leitet die Anforderung an den Authentifizierungsserver weiter.
  6. Der Authentifizierungsserver erstellt eine Authentifizierungssitzung, setzt und speichert ein Cookie, das aus der anfänglichen URL und der Domäne des virtuellen Servers für die Datenverkehrsverwaltung besteht, und sendet dann eine HTTP-302-Antwort über den virtuellen Authentifizierungsserver und leitet den Client an /vpn/index.htmlum.
  7. Der Client sendet eine GET-Anforderung für /vpn/index.html.
  8. Der virtuelle Authentifizierungsserver leitet den Client zur Anmeldeseite des Authentifizierungsservers um.
  9. Der Client sendet eine GET-Anforderung für die Anmeldeseite, gibt Anmeldeinformationen ein und sendet dann eine POST-Anforderung mit den Anmeldeinformationen zurück an die Anmeldeseite.
  10. Der virtuelle Authentifizierungsserver leitet die POST-Anforderung an den Authentifizierungsserver um.
  11. Wenn die Anmeldeinformationen korrekt sind, weist der Authentifizierungsserver den virtuellen Authentifizierungsserver an, den Client anzumelden und den Client an die URL umzuleiten, die sich in der ursprünglichen GET-Anforderung befand.
  12. Der virtuelle Authentifizierungsserver meldet den Client an und sendet eine HTTP 302-Antwort, die den Client an die ursprünglich angeforderte URL umleitet.
  13. Der Client sendet eine GET-Anforderung für die ursprüngliche URL.
  14. Der virtuelle Server für die Datenverkehrsverwaltung leitet die GET-Anforderung an den Anwendungsserver weiter.
  15. Der Anwendungsserver antwortet über den virtuellen Datenverkehrsmanagementserver mit der Anfangs-URL.

Wenn Sie die lokale Authentifizierung verwenden, ist der Prozess ähnlich, der virtuelle Authentifizierungsserver verarbeitet jedoch alle Authentifizierungsaufgaben, anstatt Verbindungen an einen externen Authentifizierungsserver weiterzuleiten. Die folgende Abbildung veranschaulicht den Authentifizierungsprozess.

Abbildung 1. Authentifizierungsprozess Datenfluss

lokalisiertes Bild

Wenn ein authentifizierter Client eine Ressource anfordert, überprüft der ADC vor dem Senden der Anforderung an den Anwendungsserver die dem Clientkonto zugeordneten Benutzer- und Gruppenrichtlinien, um zu überprüfen, ob der Client für den Zugriff auf diese Ressource berechtigt ist. Der ADC übernimmt die gesamte Autorisierung auf geschützten Anwendungsservern. Sie müssen keine spezielle Konfiguration Ihrer geschützten Anwendungsserver vornehmen.

Authentifizierung, Autorisierung und Überwachung des Datenverkehrs verarbeitet Kennwortänderungen für Benutzer mit der protokollspezifischen Methode für den Authentifizierungsserver. Bei den meisten Protokollen müssen weder der Benutzer noch der Administrator etwas anderes tun als ohne Authentifizierung, Autorisierung und Überwachung des Datenverkehrs. Selbst wenn ein LDAP-Authentifizierungsserver verwendet wird und dieser Server Teil eines verteilten Netzwerks von LDAP-Servern mit einem einzelnen ausgewiesenen Domänenverwaltungsserver ist, werden Kennwortänderungen normalerweise nahtlos verarbeitet. Wenn ein authentifizierter Client eines LDAP-Servers sein Kennwort ändert, sendet der Client eine Anmeldeinformationsanforderung an Authentifizierungs-, Autorisierungs- und Überwachungsdatenverkehrsverwaltung, die es an den LDAP-Server weiterleitet. Wenn der LDAP-Server des Benutzers auch der Domänenverwaltungsserver ist, reagiert dieser Server entsprechend, und die Verwaltung des Authentifizierungs-, Autorisierungs- und Überwachungsverkehrs führt dann die angeforderte Kennwortänderung durch. Andernfalls sendet der LDAP-Server Authentifizierung, Autorisierung und Überwachung des Datenverkehrs eine LDAP_REFERRAL Antwort an den Domänenverwaltungsserver. Authentifizierung, Autorisierung und Überwachung des Datenverkehrs folgt dem Verweis auf den angegebenen Domänenverwaltungsserver, authentifiziert sich bei diesem Server und führt die Kennwortänderung auf diesem Server durch.

Bei der Konfiguration der Authentifizierung, Autorisierung und Überwachung der Datenverkehrsverwaltung mit einem LDAP-Authentifizierungsserver muss der Systemadministrator die folgenden Bedingungen und Einschränkungen beachten:

  • Authentifizierung, Autorisierung und Überwachung des Datenverkehrs wird davon ausgegangen, dass der Domänenverwaltungsserver im Verweis dieselben Bind-Anmeldeinformationen akzeptiert wie der ursprüngliche Server.
  • Authentifizierung, Autorisierung und Auditing Traffic Management folgt nur LDAP-Verweise für Kennwortänderungsvorgänge. In anderen Fällen weigert sich Authentifizierung, Autorisierung und Auditing Traffic Management, der Empfehlung zu folgen.
  • Authentifizierung, Autorisierung und Auditing Traffic Management folgt nur einer Ebene von LDAP-Verweisen. Wenn der zweite LDAP-Server auch eine Verweisung zurückgibt, verweigert Authentifizierung, Autorisierung und Überwachung des Datenverkehrs die Befolgung der zweiten Empfehlung.

Der ADC unterstützt die Überwachung aller Zustände und Statusinformationen, so dass Sie die Details der einzelnen Benutzer während der Anmeldung in chronologischer Reihenfolge sehen können. Um diese Informationen bereitzustellen, protokolliert die Appliance jedes Ereignis bei Auftreten entweder in einer bestimmten Überwachungsprotokolldatei auf der Appliance oder auf einem Syslog-Server. Die Überwachung erfordert die Konfiguration der Appliance und aller verwendeten Syslog-Server.

Konfigurieren der No_Auth Richtlinie zum Umgehen bestimmter Datenverkehr

Sie können jetzt No_Auth Richtlinie so konfigurieren, dass bestimmten Datenverkehr von der Authentifizierung umgangen wird, wenn 401-basierte Authentifizierung auf dem virtuellen Server der Datenverkehrsverwaltung aktiviert ist. Für diesen Datenverkehr müssen Sie eine Richtlinie Keine Authentifizierung binden.

So konfigurieren Sie die No_Auth Richtlinie, um bestimmten Datenverkehr mit der CLI zu umgehen

Geben Sie an der Eingabeaufforderung Folgendes ein:

<string>Authentifizierungsrichtlinie hinzufügen <name> -rule <expression> -action

Beispiel:

Authentifizierungsrichtlinie hinzufügen ldap -rule ldapAct1 -action NO_AUTHN