Citrix ADC

Funktionsweise von Authentifizierung, Autorisierung und Auditing

Authentifizierung, Autorisierung und Überwachung bieten Sicherheit für eine verteilte Internetumgebung, da jedem Client mit den richtigen Anmeldeinformationen eine sichere Verbindung zu geschützten Anwendungsservern von überall im Internet ermöglicht wird. Diese Funktion enthält die drei Sicherheitsfunktionen Authentifizierung, Autorisierung und Überwachung. Mit der Authentifizierung kann Citrix ADC die Anmeldeinformationen des Clients entweder lokal oder mit einem Authentifizierungsserver eines Drittanbieters überprüfen und nur genehmigten Benutzern den Zugriff auf geschützte Server ermöglichen. Autorisierung ermöglicht es dem ADC, zu überprüfen, auf welchen Inhalt auf einem geschützten Server jeder Benutzer zugreifen kann. Die Überwachung ermöglicht es dem ADC, die Aktivitäten jedes Benutzers auf einem geschützten Server aufzuzeichnen.

Um zu verstehen, wie Authentifizierung, Autorisierung und Auditing in einer verteilten Umgebung funktioniert, sollten Sie eine Organisation mit einem Intranet berücksichtigen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Der Inhalt im Intranet ist vertraulich und erfordert einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, führt der ADC folgende Schritte aus:

  • Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
  • Sammelt die Anmeldeinformationen des Benutzers, übermittelt sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis, auf das über LDAP zugegriffen werden kann. Weitere Informationen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.

  • Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
  • Behält ein Sitzungszeitlimit bei, nach dem sich Benutzer erneut authentifizieren müssen, um den Zugriff auf das Intranet wiederherzustellen. (Sie können das Timeout konfigurieren.)
  • Protokolliert die Zugriffsberechtigung des Benutzers, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.

Im folgenden Abschnitt werden die beiden Authentifizierungsmechanismen erläutert:

  • Formularbasierte AAA-TM.

  • 401 Authentifizierung aktiviert AAA-TM.

Formularbasierte AAA-TM

Bei der formularbasierten Authentifizierung wird dem Endbenutzer ein Anmeldeformular angezeigt. Diese Art von Authentifizierungsformular unterstützt sowohl die Multifaktor-Authentifizierung (nFactor) als auch die klassische Authentifizierung.

Formularbasierte AAA-TM

Stellen Sie sicher, dass die formularbasierte Authentifizierung funktioniert:

  • Auf dem virtuellen Lastausgleichsserver muss die Authentifizierung eingeschaltetsein.

  • Der Parameter ‘AuthenticationHost’ muss angegeben werden, an den der Benutzer zur Authentifizierung umgeleitet werden muss. Der Befehl zum Konfigurieren des gleichen lautet wie folgt:

     set lb vs lb1 -authentication auf —authenticationhost aaavs-ip/fqdn
    
  • Formularbasierte Authentifizierung funktioniert mit einem Browser, der HTML unterstützt

In den folgenden Schritten wird erläutert, wie die formularbasierte Authentifizierung funktioniert:

  1. Der Client (Browser) sendet eine GET-Anforderung für eine URL auf dem virtuellen TM-Server (Load Balancing/CS).

  2. Der virtuelle TM-Server ermittelt, dass der Client nicht authentifiziert wurde, und sendet eine HTTP 302-Antwort an den Client. Die Antwort enthält ein verstecktes Skript, das bewirkt, dass der Client eine GET-Anforderung für /cgi/tm an den virtuellen Authentifizierungsserver ausgibt.
  3. Der Client sendet GET /cgi/tm mit der Ziel-URL an den virtuellen Authentifizierungsserver.
  4. Der virtuelle Authentifizierungsserver sendet eine Umleitung an die Anmeldeseite.
  5. Der Benutzer sendet seine Anmeldeinformationen mit POST /DoAuthentication.do an den virtuellen Authentifizierungsserver. Die Authentifizierung erfolgt durch den virtuellen Authentifizierungsserver.
  6. Wenn die Anmeldeinformationen korrekt sind, sendet der virtuelle Authentifizierungsserver eine HTTP 302-Antwort an die cgi/selfauth-URL auf dem Lastausgleichsserver mit einem One-Token (OTP).
  7. Der Lastausgleichsserver sendet HTTP 302 an den Client.
  8. Der Client sendet eine GET-Anforderung für ihre ursprüngliche URL-Ziel-URL zusammen mit einem 32-Byte-Cookie.

    Formularbasiertes AAA-TM-Flussdiagramm

401 Authentifizierung aktiviert AAA-TM

Bei der 401-basierten Authentifizierung zeigt die Citrix ADC Appliance dem Endbenutzer ein Popup-Dialogfeld wie folgt an.

401 basiertes AAA-TM

Formularbasiertes AAA-TM arbeitet an den Weiterleitungsnachrichten. Einige Anwendungen unterstützen jedoch keine Weiterleitungen. In solchen Anwendungen wird 401-Authentifizierung aktiviert AAA-TM verwendet.

Stellen Sie sicher, dass 401 Authentication Enabled AAA-TM funktioniert:

  • Der Parameterwert “AuthnVSName” für den virtuellen Lastausgleichsserver muss der Name des virtuellen Authentifizierungsservers sein, der zur Authentifizierung von Benutzern verwendet werden soll.

  • Der Parameter ‘authn401’ muss aktiviert sein. Der Befehl zum Konfigurieren des gleichen lautet wie folgt:

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

Die folgenden Schritte führen Sie durch, wie die 401-Authentifizierung funktioniert:

  1. Der Benutzer versucht, mithilfe des virtuellen Lastenausgleichsservers auf eine bestimmte URL zuzugreifen.

  2. Der virtuelle Lastausgleichsserver sendet eine 401-HTTP-Antwort an den Benutzer zurück, die angibt, dass für den Zugriff eine Authentifizierung erforderlich ist.
  3. Der Benutzer sendet seine Anmeldeinformationen an den virtuellen Lastausgleichsserver im Autorisierungs-Header.
  4. Der virtuelle Lastausgleichsserver authentifiziert den Benutzer und verbindet den Benutzer dann mit den Back-End-Servern.

    401 basiertes AAA-TM-Flussdiagramm

Konfigurieren der No_Auth Richtlinie zum Umgehen bestimmter Datenverkehr

Sie können jetzt No_Auth Richtlinie so konfigurieren, dass bestimmten Datenverkehr von der Authentifizierung umgangen wird, wenn 401-basierte Authentifizierung auf dem virtuellen Server der Datenverkehrsverwaltung aktiviert ist. Für diesen Datenverkehr müssen Sie eine Richtlinie Keine Authentifizierung binden.

So konfigurieren Sie die No_Auth Richtlinie, um bestimmten Datenverkehr mit der CLI zu umgehen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <name> -rule <expression> -action <string>

Beispiel:

add authentication policy ldap -rule ldapAct1 -action

Funktionsweise von Authentifizierung, Autorisierung und Auditing