Überblick über das SSO von Citrix ADC Kerberos

Um die Citrix ADC Kerberos-SSO-Funktion zu verwenden, authentifizieren sich Benutzer zuerst bei Kerberos oder einem unterstützten Authentifizierungsserver von Drittanbietern. Nach der Authentifizierung fordert der Benutzer Zugriff auf eine geschützte Webanwendung an. Der Webserver antwortet mit einer Anforderung zum Nachweis, dass der Benutzer berechtigt ist, auf diese Webanwendung zuzugreifen. Der Browser des Benutzers kontaktiert den Kerberos-Server, der überprüft, ob der Benutzer berechtigt ist, auf diese Ressource zuzugreifen, und stellt dann dem Browser des Benutzers ein Serviceticket zur Verfügung, das einen Nachweis liefert. Der Browser sendet die Anfrage des Benutzers erneut an den Webanwendungsserver mit dem angehängten Serviceticket. Der Webanwendungsserver überprüft das Serviceticket und ermöglicht dem Benutzer dann den Zugriff auf die Anwendung.

Authentifizierung, Autorisierung und Auditing Traffic Management implementiert diesen Prozess, wie im folgenden Diagramm dargestellt. Das Diagramm veranschaulicht den Informationsfluss über die Citrix ADC Appliance sowie die Verwaltung des Authentifizierungs-, Autorisierungs- und Überwachungsverkehrs in einem sicheren Netzwerk mit LDAP-Authentifizierung und Kerberos-Autorisierung. Authentifizierungs-, Autorisierungs- und Überwachungsumgebungen, die andere Authentifizierungstypen verwenden, haben im Wesentlichen denselben Informationsfluss, obwohl sie sich in einigen Details unterscheiden können.

Abbildung 1. Ein sicheres Netzwerk mit LDAP und Kerberos

Ein sicheres Netzwerk mit LDAP und Kerberos

Die Verwaltung der Authentifizierung, Autorisierung und Überwachung des Datenverkehrs mit Authentifizierung und Autorisierung in einer Kerberos-Umgebung erfordert, dass die folgenden Aktionen durchgeführt werden.

  1. Der Client sendet eine Anforderung für eine Ressource an den virtuellen Server zur Datenverkehrsverwaltung auf der Citrix ADC Appliance.
  2. Der virtuelle Server zur Datenverkehrsverwaltung übergibt die Anforderung an den virtuellen Authentifizierungsserver, der den Client authentifiziert und dann die Anforderung an den virtuellen Server der Datenverkehrsverwaltung weiterleitet.
  3. Der virtuelle Server zur Datenverkehrsverwaltung sendet die Anforderung des Clients an den Webanwendungsserver.
  4. Der Webanwendungsserver reagiert auf den virtuellen Server der Datenverkehrsverwaltung mit einer 401-Nachricht, die die Kerberos-Authentifizierung anfordert, mit Fallback auf die NTLM-Authentifizierung, wenn der Client Kerberos nicht unterstützt.
  5. Der virtuelle Server zur Datenverkehrsverwaltung kontaktiert den Kerberos-SSO-Daemon.
  6. Der Kerberos-SSO-Daemon kontaktiert den Kerberos-Server und erhält ein Ticket, das ihm erlaubt, Servicetickets anzufordern (TGT), die den Zugriff auf geschützte Anwendungen autorisieren.
  7. Der Kerberos-SSO-Daemon ruft ein Dienstticket für den Benutzer ab und sendet dieses Ticket an den virtuellen Server für die Datenverkehrsverwaltung.
  8. Der virtuelle Server zur Datenverkehrsverwaltung fügt das Ticket an die anfängliche Anforderung des Benutzers an und sendet die geänderte Anforderung zurück an den Webanwendungsserver.
  9. Der Webanwendungsserver antwortet mit einer 200-OK-Nachricht.

Diese Schritte sind für den Client transparent, der nur eine Anforderung sendet und die angeforderte Ressource empfängt.

Integration von Citrix ADC Kerberos SSO mit Authentifizierungsmethoden

Alle Authentifizierungsmechanismen für die Authentifizierung, Autorisierung und Überwachung des Datenverkehrs unterstützen Citrix ADC Kerberos SSO. Authentifizierungs-, Autorisierungs- und Überwachungsdatenverkehrs-Management unterstützt den Kerberos-SSO-Mechanismus mit den Kerberos-, CAC- (Smartcard-) und SAML-Authentifizierungsmechanismen mit jeder Form der Clientauthentifizierung an der Citrix ADC Appliance. Es unterstützt auch die SSO-Mechanismen HTTP-Basic, HTTP-Digest, Forms-based und NTLM (Versionen 1 und 2), wenn der Client zur Anmeldung an der Citrix ADC Appliance entweder die HTTP-Basic- oder die formularbasierte Authentifizierung verwendet.

Die folgende Tabelle zeigt jede unterstützte clientseitige Authentifizierungsmethode und die unterstützte serverseitige Authentifizierungsmethode für diese clientseitige Methode.

Tabelle 1. Unterstützte Authentifizierungsmethoden

  Basis/Digest/NTLM Eingeschränkte Kerberos-Delegierung Identitätswechsel
CAC (Smartcard): bei SSL/T LS Layer   X X
Formularbasiert (LDAP/RADIUS/TACACS) X X X
HTTP Basic (LDAP/RADIUS/TACACS) X X X
Kerberos   X  
NT LM v1/v2   X X
SAML   X  
SAML Zwei-Faktor-Faktor X X X
Zwei-Faktor-Zertifikat X X X

Überblick über das SSO von Citrix ADC Kerberos