Citrix ADC

401-basierte Authentifizierung

Mit der 401-basierten Authentifizierung zeigt die Citrix ADC-Appliance dem Endbenutzer ein Popup-Dialogfeld an.

401 basiert AAA-TM

Das formularbasierte AAA-TM arbeitet mit den Umleitungsnachrichten. Einige Anwendungen unterstützen keine Weiterleitungen, in solchen Fällen wird das 401-Authentifizierungsaktivierte AAA-TM verwendet.

Aktivieren Sie die folgenden Parameter, damit 401 Authentication AAA-TM funktioniert.

  • Der ‘AuthNVSName’ -Parameterwert für den virtuellen Lastausgleichsserver muss der Name des virtuellen Authentifizierungsservers sein, der zur Authentifizierung von Benutzern verwendet werden soll.

  • ‘authn401’ -Parameter muss aktiviert sein. Der Befehl zum Konfigurieren des gleichen lautet wie folgt:

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

Die folgenden Schritte führen Sie durch, wie die 401-Authentifizierung funktioniert:

  1. Der Benutzer versucht, über den virtuellen Lastausgleichsserver auf eine bestimmte URL zuzugreifen.

  2. Der virtuelle Lastausgleichsserver sendet eine 401-HTTP-Antwort an den Benutzer zurück und gibt an, dass für den Zugriff eine Authentifizierung erforderlich ist.
  3. Der Benutzer sendet seine Anmeldeinformationen im Autorisierungsheader an den virtuellen Lastausgleichsserver.
  4. Der virtuelle Lastausgleichsserver authentifiziert den Benutzer und verbindet den Benutzer dann mit den Back-End-Servern.

    401 basiertes AAA-TM-Flussdiagramm

Wichtig:

Für einen virtuellen Lastausgleichsserver mit aktivierter 401-Authentifizierung können in kurzer Zeit mehrere Authentifizierungs- und Autorisierungssitzungen für denselben Benutzer erstellt werden. Diese Konfiguration kann zu einer Speicherspitze führen. Sie können die folgende Konfiguration auf der Citrix ADC Appliance anwenden, um die Endclient-Anwendung zu debuggen und zu identifizieren.

set syslogparams -userDefinedAuditlog yes

add audit messageaction 401_log_act InFORMATIONAL '"LB-401 accessed: User: <" + AAA.USER.NAME + "> SessionID <"+ AAA.USER.SESSIONID + "> Client :<" + CLIENT.IP.SRC + "> accessed URL: <" + HTTP.REQ.URL + ">"'

add rewritepolicy rewrite_401_log true NOREWRITE -logAction 401_log_act

bind lb vserver <lb_name> -policyName rewrite_401_log -priority 100 -type reqUEST
<!--NeedCopy-->
401-basierte Authentifizierung