Citrix ADC

Verhandeln Sie die Authentifizierung

Wie bei anderen Typen von Authentifizierungsrichtlinien besteht eine Negotiate-Authentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest.

Zusätzlich zu den Standardauthentifizierungsfunktionen kann der Befehl Aktion aushandeln nun Benutzerinformationen aus einer Keytab-Datei extrahieren, anstatt dass Sie diese Informationen manuell eingeben müssen. Wenn ein Keytab über mehr als einen SPN verfügt, wählt Authentifizierung, Autorisierung und Überwachung den richtigen SPN aus. Sie können diese Funktion in der Befehlszeile oder mit dem Konfigurationsdienstprogramm konfigurieren.

Hinweis:

Diese Anweisungen gehen davon aus, dass Sie bereits mit dem LDAP-Protokoll vertraut sind und Ihren gewählten LDAP-Authentifizierungsserver bereits konfiguriert haben.

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung, um Benutzerinformationen aus einer Keytab-Datei mit der Befehlszeilenschnittstelle zu extrahieren

Geben Sie an der Eingabeaufforderung den entsprechenden Befehl ein:

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

Parameter description

  • name - Name der zu verwendenden Verhandlungsaktion.
  • domain - Domänenname des Dienstprinzipals, der Citrix ADC unterdrückt.
  • domainUser - Benutzername des Kontos, das dem Citrix ADC Principal zugeordnet ist. Dies kann zusammen mit Domäne und Kennwort gegeben werden, wenn die Keytab-Datei nicht verfügbar ist. Wenn der Benutzername zusammen mit der keytab-Datei angegeben wird, wird diese keytab-Datei nach den Anmeldeinformationen dieses Benutzers durchsucht. Maximale Länge: 127
  • domainUserPassWD - Kennwort des Kontos, das dem Citrix ADC-Prinzipal zugeordnet ist.
  • DefaultAuthenticationGroup - Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist. Maximale Länge: 63
  • keytab - Der Pfad zur Keytab-Datei, die zum Entschlüsseln von Kerberos-Tickets verwendet wird, die Citrix ADC präsentiert werden. Wenn keytab nicht verfügbar ist, kann in der Konfiguration der Verhandlungsaktion domain/username/password angegeben werden. Maximale Länge: 127
  • ntlmPath - Der Pfad zu der Site, die für die NTLM-Authentifizierung aktiviert ist, einschließlich FQDN des Servers. Dies wird bei einem Clientfallback auf NTLM verwendet. Maximale Länge: 127

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung, um Benutzerinformationen aus einer Keytab-Datei mit dem Konfigurationsdienstprogramm zu extrahieren

Hinweis:

Im Konfigurationsdienstprogramm wird der Termserver anstelle von Aktion verwendet, bezieht sich aber auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Authentifizierung > Erweiterte Richtlinien > Aktionen > NEGOTIATE-Aktionen.
  2. Führen Sie im Detailbereich auf der Registerkarte Server eine der folgenden Aktionen aus:

    • Wenn Sie eine neue Verhandlungsaktion erstellen möchten, klicken Sie auf Hinzufügen.
    • Wenn Sie eine vorhandene Verhandlungsaktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann auf Bearbeiten.
  3. Wenn Sie eine neue Verhandlungsaktion erstellen, geben Sie im Textfeld Name einen Namen für die neue Aktion ein. Der Name kann von einem bis 127 Zeichen lang sein und kann aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrich (-) und Unterstrich (_) bestehen. Wenn Sie eine vorhandene Verhandlungsaktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt. Sie können ihn nicht ändern.
  4. Aktivieren Sie es unter Negotiate, wenn das Kontrollkästchen Keytab-Datei verwenden noch nicht aktiviert ist.
  5. Geben Sie im Textfeld Keytab-Dateipfad den vollständigen Pfad und den Dateinamen der Keytab-Datei ein, die Sie verwenden möchten.
  6. Geben Sie im Textfeld Standardauthentifizierungsgruppe die Authentifizierungsgruppe ein, die Sie als Standard für diesen Benutzer festlegen möchten.
  7. Klicken Sie auf Erstellen oder OK, um die Änderungen zu speichern.

Punkte zu beachten, wann erweiterte Verschlüsselungen für die Kerberos-Authentifizierung verwendet werden

  • Beispielkonfiguration bei Verwendung von Keytab: add authentication negotiateAction neg_act_aes256 -keytab “/nsconfig/krb/lbvs_aes256.keytab”
  • Verwenden Sie den folgenden Befehl, wenn keytab mehrere Verschlüsselungstypen hat. Der Befehl erfasst zusätzlich Domänenbenutzerparameter: add authentication negotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -domainUser “http/lbvs.aaa.local”
  • Verwenden Sie die folgenden Befehle, wenn Benutzeranmeldeinformationen verwendet werden: add authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “http/lbvs.aaa.local” -domainUserPasswd <password>
  • Stellen Sie sicher, dass die richtigen domainUser-Informationen bereitgestellt werden. Sie können in AD nach dem Anmeldenamen des Benutzers suchen.