Citrix ADC

TACACS-Authentifizierung

Die TACACS-Authentifizierungsrichtlinie authentifiziert sich bei einem externen Terminal Access Controller Access-Control System (TACACS) -Authentifizierungsserver. Nachdem sich ein Benutzer bei einem TACACS-Server authentifiziert hat, stellt der Citrix ADC eine Verbindung mit demselben TACACS-Server für alle nachfolgenden Berechtigungen her. Wenn ein primärer TACACS-Server nicht verfügbar ist, verhindert diese Funktion Verzögerungen, während der ADC auf das Timeout des ersten TACACS-Servers wartet. Dies geschieht, bevor die Autorisierungsanforderung erneut an den zweiten TACACS-Server gesendet wird.

Hinweis:

Der TACACS-Autorisierungsserver unterstützt keine Befehle, deren Zeichenfolgenlänge 255 Zeichen überschreitet.

Problemumgehung: Verwenden Sie die lokale Autorisierung anstelle eines TACACS-Autorisierungsservers.

Bei der Authentifizierung über einen TACACS-Server führen Authentifizierung, Autorisierung und Überwachung von Verkehrsmanagementprotokollen nur erfolgreich TACACS-Befehle aus. Es verhindert, dass die Protokolle TACACS-Befehle anzeigen, die von den Benutzern eingegeben wurden, die nicht autorisiert waren, sie auszuführen.

Ab NetScaler 12.0 Build 57.x blockiert das Terminal Access Controller Access Control System (TACACS) den Authentifizierungs-, Autorisierungs- und Auditing-Daemon beim Senden der TACACS-Anfrage nicht. Die erlauben LDAP- und RADIUS-Authentifizierung, mit der Anforderung fortzufahren. Die TACACS-Authentifizierungsanforderung wird fortgesetzt, sobald der TACACS-Server die TACACS-Anforderung bestätigt.

Wichtig:

  • Citrix empfiehlt, keine TACACS-bezogenen Konfigurationen zu ändern, wenn Sie einen Befehl “clear ns config” ausführen.

  • TACACS bezogene Konfiguration in Bezug auf erweiterte Richtlinien wird gelöscht und erneut angewendet, wenn der Parameter “rbaConfig” im Befehl “clear ns config” für erweiterte Richtlinien auf NO gesetzt ist.

Name-Wert-Attribut-Unterstützung für die TACACS-Authentifizierung

Sie können nun TACACS Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im Aktionsparameter TACACS konfiguriert und die Werte werden durch Abfrage der Namen ermittelt. Durch Angabe des Name-Attributwerts können Administratoren problemlos nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr allein nach seinem Wert merken.

Wichtig

  • Im tacacsAction-Befehl können Sie maximal 64 durch Komma getrennte Attribute mit einer Gesamtgröße von weniger als 2048 Byte konfigurieren.

So konfigurieren Sie die Name-Wert-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication tacacsAction <name> [-Attributes <string>]

Beispiel:

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”

So fügen Sie mit der Befehlszeilenschnittstelle eine Authentifizierungsaktion hinzu

Wenn Sie keine LOCAL-Authentifizierung verwenden, müssen Sie eine explizite Authentifizierungsaktion hinzufügen. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Beispiel

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"

So konfigurieren Sie eine Authentifizierungsaktion mit der Befehlszeilenschnittstelle

Um eine vorhandene Authentifizierungsaktion zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Beispiel

    > set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"    Done

So entfernen Sie eine Authentifizierungsaktion mit der Befehlszeilenschnittstelle

Um eine vorhandene RADIUS-Aktion zu entfernen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

rm authentication radiusAction <name>

Beispiel

rm authentication tacacsaction Authn-Act-1
TACACS-Authentifizierung