Citrix ADC

Offload der Kerberos-Authentifizierung von physischen Servern

Die Citrix ADC-Appliance kann Authentifizierungsaufgaben von Servern ausladen. Anstatt dass die physischen Server die Anforderungen von Clients authentifizieren, authentifiziert der Citrix ADC alle Clientanforderungen, bevor er sie an einen der an ihn gebundenen physischen Server weiterleitet. Die Benutzerauthentifizierung basiert auf Active Directory-Token.

Es gibt keine Authentifizierung zwischen dem Citrix ADC und dem physischen Server, und der Authentifizierungs-Offload ist für die Endbenutzer transparent. Nach der ersten Anmeldung an einem Windows-Computer muss der Endbenutzer keine zusätzlichen Authentifizierungsinformationen in ein Popup oder auf einer Anmeldeseite eingeben.

In der aktuellen Version der Citrix ADC-Appliance ist die Kerberos-Authentifizierung nur für die Authentifizierung, Autorisierung und Überwachung virtueller Traffic-Management-Server verfügbar. Die Kerberos-Authentifizierung wird für SSL VPN in der Citrix Gateway Advanced Edition-Appliance oder für die Citrix ADC-Appliance-Verwaltung nicht unterstützt.

Die Kerberos-Authentifizierung erfordert eine Konfiguration auf der Citrix ADC-Appliance und in Client-Browsern.

So konfigurieren Sie die Kerberos-Authentifizierung auf der Citrix ADC-Appliance

Hinweis

Die in der folgenden Beispielkonfiguration verwendeten Kennwörter sind nur Beispiele und nicht die tatsächlichen Konfigurationskennwörter.

  1. Erstellen Sie ein Benutzerkonto in Active Directory. Überprüfen Sie beim Erstellen eines Benutzerkontos die folgenden Optionen im Abschnitt Benutzereigenschaften:

    • Stellen Sie sicher, dass Sie die Option Kennwort bei der nächsten Anmeldung ändern nicht auswählen.
    • Achten Sie darauf, die Option Kennwort läuft nicht ab zu wählen.
  2. Geben Sie auf dem AD-Server an der CLI-Eingabeaufforderung Folgendes ein:

    • ktpass -princ HTTP/kerberos.crete.lab.net@crete.lab.net -ptype KRB5_NT_PRINCIPAL -mapuser kerbuser@crete.lab.net -mapop set -pass <password> -out C:\kerbtabfile.txt

    Hinweis

    Geben Sie den obigen Befehl unbedingt in einer einzigen Zeile ein. Die Ausgabe des obigen Befehls wird in die Datei C:\kerbtabfile.txt geschrieben.

  3. Laden Sie die Datei kerbtabfile.txt mithilfe eines Secure Copy (SCP) -Clients in das Verzeichnis /etc der Citrix ADC-Appliance hoch.

  4. Führen Sie den folgenden Befehl aus, um der Citrix ADC-Appliance einen DNS-Server hinzuzufügen.

    • add dns nameserver 1.2.3.4

    Die Citrix ADC-Appliance kann Kerberos-Anfragen ohne den DNS-Server nicht verarbeiten. Verwenden Sie unbedingt denselben DNS-Server, der in der Microsoft Windows-Domäne verwendet wird.

  5. Wechseln Sie zur Befehlszeilenschnittstelle von Citrix ADC.

  6. Führen Sie den folgenden Befehl aus, um einen Kerberos-Authentifizierungsserver zu erstellen:

    • Authentifizierung hinzufügen Aktion aushandeln KerberosServer - Domäne “crete.lab.net” -Domänenbenutzer kerbuser -DomainUserPasswd <password> -keytab /var/mykcd.keytab

    Hinweis

    Wenn keytab nicht verfügbar ist, können Sie die Parameter angeben: domain, domainUser und -DomainUserPasswd.

  7. Führen Sie den folgenden Befehl aus, um eine Verhandlungsrichtlinie zu erstellen:

    • add authentication negotiatePolicy Kerberos-Policy "REQ.IP.DESTIP == 192.168.17.200" KerberosServer<!--NeedCopy-->
  8. Führen Sie den folgenden Befehl aus, um einen virtuellen Authentifizierungsserver zu erstellen.

    • add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net<!--NeedCopy-->
  9. Führen Sie den folgenden Befehl aus, um die Kerberos-Richtlinie an den virtuellen Authentifizierungsserver zu binden:

    • bind authentication vserver Kerb-Auth -policy Kerberos-Policy -priority 100<!--NeedCopy-->
  10. Führen Sie den folgenden Befehl aus, um ein SSL-Zertifikat an den virtuellen Authentifizierungsserver zu binden. Sie können eines der Testzertifikate verwenden, das Sie über die GUI Citrix ADC-Appliance installieren können. Führen Sie den folgenden Befehl aus, um das ServerTestCert-Beispielzertifikat zu verwenden.

    • bind ssl vserver Kerb-Auth -certkeyName ServerTestCert<!--NeedCopy-->
  11. Erstellen Sie einen virtuellen HTTP-Lastausgleichsserver mit der IP-Adresse 192.168.17.200.

    Stellen Sie sicher, dass Sie über die Befehlszeilenschnittstelle für NetScaler 9.3-Versionen einen virtuellen Server erstellen, wenn diese älter als 9.3.47.8 sind.

  12. Führen Sie den folgenden Befehl aus, um einen virtuellen Authentifizierungsserver zu konfigurieren:

    • set lb vserver <name>-authn401 ON -authnVsName Kerb-Auth<!--NeedCopy-->
  13. Geben Sie den Hostnamen Example in die Adressleiste des Webbrowsers ein.

    Der Webbrowser zeigt ein Authentifizierungsdialogfeld an, da die Kerberos-Authentifizierung nicht im Browser eingerichtet ist.

    Hinweis

    Die Kerberos-Authentifizierung erfordert eine bestimmte Konfiguration auf dem Client. Stellen Sie sicher, dass der Client den Hostnamen auflösen kann, was dazu führt, dass der Webbrowser eine Verbindung zu einem virtuellen HTTP-Server herstellt.

  14. Konfigurieren Sie Kerberos im Webbrowser des Clientcomputers.

  15. Überprüfen Sie, ob Sie ohne Authentifizierung auf den physischen Backend-Server zugreifen können.

So konfigurieren Sie Internet Explorer für die Kerberos-Authentifizierung

  1. Wählen Sie im Menü Extras die Option Internetoptionen .
  2. Aktivieren Sie die Registerkarte Sicherheit .
  3. Wählen Sie Lokales Intranet aus dem Abschnitt Wählen Sie eine Zone aus, um die Änderung der Sicherheitseinstellungen anzuzeigen.
  4. Klicken Sie auf Sites.
  5. Klicken Sie auf Erweitert.
  6. Geben Sie die URL an, Beispiel, und klicken Sie auf Hinzufügen.
  7. Starten Sie Internet Explorerneu.

So konfigurieren Sie Mozilla Firefox für die Kerberos-Authentifizierung

  1. Geben Sie about:config in die Adressleiste des Browsers ein.
  2. Klicken Sie auf den Haftungsausschluss für Warnungen.
  3. Geben Sie network.negotiate-auth.trusted-uris in das Feld Filter ein.
  4. Doppelklicken Sie auf Network.negotiate-auth.Trusted-URIS. Ein Beispielbildschirm wird unten gezeigt.

    Lokalisiertes Bild

  5. Geben Sie im Dialogfeld Zeichenfolgenwert eingeben www.crete.lab.net an.
  6. Starten Sie Firefox neu.
Offload der Kerberos-Authentifizierung von physischen Servern