Citrix ADC

Virtueller Authentifizierungsserver

Der virtuelle Server für die Verkehrsverwaltung (Load Balancing oder Content Switching) leitet alle Authentifizierungsanfragen an den virtuellen Authentifizierungsserver um. Dieser virtuelle Server verarbeitet die zugehörigen Authentifizierungsrichtlinien und bietet dementsprechend Zugriff auf die Anwendung.

Hinweis: Sie können Verkehrsverwaltungsrichtlinien nicht an virtuelle Authentifizierungs-, Autorisierungs- und Überwachungsserver binden.

Einrichten des virtuellen Authentifizierungsservers

Die Schritte zur Einrichtung eines virtuellen Authentifizierungsservers sind:

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

    ` enable ns feature AAA ``

  2. Konfigurieren Sie einen virtuellen Authentifizierungsserver. Es muss vom Typ SSL sein und sicherstellen, dass das SSL-Zertifikatschlüsselpaar an den virtuellen Server gebunden wird.

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    
  3. Geben Sie den FQDN der Domäne für den virtuellen Authentifizierungsserver an.

    set authentication vserver <name> -authenticationDomain <FQDN>
    
  4. Ordnen Sie den virtuellen Authentifizierungsserver dem relevanten virtuellen Server zur Datenverkehrsverwaltung zu.

    Punkte zu beachten:

    • Der FQDN des virtuellen Servers zur Datenverkehrsverwaltung muss sich in derselben Domäne wie der FQDN des virtuellen Authentifizierungsservers befinden, damit das Domänensitzungscookie ordnungsgemäß funktioniert. Auf dem virtuellen Server für die Datenverkehrsverwaltung:
      • Authentifizierung aktivieren.
      • Geben Sie den FQDN des virtuellen Authentifizierungsservers als Authentifizierungshost des virtuellen Servers für die Datenverkehrsverwaltung an.
      • [Optional]Geben Sie die Authentifizierungsdomäne auf dem virtuellen Server für die Datenverkehrsverwaltung an.
      • Wenn Sie die Authentifizierungsdomäne nicht konfigurieren, weist die Appliance einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Teil des Hostnamens besteht. Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweise tm.xyz.bar.comlautet, weist die Appliance xyz.bar.com als Authentifizierungsdomäne zu.
        • Für Lastausgleich:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
        
        • Für Content Switching:
         set cs vserver <name> <protocol> <IPAddress> <port>
        
    • Wenn Sie ein domänenbreites Cookie für eine Authentifizierungsdomäne festlegen müssen, müssen Sie das Authentifizierungsprofil auf einem virtuellen Lastenausgleichsserver aktivieren.
  5. Stellen Sie sicher, dass beide virtuellen Server UP sind und ordnungsgemäß konfiguriert sind.

    show authentication vserver <name>
    

So richten Sie einen virtuellen Authentifizierungsserver mit der GUI ein

  1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

    Navigieren Sie zu System > Einstellungen, klicken Sie auf Basisfunktionen konfigurieren, und aktivieren Sie Authentifizierung, Autorisierung und Überwachung.

  2. Konfigurieren Sie den virtuellen Authentifizierungsserver.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Serverund konfigurieren Sie sie nach Bedarf.

  3. Konfigurieren Sie den virtuellen Server für die Datenverkehrsverwaltung für die Authentifizierung.

    • Für Lastausgleich:

      Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und konfigurieren Sie den virtuellen Server nach Bedarf.

    • Für Content Switching:

      Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server, und konfigurieren Sie den virtuellen Server nach Bedarf.

    • Überprüfen Sie das Authentifizierungs-Setup.

      Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server, und überprüfen Sie die Details des relevanten virtuellen Authentifizierungsservers.

Konfigurieren Sie den virtuellen Authentifizierungsserver

Um Authentifizierung, Autorisierung und Überwachung zu konfigurieren, konfigurieren Sie zunächst einen virtuellen Authentifizierungsserver für die Verarbeitung des Authentifizierungsdatenverkehrs. Binden Sie als Nächstes ein SSL-Zertifikatschlüsselpaar an den virtuellen Server, damit es SSL-Verbindungen verarbeiten kann. Weitere Informationen zum Konfigurieren von SSL und zum Erstellen eines Zertifikatschlüsselpaars finden Sie unter SSL-Zertifikate.

Konfigurieren eines virtuellen Authentifizierungsservers mit der CLI

Um einen virtuellen Authentifizierungsserver zu konfigurieren und die Konfiguration zu überprüfen, geben Sie an der Eingabeaufforderung die folgenden Befehle in der gleichen Reihenfolge ein:

dd authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>

Beispiel:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

Hinweis:

Der Parameter Authentifizierungsdomäne ist veraltet. Verwenden Sie das Authentifizierungsprofil zum Setzen von domänenweiten Cookies.

Konfigurieren eines virtuellen Authentifizierungsservers mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um einen neuen virtuellen Authentifizierungsserver zu erstellen.
    • Um einen vorhandenen virtuellen Authentifizierungsserver zu ändern, wählen Sie den virtuellen Server aus, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Konfiguration wird geöffnet und der Bereich Grundeinstellungen erweitert.
  3. Geben Sie die Werte für die Parameter wie folgt an (Sternchen gibt einen erforderlichen Parameter an):

    • Name* — Name (Kann nicht für einen zuvor erstellten virtuellen Server geändert werden)
    • IP Address Type* — IP-Adresstyp des virtuellen Authentifizierungsservers
    • IP-Adresse*— IP-Adresse des virtuellen Authentifizierungsservers
    • Port* — TCP-Port, auf dem der virtuelle Server Verbindungen akzeptiert.
    • Timeout für fehlgeschlagene Anmeldung — failedLoginTimeout (Sekunden zulässig, bevor die Anmeldung fehlschlägt und der Benutzer den Anmeldeprozess erneut starten muss.)
    • Max. Anmeldeversuche — maxLoginAttempts (Anzahl der erlaubten Anmeldeversuche, bevor der Benutzer gesperrt wird)

    Hinweis:

    Der virtuelle Authentifizierungsserver verwendet nur das SSL-Protokoll und den Port 443, sodass diese Optionen ausgegraut sind. Alle Optionen, die nicht erwähnt werden, können ignoriert werden.

  4. Klicken Sie auf Weiter, um den Bereich Zertifikate anzuzeigen.
  5. Konfigurieren Sie im Bereich Zertifikate alle SSL-Zertifikate, die Sie mit diesem virtuellen Server verwenden möchten.

    • Um ein Zertifizierungsstellenzertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts neben Zertifizierungsstellenzertifikat, um das Dialogfeld Zertifizierungsstellenschlüssel anzuzeigen, wählen Sie das Zertifikat aus, das Sie an diesen virtuellen Server binden möchten, und klicken Sie auf Speichern.
    • Um ein Serverzertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts von Serverzertifikat und folgen Sie demselben Prozess wie für das CA-Zertifikat.
  6. Klicken Sie auf Weiter, um den Bereich Erweiterte Authentifizierungsrichtlinien anzuzeigen.
  7. Wenn Sie eine erweiterte Authentifizierungsrichtlinie an den virtuellen Server binden möchten, klicken Sie auf den Pfeil rechts neben der Zeile, um das Dialogfeld Authentifizierungsrichtlinie anzuzeigen, wählen Sie die Richtlinie aus, die Sie an den Server binden möchten, legen Sie die Priorität fest, und klicken Sie dann auf OK .
  8. Klicken Sie auf Weiter, um den Bereich Grundauthentifizierungsrichtlinien anzuzeigen.
  9. Wenn Sie eine grundlegende Authentifizierungsrichtlinie erstellen und an den virtuellen Server binden möchten, klicken Sie auf das Pluszeichen, um das Dialogfeld Richtlinien anzuzeigen, und folgen Sie den Anweisungen, um die Richtlinie zu konfigurieren und sie an diesen virtuellen Server zu binden.
  10. Klicken Sie auf Weiter, um den Bereich 401-basierte virtuelle Server anzuzeigen.
  11. Konfigurieren Sie im Bereich für 401-basierte virtuelle Server alle virtuellen Lastausgleichs- oder Content Switching-Server, die Sie an diesen virtuellen Server binden möchten.

    • Um einen virtuellen Lastausgleichsserver zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Lastausgleichsserver, um das Dialogfeld “Virtuelle Server für Lastenausgleich anzuzeigen, und befolgen Sie die Anweisungen.
    • Um einen virtuellen Content Switching-Server zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Content Switching-Server, um das Dialogfeld “Content Switching Virtual Servers” anzuzeigen, und folgen Sie demselben Prozess wie das Binden eines virtuellen LB-Servers.
  12. Wenn Sie eine Gruppe erstellen oder konfigurieren möchten, klicken Sie im Bereich Gruppen auf den Pfeil, um das Dialogfeld Gruppen anzuzeigen, und folgen Sie den Anweisungen.
  13. Überprüfen Sie Ihre Einstellungen, und klicken Sie auf Fertig. Das Dialogfeld wird geschlossen. Wenn Sie einen neuen virtuellen Authentifizierungsserver erstellt haben, wird er nun in der Liste des Konfigurationsfensters angezeigt.

Virtueller Server für die Verkehrsverwaltung

Nachdem Sie Ihren virtuellen Authentifizierungsserver erstellt und konfiguriert haben, erstellen oder konfigurieren Sie als Nächstes einen virtuellen Server für die Verkehrsverwaltung und ordnen Ihren virtuellen Authentifizierungsserver damit zu. Sie können entweder einen virtuellen Lastausgleichs- oder Content Switching-Server für einen virtuellen Server zur Datenverkehrsverwaltung verwenden. Weitere Informationen zum Erstellen und Konfigurieren eines virtuellen Servers finden Sie im Citrix Traffic Management Guide unterVerkehrsmanagement .

Hinweis:

Der FQDN des virtuellen Servers für die Verkehrsverwaltung muss sich in derselben Domäne wie der FQDN des virtuellen Authentifizierungsservers befinden, damit das Cookie für die Domänensitzung ordnungsgemäß funktioniert.

Sie konfigurieren einen virtuellen Server für die Datenverkehrsverwaltung für die Authentifizierung, Autorisierung und Überwachung, indem Sie die Authentifizierung aktivieren und dann den FQDN des Authentifizierungsservers dem virtuellen Server für die Datenverkehrsverwaltung zuweisen. Sie können die Authentifizierungsdomäne derzeit auch auf dem virtuellen Server für die Verkehrsverwaltung konfigurieren. Wenn Sie diese Option nicht konfigurieren, weist die Citrix ADC Appliance dem virtuellen Server der Verkehrsverwaltung einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Teil des Host-Namens besteht. Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweise tm.xyz.bar.com lautet, weist die Appliance xyz.bar.com. als Authentifizierungsdomäne zu.

So konfigurieren Sie einen virtuellen Server für die Verkehrsverwaltung mit der CLI

Geben Sie an der Eingabeaufforderung einen der folgenden Befehlssätze ein:

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>

Beispiel:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done

So konfigurieren Sie einen virtuellen Server für die Verkehrsverwaltung mit der GUI

  1. Führen Sie im Navigationsbereich eine der folgenden Aktionen aus.

    • Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
    • Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server
    • Wählen Sie im Detailbereich den virtuellen Server aus, auf dem Sie die Authentifizierung aktivieren möchten, und klicken Sie dann auf Bearbeiten.
    • Geben Sie im Textfeld Domäne die Authentifizierungsdomäne ein.
    • Wählen Sie im Menü Erweitert auf der rechten Seite die Option Authentifizierung aus.
    • Wählen Sie entweder formularbasierte Authentifizierung oder 401 Based Authentication, und geben Sie die Authentifizierungsinformationen ein.

      • Geben Sie für Formularbasierte Authentifizierung den Authentifizierungs-FQDN (den vollqualifizierten Domänennamen des Authentifizierungsservers), den virtuellen Authentifizierungsserver (die IP-Adresse des virtuellen Authentifizierungsservers) und das Authentifizierungsprofil (das für die Authentifizierung zu verwendende Profil) ein.
      • Geben Sie für 401 Based Authentication nur den virtuellen Authentifizierungsserver und das Authentifizierungsprofil ein.
    • Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass der virtuelle Server erfolgreich konfiguriert wurde.

Vereinfachte Login-Protokollunterstützung für Authentifizierung, Autorisierung und Überwachung

Das Login-Protokoll zwischen Authentifizierung, Autorisierung und Überwachung der Datenverkehrsverwaltung virtuellen Servern und Authentifizierung, Autorisierung und Überwachung virtueller Server wird vereinfacht, um interne Mechanismen zu verwenden, anstatt die verschlüsselten Daten über Abfrageparameter zu senden. Mit dieser Funktion wird die Wiederholung von Anfragen verhindert.

Konfigurieren von DNS

Damit das im Authentifizierungsprozess verwendete Domänensitzungscookie ordnungsgemäß funktioniert, müssen Sie DNS so konfigurieren, dass sowohl die Authentifizierungs- als auch die virtuellen Server für die Verkehrsverwaltung FQDNs in derselben Domäne zugewiesen werden. Hinweise zum Konfigurieren von DNS-Adresseinträgen finden Sie unterDomain-Namenssystem.

Überprüfen der Authentifizierung virtueller Server

Nachdem Sie die virtuellen Server für die Authentifizierung und Verkehrsverwaltung konfiguriert haben und bevor Sie Benutzerkonten erstellen, müssen Sie sicherstellen, dass beide virtuellen Server korrekt konfiguriert sind und sich im Status UP befinden.

Konfigurieren einer NoAuth-Authentifizierung mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

show authentication vserver <name>

Beispiel:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done

Konfigurieren einer NoAuth- Authentifizierung mit der GUI

  1. Navigieren Sie zu Sicherheit > Citrix ADC AAA - Anwendungsdatenverkehr > Virtuelle Server. Hinweis: Navigieren Sie von Citrix Gateway zu Citrix Gateway > Virtual Servers.
  2. Überprüfen Sie die Informationen im Bereich Virtuelle AAA-Server, um zu überprüfen, ob Ihre Konfiguration korrekt ist und Ihr virtueller Authentifizierungsserver Datenverkehr akzeptiert. Sie können einen bestimmten virtuellen Server auswählen, um detaillierte Informationen im Detailbereich anzuzeigen.