Virtueller Authentifizierungsserver

Der virtuelle Traffic Management-Server (Load Balancing oder Content Switching) leitet alle Authentifizierungsanforderungen an den virtuellen Authentifizierungsserver um. Dieser virtuelle Server verarbeitet die zugehörigen Authentifizierungsrichtlinien und bietet dementsprechend Zugriff auf die Anwendung.

Hinweis: Sie können Traffic-Management-Richtlinien nicht an Authentifizierung, Autorisierung und Überwachung virtueller Server binden.

Richten Sie den virtuellen Authentifizierungsserver ein

Die Schritte beim Einrichten eines virtuellen Authentifizierungsservers sind:

1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

   enable ns feature AAA
   <!--NeedCopy-->
   

2. Konfigurieren Sie einen virtuellen Authentifizierungsserver. Es muss vom Typ SSL sein und sicherstellen, dass das SSL-Zertifikatschlüsselpaar an den virtuellen Server gebunden wird.

   add authentication vserver <name> SSL <ipaddress> <port>
   
   bind ssl certkey <auth-vserver-name> <certkey>
   <!--NeedCopy-->
   

3. Geben Sie den FQDN der Domäne für den virtuellen Authentifizierungsserver an.

   set authentication vserver <name> -authenticationDomain <FQDN>
   <!--NeedCopy-->
   

4. Ordnen Sie den virtuellen Authentifizierungsserver dem entsprechenden virtuellen Server für das Verkehrsmanagement zu.

   Zu beachtende Punkte:

   • Der FQDN des virtuellen Servers für die Verkehrsverwaltung muss sich in derselben Domäne wie der FQDN des virtuellen Authentifizierungsservers befinden, damit das Domänensitzungscookie ordnungsgemäß funktioniert. Auf dem virtuellen Server für das Verkehrsmanagement:
     • Aktiviere die Authentifizierung.
     • Geben Sie den FQDN des virtuellen Authentifizierungsservers als Authentifizierungshost des virtuellen Servers für die Datenverkehrsverwaltung an.
     • [Optional] Geben Sie die Authentifizierungsdomäne auf dem virtuellen Datenverkehrsverwaltungsserver an.
     • Wenn Sie die Authentifizierungsdomäne nicht konfigurieren, weist die Appliance einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Teil des Hostnamens besteht. Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweise tm.xyz.bar.comlautet, weist die Appliance xyz.bar.com als Authentifizierungsdomäne zu.
       • Für den Lastenausgleich:

        set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
        <!--NeedCopy-->
       

       • Zum Content Switching:

        set cs vserver <name> <protocol> <IPAddress> <port>
        <!--NeedCopy-->
       

   • Wenn Sie ein domänenweites Cookie für eine Authentifizierungsdomäne festlegen müssen, müssen Sie das Authentifizierungsprofil auf einem virtuellen Lastausgleichsserver aktivieren.

5. Stellen Sie sicher, dass beide virtuellen Server in Betrieb sind und korrekt konfiguriert sind.

   show authentication vserver <name>
   <!--NeedCopy-->
   

So richten Sie einen virtuellen Authentifizierungsserver über die GUI ein

1. Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.

   Navigieren Sie zu System > Einstellungen, klicken Sie auf Grundfunktionen konfigurierenund aktivieren Sie Authentifizierung, Autorisierung und Überwachung.

2. Konfigurieren Sie den virtuellen Authentifizierungsserver.

   Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und konfigurieren Sie nach Bedarf.

3. Konfigurieren Sie den virtuellen Traffic Management-Server für die Authentifizierung.

   • Für den Lastenausgleich:

     Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und konfigurieren Sie den virtuellen Server nach Bedarf.

   • Zum Content Switching:

     Navigieren Sie zu Traffic Management > Content Switching > Virtuelle Server, und konfigurieren Sie den virtuellen Server nach Bedarf.

4. • Überprüfen Sie das Authentifizierungs-Setup.

     Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und überprüfen Sie die Details des entsprechenden virtuellen Authentifizierungsservers.

Konfigurieren des virtuellen Authentifizierungsservers

Um Authentifizierung, Autorisierung und Überwachung zu konfigurieren, konfigurieren Sie zunächst einen virtuellen Authentifizierungsserver für den Umgang mit Authentifizierungsverkehr. Binden Sie als Nächstes ein SSL-Zertifikatschlüsselpaar an den virtuellen Server, damit es SSL-Verbindungen verarbeiten kann. Weitere Informationen zum Konfigurieren von SSL und zum Erstellen eines Zertifikatschlüsselpaars finden Sie unter SSL-Zertifikate.

Konfigurieren eines virtuellen Authentifizierungsservers mit der CLI

Um einen virtuellen Authentifizierungsserver zu konfigurieren und die Konfiguration zu überprüfen, geben Sie an der Eingabeaufforderung die folgenden Befehle in derselben Reihenfolge ein:

add authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

Beispiel:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

set authentication vserver Auth-Vserver-2

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

Hinweis

Der Parameter Authentication Domain ist veraltet. Verwenden Sie das Authentifizierungsprofil, um domänenweite Cookies

Konfigurieren eines virtuellen Authentifizierungsservers über die GUI

1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.

2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

   • Um einen neuen virtuellen Authentifizierungsserver zu erstellen, klicken Sie auf Hinzufügen.
   • Um einen vorhandenen virtuellen Authentifizierungsserver zu ändern, wählen Sie den virtuellen Server aus und klicken dann auf Bearbeiten. Der Konfigurationsdialog öffnet sich mit dem erweiterten Bereich Grundeinstellungen.

3. Geben Sie die Werte für die Parameter wie folgt an (Sternchen gibt einen erforderlichen Parameter an):

   • name*—name (kann für einen zuvor erstellten virtuellen Server nicht geändert werden)
   • IP-Adresstyp* — IP-Adresstyp des virtuellen Authentifizierungsservers
   • IP-Adresse* — IP-Adresse des virtuellen Authentifizierungsservers
   • Port* — TCP-Port, auf dem der virtuelle Server Verbindungen akzeptiert.
   • Fehlgeschlagenes Anmelde-Timeout — failedLoginTimeout (Sekunden erlaubt, bevor die Anmeldung fehlschlägt, und der Benutzer muss den Anmeldevorgang erneut starten.)
   • Max. Anmeldeversuche — MaxLoginAttempts (Anzahl der erlaubten Anmeldeversuche, bevor der Benutzer gesperrt wird)

   Hinweis:

   Der virtuelle Authentifizierungsserver verwendet nur das SSL-Protokoll und den Port 443, sodass diese Optionen ausgegraut sind. Alle Optionen, die nicht erwähnt werden, können ignoriert werden.

4. Klicken Sie auf Weiter, um den Bereich Zertifikate anzuzeigen.

5. Konfigurieren Sie im Bereich Zertifikate alle SSL-Zertifikate, die Sie mit diesem virtuellen Server verwenden möchten.

   • Um ein CA-Zertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts neben CA Certificate, um das Dialogfeld CA Cert Key anzuzeigen, wählen Sie das Zertifikat aus, das Sie an diesen virtuellen Server binden möchten, und klicken Sie auf Speichern.
   • Um ein Serverzertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts neben dem Serverzertifikat, und gehen Sie genauso vor wie für das CA-Zertifikat.
6. Klicken Sie auf Weiter, um den Bereich Erweiterte Authentifizierungsrichtlinien anzuzeigen.
7. Wenn Sie eine erweiterte Authentifizierungsrichtlinie an den virtuellen Server binden möchten, klicken Sie auf den Pfeil auf der rechten Seite der Zeile, um das Dialogfeld Authentifizierungsrichtlinie anzuzeigen, wählen Sie die Richtlinie aus, die Sie an den Server binden möchten, legen Sie die Priorität fest, und klicken Sie dann auf OK.
8. Klicken Sie auf Fortfahren, um den Bereich Grundauthentifizierungsrichtlinien anzuzeigen.
9. Wenn Sie eine Standardauthentifizierungsrichtlinie erstellen und an den virtuellen Server binden möchten, klicken Sie auf das Pluszeichen, um das Dialogfeld Richtlinien anzuzeigen, und befolgen Sie die Anweisungen, um die Richtlinie zu konfigurieren und an diesen virtuellen Server zu binden.
10. Klicken Sie auf Weiter, um den Bereich 401-basierte virtuelle Server anzuzeigen.

11. Konfigurieren Sie im Bereich 401-basierte virtuelle Server alle virtuellen Load Balancing- oder Content Switching-Server, die Sie an diesen virtuellen Server binden möchten.

    • Um einen virtuellen Lastausgleichsserver zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Lastausgleichsserver, um das Dialogfeld Load Balancing Virtuelle Server anzuzeigen, und folgen Sie den Anweisungen.
    • Um einen virtuellen Content Switching-Server zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Server für Content Switching, um das Dialogfeld Content Switching Virtual Server anzuzeigen, und gehen Sie genauso vor wie beim Binden eines virtuellen LB-Servers.
12. Wenn Sie eine Gruppe erstellen oder konfigurieren möchten, klicken Sie im Bereich Gruppen auf den Pfeil, um das Dialogfeld Gruppen anzuzeigen, und befolgen Sie die Anweisungen.
13. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig, wenn Sie fertigsind. Das Dialogfenster wird geschlossen. Wenn Sie einen neuen virtuellen Authentifizierungsserver erstellt haben, wird dieser jetzt in der Liste des Konfigurationsfensters angezeigt.

Virtueller Server für das Verkehrsmanagement

Nachdem Sie Ihren virtuellen Authentifizierungsserver erstellt und konfiguriert haben, erstellen oder konfigurieren Sie als Nächstes einen virtuellen Traffic Management-Server und verknüpfen Ihren virtuellen Authentifizierungsserver damit. Sie können entweder einen virtuellen Lastausgleichs- oder Content Switching-Server für einen virtuellen Server zur Datenverkehrsverwaltung verwenden. Weitere Informationen zum Erstellen und Konfigurieren eines virtuellen Servers finden Sie im Citrix Traffic Management Guide bei Traffic Management.

Hinweis:

Der FQDN des virtuellen Servers für die Verkehrsverwaltung muss sich in derselben Domäne wie der FQDN des virtuellen Authentifizierungsservers befinden, damit das Cookie für die Domänensitzung ordnungsgemäß funktioniert.

Sie konfigurieren einen virtuellen Traffic Management-Server für Authentifizierung, Autorisierung und Überwachung, indem Sie die Authentifizierung aktivieren und dann den FQDN des Authentifizierungsservers dem virtuellen Server für das Verkehrsmanagement zuweisen. Sie können die Authentifizierungsdomäne derzeit auch auf dem virtuellen Server für die Verkehrsverwaltung konfigurieren. Wenn Sie diese Option nicht konfigurieren, weist die Citrix ADC-Appliance dem virtuellen Server für die Verkehrsverwaltung einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Hostnamen-Teil besteht. Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweise tm.xyz.bar.com lautet, weist die Appliance xyz.bar.com. als Authentifizierungsdomäne zu.

So konfigurieren Sie einen virtuellen Traffic Management-Server über die CLI

Geben Sie an der Eingabeaufforderung einen der folgenden Befehlsätze ein:

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

Beispiel:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

So konfigurieren Sie einen virtuellen Traffic Management-Server über die GUI

1. Führen Sie im Navigationsbereich einen der folgenden Schritte aus.

   • Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
   • Navigieren Sie zu Traffic Management > Content Switching > Virtu
   • Wählen Sie im Detailbereich den virtuellen Server aus, auf dem Sie die Authentifizierung aktivieren möchten, und klicken Sie dann auf Bearbeiten.
   • Geben Sie im Textfeld Domäne die Authentifizierungsdomäne ein.
   • Wählen Sie im Menü “ Erweitert “ auf der rechten Seite die Option Authentifizierungaus.

   • Wählen Sie entweder Formularbasierte Authentifizierung oder 401-basierte Authentifizierungund geben Sie die Authentifizierungsinformationen ein.

     • Geben Sie für die formularbasierte Authentifizierung den Authentifizierungs-FQDN (den vollqualifizierten Domänennamen des Authentifizierungsservers), den virtuellen Authentifizierungsserver (die IP-Adresse des virtuellen Authentifizierungsservers) und das Authentifizierungsprofil (das für die Authentifizierung zu verwendende Profil) ein.
     • Geben Sie für 401-basierte Authentifizierung nur den virtuellen Authentifizierungsserver und das Authentifizierungsprofil ein.
   • Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass der virtuelle Server erfolgreich konfiguriert wurde.

Vereinfachte Unterstützung des Anmeldeprotokolls für Authentifizierung, Autorisierung und Überwachung

Das Anmeldeprotokoll zwischen Authentifizierung, Autorisierung und Überwachung virtueller Server für das Verkehrsmanagement und Authentifizierung, Autorisierung und Überwachung virtueller Server wird vereinfacht, um interne Mechanismen zu verwenden, anstatt die verschlüsselten Daten über Abfrageparameter zu senden. Mit dieser Funktion wird die Wiedergabe von Anfragen verhindert.

Konfigurieren Sie DNS

Damit das im Authentifizierungsprozess verwendete Domänensitzungscookie ordnungsgemäß funktioniert, müssen Sie DNS so konfigurieren, dass sowohl die Authentifizierungs- als auch die virtuellen Server für die Verkehrsverwaltung FQDNs in derselben Domäne zugewiesen werden. Informationen zum Konfigurieren von DNS-Adressdatensätzen finden Sie unter Domänennamensystem.

Überprüfen der Authentifizierung virtueller Server

Nachdem Sie virtuelle Authentifizierungs- und Verkehrsverwaltungsserver konfiguriert haben und bevor Sie Benutzerkonten erstellen, müssen Sie überprüfen, ob beide virtuellen Server korrekt konfiguriert sind und sich im Status UP befinden.

Konfigurieren einer NoAuth-Authentifizierung über die CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

show authentication vserver <name>
<!--NeedCopy-->

Beispiel:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

Konfigurieren einer NoAuth-Authentifizierung über die GUI

1. Navigieren Sie zu Sicherheit > Citrix ADC AAA - Anwendungsverkehr > Virtuelle Server. Hinweis: Navigieren Sie von Citrix Gateway zu Citrix Gateway > Virtuelle Server.
2. Überprüfen Sie die Informationen im Bereich Virtuelle AAA-Server, um sicherzustellen, dass Ihre Konfiguration korrekt ist und Ihr virtueller Authentifizierungsserver Datenverkehr akzeptiert. Sie können einen bestimmten virtuellen Server auswählen, um detaillierte Informationen im Detailbereich anzuzeigen.