Citrix ADC

Wie Authentifizierung, Autorisierung und Auditing funktionieren

Authentifizierung, Autorisierung und Überwachung bieten Sicherheit für eine verteilte Internetumgebung, indem es jedem Client mit den richtigen Anmeldeinformationen ermöglicht, sich von überall im Internet sicher mit geschützten Anwendungsservern zu verbinden. Diese Funktion beinhaltet die drei Sicherheitsfunktionen Authentifizierung, Autorisierung und Überwachung. Durch die Authentifizierung kann Citrix ADC die Anmeldeinformationen des Clients entweder lokal oder mit einem Authentifizierungsserver eines Drittanbieters überprüfen und nur zugelassenen Benutzern den Zugriff auf geschützte Server ermöglichen. Durch die Autorisierung kann der ADC überprüfen, auf welche Inhalte auf einem geschützten Server jeder Benutzer zugreifen kann. Durch die Überwachung kann der ADC die Aktivitäten jedes Benutzers auf einem geschützten Server aufzeichnen.

Um zu verstehen, wie Authentifizierung, Autorisierung und Auditierung in einer verteilten Umgebung funktionieren, sollten Sie eine Organisation mit einem Intranet in Betracht ziehen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Die Inhalte im Intranet sind vertraulich und erfordern einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, tut der ADC Folgendes:

  • Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
  • Sammelt die Anmeldeinformationen des Benutzers, übermittelt sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis, auf das über LDAP zugegriffen werden kann. Weitere Informationen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.

  • Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
  • Behält ein Sitzungstimeout bei, nach dem sich Benutzer erneut authentifizieren müssen, um wieder auf das Intranet zugreifen zu können. (Sie können das Timeout konfigurieren.)
  • Protokolliert die Benutzerzugriffe, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.

Konfigurieren von Authentifizierungs- und Überwachungsrichtlinien

Nachdem Sie Ihre Benutzer und Gruppen eingerichtet haben, konfigurieren Sie als Nächstes Authentifizierungsrichtlinien, Autorisierungsrichtlinien und Überwachungsrichtlinien, um festzulegen, welche Benutzer auf Ihr Intranet zugreifen dürfen, auf welche Ressourcen jeder Benutzer oder jede Gruppe zugreifen darf und auf welcher Detailstufe Authentifizierung, Autorisierung und Überwachung wird in den Audit-Protokollen aufbewahrt. Eine Authentifizierungsrichtlinie definiert die Art der Authentifizierung, die angewendet werden soll, wenn ein Benutzer versucht, sich anzumelden. Wenn eine externe Authentifizierung verwendet wird, gibt die Richtlinie auch den externen Authentifizierungsserver an. Autorisierungsrichtlinien legen die Netzwerkressourcen fest, auf die Benutzer und Gruppen nach der Anmeldung zugreifen können. Überwachungsrichtlinien definieren den Typ und den Speicherort des Überwachungsprotokolls.

Sie müssen jede Richtlinie binden, um sie in Kraft zu setzen. Sie binden Authentifizierungsrichtlinien an virtuelle Authentifizierungsserver, Autorisierungsrichtlinien an ein oder mehrere Benutzerkonten oder Gruppen und Überwachungsrichtlinien sowohl global als auch an ein oder mehrere Benutzerkonten oder Gruppen.

Wenn Sie eine Richtlinie binden, weisen Sie ihr eine Priorität zu. Die Priorität bestimmt die Reihenfolge, in der die von Ihnen definierten Richtlinien ausgewertet werden. Sie können die Priorität auf jede positive Ganzzahl festlegen. Im Citrix ADC-Betriebssystem arbeiten Richtlinienprioritäten in umgekehrter Reihenfolge: je höher die Zahl, desto niedriger die Priorität. Wenn Sie beispielsweise drei Richtlinien mit Prioritäten von 10, 100 und 1000 haben, wird der Richtlinie zuerst eine Priorität von 10 zugewiesen, dann wird der Richtlinie eine Priorität von 100 zugewiesen, und schließlich hat die Richtlinie eine Reihenfolge von 1000 zugewiesen. Die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion implementiert nur die erste jeder Art von Richtlinie, mit der eine Anforderung übereinstimmt, keine zusätzlichen Richtlinien dieses Typs, mit denen auch eine Anforderung übereinstimmen könnte. Daher ist die Richtlinienpriorität wichtig, um die beabsichtigten Ergebnisse zu erhalten.

Sie können sich viel Raum lassen, um andere Richtlinien in beliebiger Reihenfolge hinzuzufügen, und sie dennoch so einstellen, dass sie in der gewünschten Reihenfolge bewertet werden, indem Sie Prioritäten mit Intervallen von 50 oder 100 zwischen den einzelnen Richtlinien festlegen, wenn Sie die Richtlinien binden. Sie können dann jederzeit zusätzliche Richtlinien hinzufügen, ohne die Priorität einer vorhandenen Richtlinie neu zuweisen zu müssen.

Weitere Informationen zum Binden von Richtlinien auf der Citrix ADC-Appliance finden Sie in der Citrix ADC-Produktdokumentation.

Konfigurieren Sie die Richtlinie “No_Auth”, um bestimmten Datenverkehr zu umgehen

Sie können jetzt die Richtlinie No_Auth konfigurieren, um bestimmten Datenverkehr aus der Authentifizierung zu Bypass, wenn die 401-basierte Authentifizierung auf dem virtuellen Verkehrsverwaltungsserver aktiviert ist. Für einen solchen Verkehr müssen Sie eine “No_Auth” -Richtlinie binden.

So konfigurieren Sie die Richtlinie No_Auth, um bestimmten Datenverkehr über die CLI zu Bypass

Geben Sie an der Eingabeaufforderung ein:

add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

Beispiel:

add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->
Wie Authentifizierung, Autorisierung und Auditing funktionieren