Ein Überblick über NetScaler Kerberos SSO
Um die NetScaler Kerberos SSO-Funktion verwenden zu können, authentifizieren sich Benutzer zunächst bei Kerberos oder einem unterstützten Authentifizierungsserver eines Drittanbieters. Nach der Authentifizierung fordert der Benutzer Zugriff auf eine geschützte Webanwendung an. Der Webserver antwortet mit einer Aufforderung zum Nachweis, dass der Benutzer berechtigt ist, auf diese Webanwendung zuzugreifen. Der Browser des Benutzers kontaktiert den Kerberos-Server, der überprüft, ob der Benutzer für den Zugriff auf diese Ressource autorisiert ist, und stellt dem Browser des Benutzers dann ein Serviceticket zur Verfügung, das den Nachweis liefert. Der Browser sendet die Anfrage des Benutzers mit dem angehängten Serviceticket erneut an den Webanwendungsserver. Der Webanwendungsserver überprüft das Serviceticket und ermöglicht dem Benutzer dann den Zugriff auf die Anwendung.
Das Verkehrsmanagement für Authentifizierung, Autorisierung und Überwachung implementiert diesen Prozess, wie in der folgenden Abbildung dargestellt. Das Diagramm veranschaulicht den Informationsfluss durch die NetScaler-Appliance und die Verwaltung des Authentifizierungs-, Autorisierungs- und Audit-Traffic-Managements in einem sicheren Netzwerk mit LDAP-Authentifizierung und Kerberos-Autorisierung. Umgebungen für Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements, die andere Authentifizierungstypen verwenden, haben im Wesentlichen denselben Informationsfluss, obwohl sie sich in einigen Details unterscheiden können.
Abbildung 1. Ein sicheres Netzwerk mit LDAP und Kerberos
Das Authentifizierungs-, Autorisierungs- und Auditing-Verkehrsmanagement mit Authentifizierung und Autorisierung in einer Kerberos-Umgebung erfordert, dass die folgenden Aktionen ausgeführt werden.
- Der Client sendet eine Anforderung für eine Ressource an den virtuellen Traffic Management-Server auf der NetScaler-Appliance.
- Der virtuelle Server für das Verkehrsmanagement leitet die Anfrage an den virtuellen Authentifizierungsserver weiter, der den Client authentifiziert und die Anfrage dann an den virtuellen Server für die Verkehrsverwaltung zurückleitet.
- Der virtuelle Server für das Verkehrsmanagement sendet die Anfrage des Clients an den Webanwendungsserver.
- Der Webanwendungsserver antwortet auf den virtuellen Traffic Management-Server mit einer 401-Meldung, die die Kerberos-Authentifizierung anfordert. Falls der Client Kerberos nicht unterstützt, wird auf die NTLM-Authentifizierung zurückgegriffen.
- Der virtuelle Server für das Verkehrsmanagement kontaktiert den Kerberos-SSO-Daemon.
- Der Kerberos-SSO-Daemon kontaktiert den Kerberos-Server und erhält ein Ticket Granting Ticket (TGT), mit dem er Servicetickets anfordern kann, die den Zugriff auf geschützte Anwendungen autorisieren.
- Der Kerberos-SSO-Daemon ruft ein Serviceticket für den Benutzer ab und sendet dieses Ticket an den virtuellen Traffic Management-Server.
- Der virtuelle Server für das Verkehrsmanagement fügt das Ticket an die erste Anfrage des Benutzers an und sendet die geänderte Anfrage an den Webanwendungsserver zurück.
- Der Webanwendungsserver antwortet mit einer 200-OK-Meldung.
Diese Schritte sind für den Client transparent, der lediglich eine Anfrage sendet und die angeforderte Ressource empfängt.
Integration von NetScaler Kerberos SSO mit Authentifizierungsmethoden
Alle Authentifizierungsmechanismen für Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements unterstützen NetScaler Kerberos SSO. Das Verkehrsmanagement für Authentifizierung, Autorisierung und Überwachung unterstützt den Kerberos-SSO-Mechanismus mit den Kerberos-, CAC- (Smart Card) und SAML-Authentifizierungsmechanismen mit jeder Form der Client-Authentifizierung an der NetScaler-Appliance. Es unterstützt auch die SSO-Mechanismen HTTP-Basic, HTTP-Digest, Forms-based und NTLM (Versionen 1 und 2), wenn der Client entweder die HTTP-Basic- oder die formsbasierte Authentifizierung verwendet, um sich bei der NetScaler-Appliance anzumelden.
Die folgende Tabelle zeigt jede unterstützte clientseitige Authentifizierungsmethode und die unterstützte serverseitige Authentifizierungsmethode für diese clientseitige Methode.
Tabelle 1. Unterstützte Authentifizierungsmethoden
| Grundlagen/Übersicht/NTLM | Eingeschränkte Kerberos-Delegierung | Identitätswechsel | |
|---|---|---|---|
| CAC (Smartcard): auf der SSL/T LS-Schicht | X | X | |
| Formularbasiert (LDAP/RADIUS/TACACS) | X | X | X |
| HTTP-Grundlagen (LDAP/RADIUS/TACACS) | X | X | X |
| Kerberos | X | ||
| NT LM v1/v2 | X | X | |
| SAML | X | ||
| SAML Zwei-Faktor | X | X | X |
| Zertifikat Two-Factor | X | X | X |