-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Konfigurieren von SSO
Die Konfiguration von Citrix ADC SSO für die Authentifizierung durch Identitätswechsel ist einfacher als die Konfiguration von SSO für die Authentifizierung durch Delegierung und ist daher vorzuziehen, wenn Ihre Konfiguration dies zulässt. Sie erstellen ein KCD-Konto. Sie können das Kennwort des Benutzers verwenden.
Wenn Sie nicht über das Kennwort des Benutzers verfügen, können Sie Citrix ADC SSO für die Authentifizierung durch Delegierung konfigurieren. Obwohl es komplexer ist, als SSO für die Authentifizierung durch Identitätswechsel zu konfigurieren, bietet die Delegierungsmethode Flexibilität, da die Anmeldeinformationen eines Benutzers möglicherweise nicht unter allen Umständen für die Citrix ADC Appliance verfügbar sind.
Für Identitätswechsel oder Delegierung müssen Sie auch die integrierte Authentifizierung auf dem Webanwendungsserver aktivieren.
Aktivieren der integrierten Authentifizierung auf dem Webanwendungsserver
Um Citrix ADC Kerberos SSO auf jedem Webanwendungsserver einzurichten, den Kerberos SSO verwaltet, verwenden Sie die Konfigurationsoberfläche auf diesem Server, um den Server so zu konfigurieren, dass er eine Authentifizierung erfordert. Wählen Sie Kerberos-Authentifizierung (aushandeln) nach Voreinstellung, mit Fallback auf NTLM für Clients, die Kerberos nicht unterstützen.
Im Folgenden finden Sie Anweisungen zum Konfigurieren des Microsoft Internet Information Server (IIS) für die Authentifizierung. Wenn Ihr Webanwendungsserver andere Software als IIS verwendet, finden Sie in der Dokumentation für diese Webserversoftware Anweisungen.
So konfigurieren Sie Microsoft IIS für die Verwendung der integrierten Authentifizierung
- Melden Sie sich beim IIS-Server an, und öffnen Sie den Internetinformationsdienste-Manager.
- Wählen Sie die Website aus, für die Sie die integrierte Authentifizierung aktivieren möchten. Um die integrierte Authentifizierung für alle von IISM verwalteten IIS Webserver zu aktivieren, konfigurieren Sie die Authentifizierungseinstellungen für die Standard-Website. Um die integrierte Authentifizierung für einzelne Dienste (z. B. Exchange, Exadmin, ExchWeb und Public) zu aktivieren, konfigurieren Sie diese Authentifizierungseinstellungen für jeden Dienst einzeln.
- Öffnen Sie das Dialogfeld Eigenschaften für die Standardwebsite oder für den einzelnen Dienst und klicken Sie auf die Registerkarte Verzeichnissicherheit.
- Wählen Sie neben Authentifizierung und ZugriffssteuerungBearbeiten aus.
- Deaktivieren Sie den anonymen Zugriff.
- Aktivieren Sie die integrierte Windows-Authentifizierung (nur). Die Aktivierung der integrierten Windows-Authentifizierung muss automatisch die Protokollverhandlung für den Webserver auf Negotiate, NTLM, festlegen, die die Kerberos-Authentifizierung mit Fallback auf NTLM für nicht kerberosfähige Geräte spezifiziert. Wenn diese Option nicht automatisch ausgewählt ist, legen Sie die Protokollverhandlung manuell auf Negotiate, NTLM fest.
Einrichten von SSO durch Identitätswechsel
Sie können das KCD-Konto für Citrix ADC SSO durch Identitätswechsel konfigurieren. In dieser Konfiguration ruft die Citrix ADC Appliance den Benutzernamen und das Kennwort des Benutzers ab, wenn sich der Benutzer beim Authentifizierungsserver authentifiziert, und verwendet diese Anmeldeinformationen, um den Benutzer zu imitieren, um ein Ticket Granting Ticket (TGT) zu erhalten. Wenn der Benutzername im UPN-Format ist, ruft die Appliance den Bereich (Realm) des Benutzers von UPN ab. Andernfalls erhält er den Namen und den Bereich (Realm) des Benutzers, indem er ihn aus der SSO-Domäne extrahiert, die bei der Erstauthentifizierung verwendet wird, oder aus dem Sitzungsprofil.
Hinweis:
Sie können keinen Benutzernamen mit Domäne hinzufügen, wenn der Benutzername bereits ohne Domäne hinzugefügt wurde. Wenn der Benutzername mit Domäne zuerst hinzugefügt wird, gefolgt von demselben Benutzernamen ohne Domäne, fügt die Citrix ADC Appliance den Benutzernamen zur Benutzerliste hinzu.
Beim Konfigurieren des KCD-Kontos müssen Sie den Parameter realm auf den Bereich des Dienstes festlegen, auf den der Benutzer zugreift. Derselbe Bereich (Realm) wird auch als Bereich des Benutzers verwendet, wenn der Bereich des Benutzers nicht über die Authentifizierung mit der Citrix ADC Appliance oder über das Sitzungsprofil abgerufen werden kann.
So erstellen Sie das KCD-Konto für SSO durch Identitätswechsel mit einem Kennwort
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add aaa kcdaccount <accountname> -realmStr <realm>
Ersetzen Sie für die Variablen die folgenden Werte:
- accountname. Der KCD-Kontoname.
- realm. Die Domäne, die dem Citrix ADC SSO zugewiesen ist.
Beispiel
Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und das Schlüsselregister kcdvserver.keytab zu verwenden, geben Sie den folgenden Befehl ein:
add aaa kcdAccount kcdaccount1 -keytab kcdvserver.keytab
Informationen zur Konfiguration des Kerberos-Identitätswechsels über die Citrix ADC GUI finden Sie unter Citrix Support.
SSO durch Delegierung konfigurieren
Um SSO nach Delegierung zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:
- Wenn Sie Delegierung nach delegiertem Benutzerzertifikat konfigurieren, installieren Sie die entsprechenden Zertifizierungsstellenzertifikate auf der Citrix ADC Appliance, und fügen Sie sie der Citrix ADC-Konfiguration hinzu.
- Erstellen Sie das KCD-Konto auf der Appliance. Die Appliance verwendet dieses Konto, um Servicetickets für Ihre geschützten Anwendungen zu erhalten.
- Konfigurieren Sie den Active Directory -Server.
Hinweis
Weitere Informationen zum Erstellen eines KCD-Kontos und zur Konfiguration auf der NetScaler Appliance finden Sie in den folgenden Themen:
Installieren des Client-Zertifizierungsstellenzertifikats auf der Citrix ADC Appliance
Wenn Sie Citrix ADC SSO mit einem Clientzertifikat konfigurieren, müssen Sie das entsprechende Zertifizierungsstellenzertifikat für die Clientzertifikatdomäne (das Clientzertifizierungsstellenzertifikat) in die Citrix ADC-Appliance kopieren und dann das Zertifizierungsstellenzertifikat installieren. Zum Kopieren des Client-Zertifizierungsstellenzertifikats verwenden Sie das Dateiübertragungsprogramm Ihrer Wahl, um das Zertifikat und die Datei mit privatem Schlüssel auf die Citrix ADC Appliance zu übertragen und die Dateien in /nsconfig/ssl zu speichern.
So installieren Sie das Client-Zertifizierungsstellenzertifikat auf der Citrix ADC Appliance
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add ssl certKey <certkeyName> -cert <cert> [(-key <key> [-password]) | -fipsKey <fipsKey>][-inform ( DER | PEM )][-expiryMonitor ( ENABLED | DISABLED | UNSET ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]
Ersetzen Sie für die Variablen die folgenden Werte:
- certkeyName. Ein Name für das Client-Zertifizierungsstellenzertifikat. Muss mit einem alphanumerischen ASCII-Zeichen oder einem Unterstrich (_) beginnen und aus einem bis einunddreißig Zeichen bestehen. Zulässige Zeichen umfassen ASCII-alphanumerische Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestrich (-). Kann nicht geändert werden, nachdem das Zertifikatschlüsselpaar erstellt wurde. Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Zertifikat” oder “mein Zertifikat”).
- cert. Vollständiger Pfadname und Dateiname der X509-Zertifikatdatei, die zur Bildung des Zertifikatschlüsselpaares verwendet wird. Die Zertifikatsdatei muss auf der Citrix ADC Appliance im Verzeichnis /nsconfig/ssl/ gespeichert sein.
- key. Vollständiger Pfadname und Dateiname der Datei, die den privaten Schlüssel für die X509-Zertifikatsdatei enthält. Die Schlüsseldatei muss auf der Citrix ADC Appliance im Verzeichnis /nsconfig/ssl/ gespeichert sein.
- password. Wenn ein privater Schlüssel angegeben wird, wird die Passphrase verwendet, um den privaten Schlüssel zu verschlüsseln. Verwenden Sie diese Option, um verschlüsselte private Schlüssel im PEM-Format zu laden.
-
fipsKey. Name des FIPS-Schlüssels, der im Hardwaresicherheitsmodul (HSM) einer FIPS-Appliance erstellt wurde, oder eines Schlüssels, der in das HSM importiert wurde.
Hinweis:
Sie können entweder einen Schlüssel oder einen FIPsKey angeben, aber nicht beide.
- inform. Format der Zertifikats- und Privatschlüsseldateien, entweder PEM oder DER.
- passplain. Übergeben Phrase verwendet, um den privaten Schlüssel zu verschlüsseln. Erforderlich, wenn Sie einen verschlüsselten privaten Schlüssel im PEM-Format hinzufügen.
- expiryMonitor. Konfigurieren Sie die Citrix ADC Appliance so, dass sie eine Warnung ausgibt, wenn das Zertifikat abläuft. Mögliche Werte: ENABLED, DISABLED, UNSET.
- notificationPeriod. Mit expiryMonitor auf ENABLED, wird die Anzahl der Tage vor Ablauf des Zertifikats angezeigt, um eine Warnung auszustellen.
- bundle. Analysieren Sie die Zertifikatkette als einzelne Datei, nachdem Sie das Serverzertifikat mit dem Zertifikat des Ausstellers in der Datei verknüpft haben. Mögliche Werte: YES, NO.
Beispiel
Im folgenden Beispiel wird das angegebene delegierte Benutzerzertifikat customer-cert.pem zur Citrix ADC Konfiguration zusammen mit dem Schlüssel customer-key.pem hinzugefügt und Kennwort, Zertifikatformat, Ablaufmonitor und Benachrichtigungszeitraum festgelegt.
Um das delegierte Benutzerzertifikat hinzuzufügen, geben Sie die folgenden Befehle ein:
add ssl certKey customer -cert "/nsconfig/ssl/customer-cert.pem"
-key "/nsconfig/ssl/customer-key.pem" -password "dontUseDefaultPWs!"
-inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]
Erstellen des KCD-Kontos
Wenn Sie Citrix ADC SSO nach Delegierung konfigurieren, können Sie das KCD-Konto so konfigurieren, dass der Anmeldename und das Kennwort des Benutzers verwendet, der Anmeldename und die Schlüsseltabelle des Benutzers verwendet oder das Clientzertifikat des Benutzers verwendet wird. Wenn Sie SSO mit Benutzernamen und Kennwort konfigurieren, verwendet die Citrix ADC Appliance das delegierte Benutzerkonto, um ein Ticket Granting Ticket (TGT) zu erhalten, und verwendet dann den TGT, um Diensttickets für die spezifischen Dienste zu erhalten, die jeder Benutzer anfordert. Wenn Sie SSO mit Keytab-Datei konfigurieren, verwendet die Citrix ADC Appliance die delegierten Benutzerkonto- und Keytab-Informationen. Wenn Sie SSO mit einem delegierten Benutzerzertifikat konfigurieren, verwendet die Citrix ADC Appliance das delegierte Benutzerzertifikat.
So erstellen Sie das KCD-Konto für SSO durch Delegierung mit einem Kennwort
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
add aaa kcdAccount <kcdAccount> {-keytab <string>} {-realmStr <string>} {-delegatedUser <string>} {-kcdPassword } {-usercert <string>} {-cacert <string>} [-userRealm <string>]
[-enterpriseRealm <string>] [-serviceSPN <string>]
Ersetzen Sie für die Variablen die folgenden Werte:
- kcdAccount - Ein Name für das KCD-Konto.Dies ist ein zwingendes Argument. Maximale Länge: 31
- keytab - Der Pfad zur Keytab-Datei. Falls angegeben, müssen andere Parameter in diesem Befehl nicht angegeben werden. Maximale Länge: 127
- realmStr - Der Bereich von Kerberos. Maximale Länge: 255
- delegatedUser - Benutzername, der eine eingeschränkte Kerberos-Delegierung durchführen kann. Maximale Länge: 255
- kcdPassword - Kennwort für delegierte Benutzer. Maximale Länge: 31
-
usercert - SSL Cert (einschließlich privatem Schlüssel) für delegierte Benutzer. Maximale Länge: 255
-
cacert - CA Cert für userCert oder beim PKINIT-Backchannel. Maximale Länge: 255
-
userRealm - Bereich des Benutzers. Maximale Länge: 255
-
enterpriseRealm - Enterprisebereich des Benutzers. Dies sollte nur in bestimmten KDC-Bereitstellungen gegeben werden, in denen KDC Enterprise-Benutzernamen anstelle von Principal Name erwartet. Maximale Länge: 255
- serviceSPN - Dienst SPN. Wenn dies angegeben ist, wird dies verwendet, um Kerberos-Tickets zu holen. Wenn nicht angegeben, wird Citrix ADC SPN mithilfe von Service fqdn erstellen. Maximale Länge: 255
Beispiel (UPN-Format)
Um der Citrix ADC Appliance-Konfiguration ein KCD-Konto mit dem Namen kcdaccount1 mit dem Kennwort password1 und dem Bereich EXAMPLE.COM hinzuzufügen und das delegierte Benutzerkonto im UPN-Format (als root) anzugeben, geben Sie die folgenden Befehle ein:
add aaa kcdaccount kcdaccount1 –delegatedUser root
-kcdPassword password1 -realmStr EXAMPLE.COM
Beispiel (SPN-Format)
Um der Citrix ADC Appliance-Konfiguration ein KCD-Konto mit dem Namen kcdaccount1 mit dem Kennwort password1 und dem Bereich EXAMPLE.COM hinzuzufügen und das delegierte Benutzerkonto im SPN-Format anzugeben, geben Sie die folgenden Befehle ein:
add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -kcdPassword password1
Erstellen des KCD-Kontos für SSO durch Delegierung mit einem Keytab
Wenn Sie eine Keytab-Datei für die Authentifizierung verwenden möchten, erstellen Sie zuerst das Keytab. Sie können die Keytab-Datei manuell erstellen, indem Sie sich am AD-Server anmelden und das Dienstprogramm ktpass verwenden, oder Sie können das Citrix ADC Konfigurationsdienstprogramm verwenden, um ein Batch-Skript zu erstellen, und dieses Skript dann auf dem AD-Server ausführen, um die Keytab-Datei zu generieren. Verwenden Sie als Nächstes FTP oder ein anderes Dateiübertragungsprogramm, um die keytab-Datei auf die Citrix ADC Appliance zu übertragen und im Verzeichnis /nsconfig/krb zu speichern. Konfigurieren Sie schließlich das KCD-Konto für Citrix ADC SSO durch Delegierung und geben Sie der Citrix ADC-Appliance den Pfad und den Dateinamen der Keytab-Datei an.
So erstellen Sie die Keytab-Datei manuell
Melden Sie sich an der AD-Server-Befehlszeile an, und geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
ktpass princ <SPN> ptype KRB5_NT_PRINCIPAL mapuser <DOMAIN><username> pass <password> -out <File_Path>
Ersetzen Sie für die Variablen die folgenden Werte:
- SPN. Der Dienstprinzipalname für das KCD-Dienstkonto.
- DOMAIN. Die Domäne des Active Directory -Servers.
- Benutzername. Der Benutzername des KSA-Kontos.
- password. Das Kennwort für das KSA-Konto.
- Pfad. Der vollständige Pfadname des Verzeichnisses, in dem die keytab-Datei gespeichert werden soll, nachdem sie generiert wurde.
So erstellen Sie ein Skript zum Generieren der Keytab-Datei mit dem Citrix ADC Konfigurationsprogramm
- Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr.
- Klicken Sie im Datenbereich unter Kerberos-eingeschränkte Delegierungauf Batchdatei, um Keytab zu generieren.
- Legen Sie im Dialogfeld KCD generieren (Kerberos Constrained Delegation) Keytab Skript die folgenden Parameter fest:
- Domänenbenutzername. Der Benutzername des KSA-Kontos.
- Domänenkennwort. Das Kennwort für das KSA-Konto.
- Service Principal. Der Dienstprinzipalname für die KSA.
- Ausgabedateiname. Der vollständige Pfad und Dateiname, unter dem die Keytab-Datei auf dem AD-Server gespeichert werden soll.
- Deaktivieren Sie das Kontrollkästchen Domänenbenutzerkonto erstellen .
- Klicken Sie auf Skript generieren.
- Melden Sie sich beim Active Directory -Server an, und öffnen Sie ein Befehlszeilenfenster.
- Kopieren Sie das Skript aus dem Fenster Generiertes Skript, und fügen Sie es direkt in das Befehlszeilenfenster des Active Directory -Servers ein. Der Keytab wird generiert und im Verzeichnis unter dem Dateinamen gespeichert, den Sie als Ausgabedateinameangegeben haben.
- Verwenden Sie das Dateiübertragungsprogramm Ihrer Wahl, um die keytab-Datei vom Active Directory -Server auf die Citrix ADC Appliance zu kopieren und im Verzeichnis /nsconfig/krb zu speichern.
So erstellen Sie das KCD-Konto
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add aaa kcdaccount <accountname> –keytab <keytab>
Beispiel
Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und den Keytab mit dem Namen kcdvserver.keytab zu verwenden, geben Sie die folgenden Befehle ein:
add aaa kcdaccount kcdaccount1 –keytab kcdvserver.keytab
So erstellen Sie das KCD-Konto für SSO durch Delegierung mit einem delegierten Benutzerzertifikat
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add aaa kcdaccount <accountname> -realmStr <realm> -delegatedUser <user_nameSPN> -usercert <cert> -cacert <cacert>
Ersetzen Sie für die Variablen die folgenden Werte:
- accountname. Ein Name für das KCD-Konto.
- realmStr. Der Bereich (Realm) für das KCD-Konto, normalerweise die Domäne, für die SSO konfiguriert ist.
- delegatedUser. Der delegierte Benutzername im SPN-Format.
- usercert. Der vollständige Pfad und der Name der delegierten Benutzerzertifikatdatei auf der Citrix ADC Appliance. Das delegierte Benutzerzertifikat muss sowohl das Clientzertifikat als auch den privaten Schlüssel enthalten und im PEM-Format sein. Wenn Sie die Smartcard-Authentifizierung verwenden, müssen Sie möglicherweise eine Smartcard-Zertifikatvorlage erstellen, damit Zertifikate mit dem privaten Schlüssel importiert werden können.
- cacert. Der vollständige Pfad und der Name der Zertifizierungsstellenzertifikatsdatei auf der Citrix ADC Appliance.
Beispiel
Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und das Schlüsselregister kcdvserver.keytab zu verwenden, geben Sie den folgenden Befehl ein:
add aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert
-cacert /cacerts/cacert
Einrichten von Active Directory für Citrix ADC SSO
Wenn Sie SSO nach Delegierung konfigurieren, müssen Sie neben dem Erstellen des KCDAccounts auf der Citrix ADC Appliance auch ein übereinstimmendes Kerberos-Dienstkonto (KSA) auf Ihrem LDAP-Active Directory-Server erstellen und den Server für SSO konfigurieren. Verwenden Sie zum Erstellen der KSA den Kontoerstellungsprozess auf dem Active Directory Server. Um SSO auf dem Active Directory Server zu konfigurieren, öffnen Sie das Eigenschaftenfenster für die KSA. Aktivieren Sie auf der Registerkarte Delegierung die folgenden Optionen: Delegieren Sie diesem Benutzer nur für die Delegierung an bestimmte Dienste und Verwenden Sie ein beliebiges Authentifizierungsprotokoll. (Die einzige Kerberos-Option funktioniert nicht, da sie keinen Protokollübergang oder eine eingeschränkte Delegierung ermöglicht.) Fügen Sie schließlich die Dienste hinzu, die Citrix ADC SSO verwaltet.
Hinweis:
Wenn die Registerkarte Delegierung im Dialogfeld Eigenschaften des KSA-Kontos nicht angezeigt wird, müssen Sie vor der Konfiguration der KSA wie beschrieben das Befehlszeilentool von Microsoft setspn verwenden, um den Active Directory-Server so zu konfigurieren, dass die Registerkarte angezeigt wird.
So konfigurieren Sie die Delegierung für das Kerberos-Dienstkonto
- Klicken Sie im Dialogfeld LDAP-Kontokonfiguration für das Kerberos-Dienstkonto, das Sie erstellt haben, auf die Registerkarte Delegierung.
- Wählen Sie Diesem Benutzer nur für die Delegierung an die angegebenen Dienste vertrauen.
- Wählen Sie unter Diesem Benutzer nur für die Delegierung an die angegebenen Dienste vertrauen die Option Beliebiges Authentifizierungsprotokoll verwenden.
- Klicken Sie unter “Dienste, für die dieses Konto delegierte Anmeldeinformationen bereitstellen kann” auf Hinzufügen.
-
Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer, wählen Sie den Server aus, der die Ressourcen hostet, die dem Dienstkonto zugewiesen werden sollen, und klicken Sie dann auf OK.
Hinweis:
- Eingeschränkte Delegierung unterstützt keine Dienste, die in anderen Domänen als der dem Konto zugewiesenen Domäne gehostet werden, obwohl Kerberos möglicherweise eine Vertrauensstellung mit anderen Domänen aufweist.
- Verwenden Sie den folgenden Befehl, um die setspn zu erstellen, wenn ein neuer Benutzer im Active Directory erstellt wird: setspn -A host/kcdvserver.example.com examplekcdtest
- Zurück im Dialogfeld Dienste hinzufügen werden in der Liste Verfügbare Dienste die Dienste ausgewählt, die dem Dienstkonto zugewiesen sind. Citrix ADC SSO unterstützt die HTTP- und MSSQLSVC-Dienste.
- Klicken Sie auf OK.
Punkte, die zu beachten sind, wenn erweiterte Verschlüsselungen zum Konfigurieren des KCD-Kontos verwendet werden
- Beispielkonfiguration, wenn Keytab verwendet wird: add kcdaccount lbvs_keytab_aes256 -keytab “/nsconfig/krb/kcd2_aes256.keytab”
- Verwenden Sie den folgenden Befehl, wenn keytab mehrere Verschlüsselungstypen hat. Der Befehl erfasst zusätzlich Parameter für Domänenbenutzer: add kcdaccount lbvs_keytab_aes256 -keytab “/nsconfig/krb/kcd2_aes256.keytab” –domainUser “HTTP/lbvs.aaa.local”
- Verwenden Sie die folgenden Befehle, wenn Benutzeranmeldeinformationen verwendet werden: add kcdaccount kslb2_user -realmStr AAA.LOCAL -delegatedUser lbvs -kcdPassword
<password>
- Stellen Sie sicher, dass die richtigen domainUser-Informationen bereitgestellt werden. Sie können in AD nach dem Anmeldenamen des Benutzers suchen.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.