Citrix ADC

Verwaltung der Benutzeridentität

Eine zunehmende Anzahl von Sicherheitsverletzungen und die wachsende Beliebtheit mobiler Geräte haben die Notwendigkeit unterstrichen, sicherzustellen, dass die Nutzung des externen Internets den Unternehmensrichtlinien entspricht. Nur autorisierte Benutzer dürfen Zugriff auf externe Ressourcen erhalten, die vom Unternehmenspersonal bereitgestellt werden. Identity Management macht es möglich, indem die Identität einer Person oder eines Geräts überprüft wird. Es wird nicht festgelegt, welche Aufgaben die Person übernehmen kann oder welche Dateien die Person sehen kann.

Eine SSL-Forward-Proxy-Bereitstellung identifiziert den Benutzer, bevor der Zugriff auf das Internet gewährt wird. Alle Anfragen und Antworten des Benutzers werden geprüft. Benutzeraktivitäten werden protokolliert und Datensätze werden zur Berichterstellung in das Citrix Application Delivery Management (ADM) exportiert. In Citrix ADM können Sie die Statistiken zu Benutzeraktivitäten, Transaktionen und Bandbreitenverbrauch anzeigen.

Standardmäßig wird nur die IP-Adresse des Benutzers gespeichert, aber Sie können die Funktion so konfigurieren, dass weitere Details über den Benutzer aufgezeichnet werden. Sie können diese Identitätsinformationen verwenden, um umfangreichere Richtlinien zur Internetnutzung für bestimmte Benutzer zu erstellen.

Die Citrix ADC-Appliance unterstützt die folgenden Authentifizierungsmodi für eine Konfiguration mit expliziten Proxys.

  • Leichtes Directory-Zugriffsprotokoll (LDAP). Authentifiziert den Benutzer über einen externen LDAP-Authentifizierungsserver. Weitere Informationen finden Sie unter LDAP-Authentifizierungsrichtlinien.
  • RADIUS. Authentifiziert den Benutzer über einen externen RADIUS-Server. Weitere Informationen finden Sie unter RADIUS-Authentifizierungsrichtlinien.
  • TACACS +. Authentifiziert den Benutzer über einen externen TACACS-Authentifizierungsserver (Terminal Access Controller Access-Control System). Weitere Informationen finden Sie unter Authentifizierungsrichtlinien.
  • Verhandeln. Authentifiziert den Benutzer über einen Kerberos-Authentifizierungsserver. Wenn bei der Kerberos-Authentifizierung ein Fehler auftritt, verwendet die Appliance die NTLM-Authentifizierung. Weitere Informationen finden Sie unter Authentifizierungsrichtlinien aushandeln.

Bei transparentem Proxy wird nur IP-basierte LDAP-Authentifizierung unterstützt. Wenn eine Clientanforderung empfangen wird, authentifiziert der Proxy den Benutzer, indem er einen Eintrag für die Client-IP-Adresse im Active Directory überprüft. Anschließend wird eine Sitzung basierend auf der Benutzer-IP-Adresse erstellt. Wenn Sie jedoch das SSONameAttribute in einer LDAP-Aktion konfigurieren, wird eine Sitzung mithilfe des Benutzernamens anstelle der IP-Adresse erstellt. Klassische Richtlinien werden für die Authentifizierung in einem transparenten Proxy-Setup nicht unterstützt.

Hinweis

Für einen expliziten Proxy müssen Sie den LDAP-Anmeldenamen auf saAccountNamefestlegen. Für einen transparenten Proxy müssen Sie den LDAP-Anmeldenamen auf NetworkAddress und attribute1 auf sAMAccountNamefestlegen.

Beispiel für einen expliziten Proxy:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

Beispiel für einen transparenten Proxy:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

Richten Sie die Benutzerauthentifizierung über die CLI ein

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

Argumente:

Vservername:

Name des virtuellen Authentifizierungsservers, an den die Richtlinie gebunden werden soll.

Maximale Länge: 127

serviceType:

Protokolltyp des virtuellen Authentifizierungsservers. Immer SSL.

Mögliche Werte: SSL

Standardwert: SSL

Name der Aktion:

Name für die neue LDAP-Aktion. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die LDAP-Aktion hinzugefügt wurde. Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsaktion” oder “meine Authentifizierungsaktion”).

Maximale Länge: 127

serverIP:

Dem LDAP-Server zugewiesene IP-Adresse.

ldapBase:

Basis (Knoten), von der aus die LDAP-Suche gestartet werden soll. Wenn der LDAP-Server lokal läuft, ist der Standardwert von base dc=netscaler, dc=com. Maximale Länge: 127

ldapBindDn:

Vollständiger Distinguished Name (DN), der zur Bindung an den LDAP-Server verwendet wird.

Standard: CN=Manager,dc=netscaler,dc=com

Maximale Länge: 127

ldapBindDnPassword:

Kennwort zur Bindung an den LDAP-Server.

Maximale Länge: 127

ldapLoginName:

LDAP-Anmeldenamen-Attribut. Die Citrix ADC-Appliance verwendet den LDAP-Anmeldenamen, um externe LDAP-Server oder Active Directories abzufragen. Maximale Länge: 127

Name der Richtlinie:

Name für die erweiterte AUTHENTIFIZIERUNGSRICHTLINIE. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem eine AUTHENTIFIZIERUNGSRICHTLINIE erstellt wurde. Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).

Maximale Länge: 127

rule:

Name der Regel oder ein erweiterter Richtlinienausdruck, den die Richtlinie verwendet, um zu bestimmen, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

Maximale Länge: 1499

action:

Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

Maximale Länge: 127

priority:

Positive Ganzzahl, die die Priorität der Richtlinie angibt. Eine niedrigere Zahl gibt eine höhere Priorität an. Richtlinien werden in der Reihenfolge ihrer Prioritäten bewertet, und die erste Richtlinie, die der Anforderung entspricht, wird angewendet. Muss in der Liste der an den virtuellen Authentifizierungsserver gebundenen Richtlinien eindeutig sein.

Mindestwert: 0

Maximaler Wert: 4294967295

Beispiel:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

Aktivieren Sie die Benutzernamenprotokollierung über die CLI

Geben Sie an der Eingabeaufforderung ein:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Argumente:

AAAUserName

Aktivieren Sie die AppFlow-Authentifizierung, Autorisierung und Überwachung der Benutzernamenprotokollierung.

Mögliche Werte: ENABLED, DISABLED

Standardwert: DISABLED

Beispiel:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Verwaltung der Benutzeridentität