Citrix Application Delivery Management

Authentifizierung

24. Mai 2018

Benutzer können entweder intern von Citrix Application Delivery Management (ADM), extern von einem authentifizierenden Server oder von beiden authentifiziert werden. Wenn die lokale Authentifizierung verwendet wird, muss sich der Benutzer in der Citrix ADM -Sicherheitsdatenbank befinden. Wenn der Benutzer extern authentifiziert wird, sollte der „externe Name“ des Benutzers abhängig vom ausgewählten Authentifizierungsprotokoll mit der beim authentifizierenden Server registrierten externen Benutzeridentität übereinstimmen.

Citrix ADM unterstützt externe Authentifizierung mit Hilfe von RADIUS-, LDAP- und TACACS-Protokollen. Diese einheitliche Unterstützung bietet eine gemeinsame Schnittstelle zur Authentifizierung und Autorisierung aller lokalen und externen Authentifizierungs-, Autorisierungs- und Buchhaltungsserverbenutzer (AAA), die auf das System zugreifen. Citrix ADM kann Benutzer unabhängig von den tatsächlichen Protokollen authentifizieren, die sie für die Kommunikation mit dem System verwenden. Wenn ein Benutzer versucht, auf eine Citrix ADM ADM-Implementierung zuzugreifen, die für externe Authentifizierung konfiguriert ist, sendet der angeforderte Anwendungsserver den Benutzernamen und das Kennwort zur Authentifizierung an den RADIUS-, LDAP- oder TACACS-Server. Wenn die Authentifizierung erfolgreich ist, wird das entsprechende Protokoll verwendet, um den Benutzer in Citrix ADM zu identifizieren.

Sie können Ihre Benutzer in Citrix ADM auf zwei Arten authentifizieren:

  • Mithilfe von lokalen Citrix ADM-Servern
  • Durch die Verwendung externer Authentifizierungsserver

Das folgende Flussdiagramm zeigt den Workflow, dem Sie bei der Authentifizierung lokaler oder externer Benutzer folgen müssen:

lokalisiertes Bild

Externe Authentifizierungsserver konfigurieren

Citrix ADM unterstützt verschiedene Protokolle zur Bereitstellung externer Authentifizierungs-, Autorisierungs- und Buchhaltungsdienste (AAA).

Citrix ADM sendet alle Serviceanfragen für Authentifizierung, Autorisierung und Buchhaltung (AAA) an den Remote-RADIUS-, LDAP- oder TACACS+-Server. Der Remote-AAA-Server empfängt die Anfrage, validiert die Anfrage und sendet eine Antwort an Citrix ADM zurück. Wenn Citrix ADM für die Verwendung eines Remote-RADIUS-, TACACS+- oder LDAP-Servers für die Authentifizierung konfiguriert ist, wird es zu einem RADIUS-, TACACS+- oder LDAP-Client. In jeder dieser Konfigurationen werden Authentifizierungsdatensätze in der Remotehostserver-Datenbank gespeichert. Der Anmelder und der Abmeldekontoname, die zugewiesenen Berechtigungen und die Zeitbuchhaltungsdatensätze werden für jeden Benutzer ebenfalls auf dem AAA-Server gespeichert.

Darüber hinaus können Sie die interne Datenbank von Citrix ADM verwenden, um Benutzer lokal zu authentifizieren. Sie erstellen Einträge in der Datenbank für Benutzer und deren Kennwörter und Standardrollen. Sie können auch Gruppen von Servern für bestimmte Arten der Authentifizierung erstellen. Die Liste der Server in einer Servergruppe ist eine geordnete Liste. Der erste Server in der Liste wird immer verwendet, es sei denn, er ist nicht verfügbar. In diesem Fall wird der nächste Server in der Liste verwendet. Sie können Server verschiedener Typen in einer Gruppe konfigurieren, und Sie können die interne Datenbank auch als Fallback-Authentifizierungssicherung in die konfigurierte Liste der AAA-Server aufnehmen.

Konfigurieren eines RADIUS-Authentifizierungsservers

Sie können Citrix ADM so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren RADIUS-Servern authentifiziert wird. Ihre Konfiguration erfordert möglicherweise die Verwendung einer IP-Adresse (NAS IP) eines Netzwerkzugriffsservers oder einer Netzwerkzugriffsserver-ID (NAS-ID). Wenn Sie Citrix ADM für die Verwendung eines RADIUS-Authentifizierungsservers konfigurieren, verwenden Sie die folgenden Richtlinien:Wenn Sie die Verwendung der NAS-IP-Adresse aktivieren, sendet die Appliance ihre konfigurierte IP-Adresse an den RADIUS-Server, anstatt die beim Aufbau der RADIUS-Verbindung verwendete Quell-IP-Adresse zu senden.

  • Wenn Sie die NAS-ID konfigurieren, sendet die Appliance den Bezeichner an den RADIUS-Server. Wenn Sie die NAS-ID nicht konfigurieren, sendet die Appliance ihren Hostnamen an den RADIUS-Server.
  • Wenn Sie die NAS-IP-Adresse aktivieren, ignoriert die Appliance jede konfigurierte NAS-ID und verwendet die NAS-IP für die Kommunikation mit dem RADIUS-Server.

So konfigurieren Sie einen RADIUS-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung > RADIUS.

  2. Klicken Sie auf der Seite RADIUS auf Add.

  3. Legen Sie auf der Seite „ RADIUS-Server erstellen “ die Parameter fest und klicken Sie auf Erstellen, um den Server der Liste der RADIUS-Authentifizierungsserver hinzuzufügen. Die folgenden Parameter sind obligatorisch:

    1. Name. Der Name des RADIUS-Servers.

    2. Servername/IP-Adresse Servername oder IP-Adresse des RADIUS-Servers

    3. Port. Standardmäßig wird Port 1812 für die RADIUS-Authentifizierung verwendet. Sie können bei Bedarf eine andere Portnummer angeben.

    4. Timeout (Sekunden) Zeit in Sekunden, in der das Citrix ADM-System auf eine Antwort vom RADIUS-Server wartet.

    5. Geheimer Schlüssel. Ein beliebiger alphanumerischer Ausdruck. Dies ist der Schlüssel, der zwischen Citrix ADM und dem RADIUS-Server gemeinsam genutzt wird, um die Kommunikation zu ermöglichen.

  4. Klicken Sie auf Details, um den Abschnitt zu erweitern und die zusätzlichen Parameter festzulegen, und klicken Sie dann auf Erstellen.

Weitere Informationen zum Hinzufügen von RADIUS-Servern finden Sie unter So fügen Sie RADIUS-Authentifizierungsserver hinzu.

Konfigurieren eines LDAP-Authentifizierungsservers

Sie können das Citrix ADM so konfigurieren, dass der Benutzerzugriff bei einem oder mehreren LDAP-Servern authentifiziert wird. Die LDAP-Autorisierung erfordert identische Gruppennamen in Active Directory, auf dem LDAP-Server und auf Citrix ADM. Die Zeichen und Groß-/Kleinschreibung müssen ebenfalls übereinstimmen.

So konfigurieren Sie einen LDAP-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung > LDAP.

  2. Klicken Sie auf der Seite LDAP auf Hinzufügen.

  3. Legen Sie auf der Seite LDAP-Server erstellen die Parameter fest und klicken Sie auf Erstellen, um den Server der Liste der LDAP-Authentifizierungsserver hinzuzufügen. Die folgenden Parameter sind obligatorisch:

    1. Name. Der Name des LDAP-Servers

    2. Servername/IP-Adresse Servername oder IP-Adresse des LDAP-Servers.

    3. Typ der Sicherheit. Art der erforderlichen Kommunikation zwischen dem System und dem LDAP-Server. Treffen Sie eine Auswahl aus der Dropdown-Liste. Wenn die Klartext-Kommunikation nicht ausreicht, können Sie die verschlüsselte Kommunikation wählen, indem Sie entweder Transport Layer Security (TLS) oder SSL auswählen.

    4. Port. Standardmäßig wird Port 389 für die LDAP-Authentifizierung verwendet. Sie können bei Bedarf eine andere Portnummer angeben.

    5. Server-Typ. Wählen Sie als Typ des LDAP-Servers Active Directory (AD)oder Novell Directory Service (NDS) aus.

    6. Timeout (Sekunden) Zeit in Sekunden, auf die das Citrix ADM-System auf eine Antwort vom LDAP-Server wartet.

Sie können zusätzliche Details angeben. Sie können das LDAP-Zertifikat auch validieren, indem Sie das Kontrollkästchen LDAP-Zertifikat validieren aktivieren und den Hostnamen angeben, der in das Zertifikat eingegeben werden soll. Einige der zusätzlichen Parameter, die Sie hinzufügen können, sind Details zu Domain Nameserver (DN) für Abfragen gegen einen Verzeichnisdienst, eine Standardauthentifizierungsgruppe, Gruppenattribute und andere Attribute.

Der Basis-DN wird normalerweise vom Bind-DN abgeleitet, indem der Benutzername entfernt und die Gruppe angegeben wird, zu der die Benutzer gehören. Geben Sie im Textfeld Administrator Bind-DN den Administrator-Bind-DN für Abfragen an das LDAP-Verzeichnis ein.

Beispiele für Syntax für Basis-DN sind:

  • ou=users, dc=ace, dc=com

  • cn=Benutzer, dc=ace, dc=com

Beispiele für Syntax für Bind-DN sind:

  • Domain/Benutzername

  • ou=administrator, dc=ace, dc=com

  • user@domain.name (für Active Directory)

  • cn=Administrator, cn=Benutzer, dc=ace, dc=com

Der Gruppenname und der Name der Benutzer, die Sie in Citrix ADM definieren, müssen denen entsprechen, die auf dem LDAP-Server konfiguriert sind.

Hinweis

Bei der Konfiguration eines RADIUS- oder LDAP-Servers können Sie im Abschnitt Details den Namen einer Standardauthentifizierungsgruppeeingeben. Diese Standardgruppe wird gewählt, um den Benutzer zu autorisieren, wenn die Authentifizierung erfolgreich ist, unabhängig davon, ob der Benutzer an eine Gruppe gebunden ist oder nicht. Der Benutzer erhält dann eine Kombination von Berechtigungen, die für diese Standardgruppe und den anderen Gruppen konfiguriert sind, unabhängig davon, ob der Benutzer der Gruppe zugewiesen ist oder nicht.

Weitere Informationen zum Hinzufügen von LDAP-Servern finden Sie unter So fügen Sie LDAP-Authentifizierungsserver hinzu

Weitere Informationen zum Kaskadieren externer Auth-Server finden Sie unter So kaskadieren Sie externe Authentifizierungsserver

Konfigurieren eines TACACS-Authentifizierungsservers

TACACS, wie RADIUS und LDAP, verwaltet Remote-Authentifizierungsdienste für den Netzwerkzugriff.

Konfigurieren Sie einen TACACS-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADMzu System > Authentication > TACACS.

  2. Klicken Sie auf der Seite TACACS auf Add.

  3. Geben Sie auf der Seite Create TACACS Server die folgenden Details ein:

    1. Name des TACACS-Servers

    2. IP-Adresse des TACACS-Servers

    3. Port und Timeout (in Sekunden)

    4. Der Schlüssel, der vom System und vom TACACS-Server für die Kommunikation gemeinsam genutzt wird.

    5. Wählen Sie Buchhaltung, wenn die Appliance Überwachungsinformationen mit dem TACACS-Server protokollieren soll.

  4. Klicken Sie auf Erstellen.

Weitere Informationen zum Hinzufügen von TACACS-Servern finden Sie unter So fügen Sie TACACS-Authentifizierungsserver hinzu.

Hinweis

Um nach in Citrix ADM hinzugefügten Authentifizierungsservern zu suchen, klicken Sie in die Suchleiste und wählen Sie die erforderlichen Suchkriterien aus.

lokalisiertes Bild

Konfigurieren einer lokalen Authentifizierung von Benutzern in Citrix ADM

Wenn Sie die lokale Authentifizierung verwenden, erstellen Sie Benutzer und fügen Sie sie dann zu Gruppen hinzu, die Sie auf Citrix ADM erstellen. Nach der Konfiguration von Benutzern und Gruppen können Sie Autorisierungs- und Sitzungsrichtlinien anwenden, Lesezeichen erstellen, Anwendungen angeben und die IP-Adresse von Dateifreigaben und Servern angeben, auf die Benutzer Zugriff haben.

So konfigurieren Sie eine lokale Authentifizierung in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Authentication und klicken Sie auf Authentication Configuration.

  2. Wählen Sie auf der Seite „ Authentifizierungskonfiguration “ im Dropdownfeld Servertyp die Option LOKAL aus und klicken Sie auf OK.

Konfigurieren einer externen Authentifizierung in Citrix ADM

Wenn Sie externe Authentifizierungsserver in Citrix ADM konfigurieren, werden die auf diesen externen Servern authentifizierten Benutzergruppen in Citrix ADM importiert. Sie müssen keine Benutzer auf Citrix ADM erstellen. Die Benutzer werden auf den externen Servern von Citrix ADM aus verwaltet. Sie müssen jedoch sicherstellen, dass die Berechtigungsstufen, die die Benutzergruppen auf den externen Authentifizierungsservern haben, in Citrix ADM beibehalten werden. Citrix ADM führt die Autorisierung von Benutzern durch, indem es Gruppenberechtigungen für den Zugriff auf bestimmte virtuelle Lastausgleichsserver und bestimmte Anwendungen auf dem System zuweist. Wenn ein Authentifizierungsserver später aus dem System entfernt wird, werden die Gruppen und Benutzer automatisch aus dem System entfernt.

So konfigurieren Sie eine externe Authentifizierung in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Authenticationund klicken Sie auf Authentication Configuration.

  2. Wählen Sie auf der Seite Authentifizierungskonfiguration in der Dropdown-Liste Servertyp die Option EXTERN aus.

  3. Klicken Sie auf Einfügen

  4. Wählen Sie auf der Seite Externe Server einen Authentifizierungsserver aus. Optional können Sie mehrere Authentifizierungsserver auswählen, die kaskadiert werden sollen.

    Hinweis

    Nur externe Server können kaskadiert werden.

  5. Wählen Sie Fallback-lokale Authentifizierung aktivieren, wenn die lokale Authentifizierung übernehmen soll, wenn die externe Authentifizierung fehlschlägt.

  6. Klicken Sie auf OK, um die Seite zu schließen.

    Die ausgewählten Server werden auf der Seite Authentifizierungsserver angezeigt.

    Sie können die Reihenfolge der Authentifizierung auch angeben, indem Sie das Symbol neben den Servernamen verwenden, um Server in der Liste nach oben oder unten zu verschieben.

Konfigurieren von Gruppen in Citrix ADM

Mit Citrix ADM können Sie Ihre Benutzer authentifizieren und autorisieren, indem Sie Gruppen erstellen und die Benutzer zu den Gruppen hinzufügen. Eine Gruppe kann entweder „Admin“ - oder „schreibgeschützt“ -Berechtigungen haben und alle Benutzer in dieser Gruppe erhalten die gleichen Berechtigungen.

In Citrix ADM ist eine Gruppe als eine Sammlung von Benutzern mit ähnlichen Berechtigungen definiert. Eine Gruppe kann eine oder mehrere Rollen haben. Ein Benutzer ist als eine Entität definiert, die basierend auf den zugewiesenen Berechtigungen Zugriff haben kann. Ein Benutzer kann einer oder mehreren Gruppen angehören.

Sie können lokale Gruppen in Citrix ADM erstellen und die lokale Authentifizierung für die Benutzer in den Gruppen verwenden. Wenn Sie externe Server für die Authentifizierung verwenden, konfigurieren Sie die Gruppen in Citrix ADM so, dass sie den Gruppen entsprechen, die auf Authentifizierungsservern im internen Netzwerk konfiguriert sind. Wenn ein Benutzer sich anmeldet und authentifiziert wird und ein Gruppenname mit einer Gruppe auf einem Authentifizierungsserver übereinstimmt, erbt der Benutzer die Einstellungen für die Gruppe in Citrix ADM.

Nachdem Sie Gruppen konfiguriert haben, können Sie Autorisierungs- und Sitzungsrichtlinien anwenden, Lesezeichen erstellen, Anwendungen angeben und die IP-Adressen von Dateifreigaben und Servern angeben, auf die der Benutzer Zugriff hat.

Wenn Sie lokale Authentifizierung verwenden, erstellen Sie Benutzer und fügen Sie sie zu Gruppen hinzu, die auf Citrix ADM konfiguriert sind. Die Benutzer erben dann die Einstellungen für diese Gruppen.

Hinweis

Wenn die Benutzer Mitglieder einer Active Directory Directory-Gruppe sind, müssen der Name der Gruppe und die Namen der Benutzer in Citrix ADM mit dem in der Active Directory Directory-Gruppe übereinstimmen.

So konfigurieren Sie Benutzergruppen in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Benutzerverwaltung > Gruppen.

  2. Klicken Sie auf der Seite Gruppen auf Hinzufügen, um eine Gruppe zu erstellen. Standardmäßig werden zwei Gruppen in Citrix ADM erstellt, wobei die Berechtigungen auf admin und schreibgeschützt festgelegt sind. Sie können Ihre Benutzer zu diesen Gruppen hinzufügen oder andere Gruppen für Ihre Benutzer erstellen.

  3. Geben Sie auf der Registerkarte Gruppeneinstellungen auf der Seite „ Systemgruppe erstellen “ den Namen der Gruppe ein und legen Sie Rollen entweder als Administrator oder als schreibgeschützt fest. Sie können Benutzersitzungs-Timeout konfigurieren auswählen, um ein Timeout-Limit für die für diese Gruppe angemeldeten Benutzersitzungen festzulegen.

    Hinweis

    Stellen Sie sicher, dass der Name der auf Citrix ADM erstellten Benutzergruppe mit dem auf den externen Authentifizierungsservern identisch ist. Wenn nicht, erkennt das System die Gruppe nicht und die Gruppenmitglieder werden nicht in das System extrahiert.

  4. Wählen Sie auf der Registerkarte Autorisierungseinstellungen die erforderlichen Gruppen aus. Klicken Sie auf Gruppe erstellen.

  5. Wählen Sie auf der Registerkarte Benutzer zuweisen die Benutzer aus, die Sie der Gruppe hinzufügen möchten. Die Benutzer werden dieser Tabelle hinzugefügt, wenn Sie Benutzer in konfigurieren Konfigurieren von Benutzern in Citrix ADM.

  6. Klicken Sie auf Fertig stellen.

Wenn Sie mit dem Erstellen einer Gruppe im System fertig sind, werden alle Benutzer des externen Authentifizierungsservers in das System extrahiert. Wenn der Gruppenname mit dem Gruppennamen auf dem externen Authentifizierungsserver übereinstimmt, erbt der Benutzer alle Autorisierungsdefinitionen, wenn er am System angemeldet ist.

Benutzer in Citrix ADM konfigurieren

Sie können Benutzerkonten lokal in Citrix ADM erstellen, um die Benutzer auf Authentifizierungsservern zu ergänzen. Beispielsweise möchten Sie lokale Benutzerkonten für temporäre Benutzer wie Berater oder Besucher erstellen, ohne einen Eintrag für diese Benutzer auf dem Authentifizierungsserver zu erstellen. Wenn Sie Benutzer lokal authentifizieren, die auf externen Authentifizierungsservern vorhanden sind, stellen Sie sicher, dass dieselben Benutzer sowohl auf den authentifizierenden Servern als auch auf Citrix ADM vorhanden sind.

So konfigurieren Sie Benutzer in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Benutzerverwaltung > Benutzer.

  2. Klicken Sie auf der Seite Users auf Add, um Benutzer zu Citrix ADM hinzuzufügen.

  3. Legen Sie auf der Seite Systembenutzer erstellen die folgenden Parameter fest:

    1. Benutzername Name des Benutzers

    2. Kennwort. Kennwort, mit dem sich der Benutzer bei Citrix ADM anmelden wird

    3. Aktivieren Sie Externe Authentifizierung. Wenn dies nicht aktiviert ist, wird der Benutzer als lokaler Benutzer authentifiziert.

    4. Konfigurieren Sie das Timeout für Benutzersitzungen Zeit, in der ein Benutzer aktiv bleiben kann. Dieser Zeitraum kann in Minuten oder Stunden festgelegt werden.

  4. Wählen Sie in der Tabelle Gruppen die Gruppe aus, der Sie den Benutzer hinzufügen möchten. Die Gruppenmitglieder werden dieser Tabelle hinzugefügt, wenn Sie Gruppen in konfigurieren Konfigurieren von Benutzergruppen in Citrix ADM.

  5. Klicken Sie auf Erstellen.

Hinweis

Wenn sich die Benutzer auf Active Directory befinden, stellen Sie sicher, dass der Gruppenname in Citrix ADM mit dem für die Active Directory-Gruppe auf dem externen Server identisch ist.