Citrix ADC SDX 13.0

Konfigurieren von Authentifizierungs- und Autorisierungseinstellungen

Die Authentifizierung mit dem Citrix ADC SDX Management Service kann lokal oder extern erfolgen. Bei externer Authentifizierung gewährt der Verwaltungsdienst Benutzerzugriff auf Basis der Antwort von einem externen Server. Der Verwaltungsdienst unterstützt die folgenden externen Authentifizierungsprotokolle:

  • Benutzerdienst für Remoteauthentifizierung (RADIUS)
  • Zugangskontrollsystem für Terminal Access Controller (TACACS)
  • Lightweight Directory Access Protocol (LDAP)

Der Verwaltungsdienst unterstützt auch Authentifizierungsanforderungen von SSH. Die SSH-Authentifizierung unterstützt nur Tastatur-interaktive Authentifizierungsanforderungen. Die Autorisierung von SSH-Benutzern ist nur auf Administratorrechte beschränkt. Benutzer mit Readonly-Berechtigungen können sich nicht über SSH anmelden.

Um die Authentifizierung zu konfigurieren, geben Sie den Authentifizierungstyp an und konfigurieren Sie einen Authentifizierungsserver.

Die Autorisierung über den Verwaltungsdienst erfolgt lokal. Der Verwaltungsdienst unterstützt zwei Autorisierungsstufen. Benutzer mit Administratorrechten können alle Aktionen für den Verwaltungsdienst ausführen. Benutzer mit Nur-Lesen-Rechten dürfen nur Lesevorgänge ausführen. Die Autorisierung von SSH-Benutzern ist nur auf Administratorrechte beschränkt. Benutzer mit Readonly-Berechtigungen können sich nicht über SSH anmelden.

Die Autorisierung für RADIUS und LDAP wird durch die Gruppen-Extraktion unterstützt. Sie können die Gruppenextraktionsattribute während der Konfiguration von RADIUS- oder LDAP-Servern im Management Service festlegen. Der extrahierte Gruppenname wird mit den Gruppennamen im Verwaltungsdienst abgeglichen, um die Berechtigungen zu bestimmen, die dem Benutzer erteilt wurden. Ein Benutzer kann mehreren Gruppen angehören. Wenn in diesem Fall eine Gruppe, zu der der Benutzer gehört, über Administratorrechte verfügt, verfügt der Benutzer über Administratorrechte. Während der Konfiguration kann ein Gruppenattribut für die Standardauthentifizierung festgelegt werden. Diese Gruppe wird zusammen mit den extrahierten Gruppen zur Autorisierung betrachtet.

Im Falle der TACACS-Autorisierung muss der TACACS-Serveradministrator einen speziellen Befehl, einen Administrator für einen Benutzer, der Administratorrechte haben soll, zulassen und diesen Befehl für Benutzer mit Readonly-Berechtigungen verweigern. Wenn sich ein Benutzer bei der SDX-Appliance anmeldet, prüft der Verwaltungsdienst, ob der Benutzer die Berechtigung zum Ausführen dieses Befehls besitzt, und wenn der Benutzer über die Berechtigung verfügt, erhält der Benutzer die Administratorrechte, andernfalls werden ihm schreibgeschützte Berechtigungen zugewiesen.

Hinzufügen einer Benutzergruppe

Gruppen sind logische Gruppen von Benutzern, die auf allgemeine Informationen zugreifen oder ähnliche Arten von Aufgaben ausführen müssen. Sie können Benutzer in Gruppen organisieren, die durch eine Reihe von allgemeinen Vorgängen definiert sind. Durch die Bereitstellung bestimmter Berechtigungen für Gruppen und nicht für einzelne Benutzer können Sie beim Erstellen neuer Benutzer Zeit sparen.

Wenn Sie externe Authentifizierungsserver für die Authentifizierung verwenden, können Gruppen in SDX so konfiguriert werden, dass sie mit Gruppen übereinstimmen, die auf Authentifizierungsservern konfiguriert sind. Wenn sich ein Benutzer einer Gruppe angehört, deren Name mit einer Gruppe auf einem Authentifizierungsserver übereinstimmt, sich anmeldet und authentifiziert wird, erbt der Benutzer die Einstellungen für die Gruppe in der SDX-Appliance.

So fügen Sie eine Benutzergruppe hinzu

  1. Erweitern Sie auf der Registerkarte Konfiguration unter SystemAdministration , und klicken Sie dann auf Gruppen .
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie im Dialogfeld Systemgruppe erstellen die folgenden Parameter fest:
    • Name — Name der Gruppe. Maximale Länge: 128
    • Berechtigung — Aktionen, für die diese Gruppe autorisiert ist. Mögliche Werte: admin und readonly.
    • Benutzer — Datenbankbenutzer, die zur Gruppe gehören. Wählen Sie die Benutzer aus, die Sie der Gruppe hinzufügen möchten.
  4. Klicken Sie auf Erstellen und Schließen .

Konfigurieren von Benutzerkonten

Ein Benutzer meldet sich bei der SDX-Appliance an, um Appliance-Verwaltungsaufgaben auszuführen. Damit ein Benutzer auf die Appliance zugreifen kann, müssen Sie ein Benutzerkonto auf der SDX-Appliance für diesen Benutzer erstellen. Benutzer werden lokal auf der Appliance authentifiziert.

Wichtig: Das Kennwort gilt für die SDX-Appliance, den Verwaltungsdienst und XenServer. Ändern Sie das Kennwort nicht direkt auf dem XenServer.

So konfigurieren Sie ein Benutzerkonto

  1. Erweitern Sie auf der Registerkarte Konfiguration unter SystemAdministration , und klicken Sie dann auf Benutzer . Im Bereich Benutzer wird eine Liste der vorhandenen Benutzerkonten mit ihren Berechtigungen angezeigt.

  2. Führen Sie im Bereich Benutzer eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um ein Benutzerkonto zu erstellen.
    • Um ein Benutzerkonto zu ändern, wählen Sie den Benutzer aus, und klicken Sie dann auf Ändern.
  3. Legen Sie im Dialogfeld Systembenutzer erstellen oder Systembenutzer ändern die folgenden Parameter fest:

    • Name * — Der Benutzername des Kontos. Die folgenden Zeichen sind im Namen zulässig: Buchstaben a bis z und A bis Z, Zahlen 0 bis 9, Punkt (.), Leerzeichen und Unterstrich (_). Maximale Länge: 128 Sie können den Namen nicht ändern.
    • Kennwort * — Das Kennwort für die Anmeldung an der Appliance. Maximale Länge: 128
    • Kennwort bestätigen * — Das Kennwort.
    • Berechtigung * — Die Berechtigungen des Benutzers für die Appliance. Mögliche Werte:
      • admin — Der Benutzer kann alle Verwaltungsaufgaben im Zusammenhang mit dem Verwaltungsdienst ausführen.
      • readonly — Der Benutzer kann nur das System überwachen und das Kennwort des Kontos ändern. Standard: admin.
    • Externe Authentifizierung aktivieren — Aktiviert die externe Authentifizierung für diesen Benutzer. Management Service versucht eine externe Authentifizierung vor der Authentifizierung des Datenbankbenutzers. Wenn dieser Parameter deaktiviert ist, wird der Benutzer nicht beim externen Authentifizierungsserver authentifiziert.
    • Sitzungszeitüberschreitung konfigurieren — Ermöglicht es Ihnen, den Zeitraum zu konfigurieren, in dem ein Benutzer aktiv bleiben kann. Geben Sie die folgenden Details an:
      • Sitzungszeitüberschreitung — Der Zeitraum, in dem eine Benutzersitzung aktiv bleiben kann.
      • Session Timeout Unit — Die Zeitüberschreitungseinheit in Minuten oder Stunden.
    • Gruppen — Weisen Sie die Gruppen dem Benutzer zu.

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellen oder OK, und klicken Sie dann auf Schließen. Der von Ihnen erstellte Benutzer wird im Bereich Benutzer aufgelistet.

So entfernen Sie ein Benutzerkonto

  1. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich System, erweitern Sie Administration, und klicken Sie dann auf Benutzer.
  2. Wählen Sie im Bereich Benutzer das Benutzerkonto aus, und klicken Sie dann auf Löschen.
  3. Klicken Sie im Feld Meldung bestätigen auf OK.

Festlegen des Authentifizierungstyps

Über die Verwaltungsdienstschnittstelle können Sie lokale oder externe Authentifizierung angeben. Die externe Authentifizierung ist für lokale Benutzer standardmäßig deaktiviert. Sie kann aktiviert werden, indem Sie die Option “Externe Authentifizierung aktivieren” aktivieren, wenn Sie den lokalen Benutzer hinzufügen oder die Einstellungen für den Benutzer ändern.

Wichtig: Die externe Authentifizierung wird nur unterstützt, nachdem Sie einen RADIUS-, LDAP- oder TACACS-Authentifizierungsserver eingerichtet haben.

So legen Sie den Authentifizierungstyp fest

  1. Klicken Sie auf der Registerkarte Konfiguration unter System auf Authentifizierung.
  2. Klicken Sie im Detailbereich auf Authentifizierungskonfiguration.
  3. Legen Sie die folgenden Parameter fest:
    • Servertyp — Typ des für die Benutzerauthentifizierung konfigurierten Authentifizierungsservers. Mögliche Werte: LDAP, RADIUS, TACACS und Local.
    • Servername — Name des Authentifizierungsservers, der im Verwaltungsdienst konfiguriert ist. Das Menü listet alle Server auf, die für den ausgewählten Authentifizierungstyp konfiguriert sind.
    • Lokale Fallback-Authentifizierung aktivieren — Alternativ können Sie einen Benutzer mit der lokalen Authentifizierung authentifizieren, wenn die externe Authentifizierung fehlschlägt. Diese Option ist standardmäßig aktiviert.
  4. Klicken Sie auf OK.

Aktivieren oder Deaktivieren der Standardauthentifizierung

Sie können sich mit der Basisauthentifizierung bei der Management Service NITRO-Schnittstelle authentifizieren. Standardmäßig ist die Standardauthentifizierung in der SDX-Appliance aktiviert.Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung über die Verwaltungsdienstschnittstelle zu deaktivieren.

So deaktivieren Sie die Standardauthentifizierung

  1. Klicken Sie auf der Registerkarte Konfiguration auf System.
  2. Klicken Sie in der Gruppe Systemeinstellungen auf Systemeinstellungen ändern .
  3. Deaktivieren Sie im Dialogfeld Systemeinstellungen konfigurieren das Kontrollkästchen Standardauthentifizierung zulassen .
  4. Klicken Sie auf OK.
Konfigurieren von Authentifizierungs- und Autorisierungseinstellungen