Citrix ADC SDX 13.0

Konfigurieren des externen Authentifizierungsservers

Der Citrix ADC SDX-Verwaltungsdienst kann Benutzer mit lokalen Benutzerkonten oder mithilfe eines externen Authentifizierungsservers authentifizieren. Die Appliance unterstützt die folgenden Authentifizierungstypen:

  • Lokal — Authentifiziert sich beim Verwaltungsdienst mithilfe eines Kennworts ohne Verweis auf einen externen Authentifizierungsserver. Benutzerdaten werden lokal im Management Service gespeichert.
  • RADIUS — Authentifiziert sich bei einem externen RADIUS-Authentifizierungsserver.
  • LDAP — Authentifiziert sich bei einem externen LDAP-Authentifizierungsserver.
  • TACACS — Authentifiziert sich bei einem externen TACACS-Authentifizierungsserver (Terminal Access Controller Access-Control System).

Um eine externe Authentifizierung zu konfigurieren, geben Sie den Authentifizierungstyp an und konfigurieren Sie einen Authentifizierungsserver.

RADIUS-Server hinzufügen

Um die RADIUS-Authentifizierung zu konfigurieren, geben Sie den Authentifizierungstyp als RADIUS an und konfigurieren den RADIUS-Authentifizierungsserver.

Management Service unterstützt RADIUS-Challenge Response Authentication gemäß den RADIUS-Spezifikationen. RADIUS-Benutzer können mit einem einmaligen Kennwort auf RADIUS-Server konfiguriert werden. Wenn sich der Benutzer bei der SDX-Appliance anmeldet, wird der Benutzer aufgefordert, dieses einmaligen Kennwort anzugeben.

So fügen Sie einen RADIUS-Server hinzu

  1. Erweitern Sie auf der Registerkarte Konfiguration unter System die Option Authentifizierung , und klicken Sie dann auf Radius .
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Radius-Server erstellen Werte für die Parameter ein, oder wählen Sie sie aus:
    • Name * — Name des Servers.
    • Servername/IP-Adresse * — FQDN oder Server-IP-Adresse.
      Hinweis: DNS sollte in der Lage sein, den angegebenen vollqualifizierten Domänennamen (FQDN) in eine IP-Adresse aufzulösen, und nur der primäre DNS wird zum Auflösen des FQDN verwendet. Informationen zum manuellen Festlegen des primären DNS finden Sie im Abschnitt “Hinzufügen eines primären DNS für die Namensauflösung des FQDN”.
    • *Port **— Port, auf dem der RADIUS-Server ausgeführt wird. Standardwert: 1812.
    • Timeout * — Anzahl der Sekunden, die das System auf eine Antwort vom RADIUS-Server wartet. Standardwert: 3.
    • Geheimer Schlüssel * — Schlüssel, der zwischen dem Client und dem Server geteilt wird. Diese Informationen werden für die Kommunikation zwischen dem System und dem RADIUS-Server benötigt.
    • NAS-IP-Adressenextraktion aktivieren — Wenn diese Option aktiviert ist, wird die IP-Adresse des Systems (Management Service IP) als “nasip” gemäß dem RADIUS-Protokoll an den Server gesendet.
    • NASID — Wenn konfiguriert, wird dieser String an den RADIUS-Server als “nasid” gemäß dem RADIUS-Protokoll gesendet.
    • Gruppen-Präfix — Präfix-Zeichenfolge, die Gruppennamen innerhalb eines RADIUS-Attributs für die RADIUS-Gruppenextraktion vorausgeht.
    • Group Vendor ID — Lieferanten-ID für die Verwendung der RADIUS-Gruppen-Extraktion.
    • Gruppen-Attributtyp — Attributtyp für die RADIUS-Gruppen-Extraktion.
    • Gruppentrennzeichen — Gruppentrennzeichenfolge, die Gruppennamen innerhalb eines RADIUS-Attributs für die RADIUS-Gruppenextraktion trennt.
    • IP Address Vendor Identifier — Lieferanten-ID des Attributs im RADIUS, das die Intranet-IP angibt. Der Wert 0 gibt an, dass das Attribut nicht herstellercodiert ist.
    • IP-Adressatentyp — Attributtyp des Remote-IP-Adressattributs in einer RADIUS-Antwort.
    • Kennwort-Vendor-ID — Hersteller-ID des Kennworts in der RADIUS-Antwort. Wird verwendet, um das Benutzerkennwort zu extrahieren.
    • Kennwort-Attributtyp — Attributtyp des Kennwortattributs in einer RADIUS-Antwort.
    • Kennwort-Codierung — Wie Kennwörter in RADIUS-Paketen kodiert werden sollen, die vom System zum RADIUS-Server übertragen werden. Mögliche Werte: pap, chap, mschapv1 und mschapv2.
    • Standardauthentifizierungsgruppe — Standardgruppe, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist, zusätzlich zu extrahierten Gruppen.
    • Accounting — Aktivieren Sie den Verwaltungsdienst, um Überwachungsinformationen mit dem RADIUS-Server zu protokollieren.
  4. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Hinzufügen eines LDAP-Authentifizierungsservers

Um die LDAP-Authentifizierung zu konfigurieren, geben Sie den Authentifizierungstyp als LDAP an und konfigurieren Sie den LDAP-Authentifizierungsserver.

So fügen Sie einen LDAP-Server hinzu

  1. Erweitern Sie auf der Registerkarte Konfiguration unter System die Option Authentifizierung , und klicken Sie dann auf LDAP .
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld LDAP-Server erstellen Werte für die Parameter ein, oder wählen Sie sie aus:
    • Name * — Name des Servers.

    • Servername/IP-Adresse * — FQDN oder Server-IP-Adresse.
      Hinweis: DNS sollte in der Lage sein, den angegebenen FQDN in eine IP-Adresse aufzulösen, und nur der primäre DNS wird zum Auflösen des FQDN verwendet. Informationen zum manuellen Festlegen des primären DNS finden Sie im Abschnitt “Hinzufügen eines primären DNS für die Namensauflösung des FQDN. “

    • *Port **— Port, auf dem der LDAP-Server ausgeführt wird. Standardwert: 389.

    • Timeout * — Anzahl der Sekunden, die das System auf eine Antwort vom LDAP-Server wartet.

    • Basis-DN — Basis oder Knoten, auf dem die LDAP-Suche gestartet werden soll.

    • Typ — Typ des LDAP-Servers. Mögliche Werte: Active Directory (AD) und Novell Directory Service (NDS).

    • Administrative Bindung DN — Vollständiger Distinguished Name, der zum Binden an den LDAP-Server verwendet wird.

    • Administratorkennwort — Kennwort, das zur Bindung an den LDAP-Server verwendet wird.

    • LDAP-Zertifikat validieren — Aktivieren Sie diese Option, um das vom LDAP-Server empfangene Zertifikat zu überprüfen.

    • LDAP-Hostname — Hostname für den LDAP-Server. Wenn der Parameter validateServerCert aktiviert ist, gibt dieser Parameter den Hostnamen auf dem Zertifikat vom LDAP-Server an. Eine nicht übereinstimmende Hostname führt zu einem Verbindungsfehler.

    • Server-Anmeldenamensattribut — Namensattribut, das vom System zum Abfragen des externen LDAP-Servers oder eines Active Directory verwendet wird.

    • Suchfilter — String, der mit der standardmäßigen LDAP-Benutzer-Suchzeichenfolge kombiniert werden soll, um den Wert zu bilden. Beispielsweise würde vpnallowed = true mit ldaploginame samaccount und dem vom Benutzer angegebenen Benutzernamen bob eine LDAP-Suchzeichenfolge von: (& (vpnallowed = true) (samaccount = bob) ergeben.

    • Gruppenattribut — Attributname für die Gruppen-Extraktion vom LDAP-Server.

    • Sub Attributname — Subattributname für die Gruppen-Extraktion vom LDAP-Server.

    • Sicherheitstyp — Verschlüsselungstyp für die Kommunikation zwischen der Appliance und dem Authentifizierungsserver. Mögliche Werte:

      PLAINTEXT: Keine Verschlüsselung erforderlich.

      TLS: Kommunizieren Sie mit TLS-Protokoll.

      SSL: Kommunikation mit SSL-Protokoll

    • Standardauthentifizierungsgruppe — Standardgruppe, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist, zusätzlich zu extrahierten Gruppen.

    • Verweise — Aktivieren Sie die folgenden LDAP-Verweise, die vom LDAP-Server empfangen wurden.

    • Maximale LDAP-Verweise — Maximale Anzahl von LDAP-Empfehlungen, die folgen sollen.

    • Kennwort ändern aktivieren — Ermöglicht es dem Benutzer, das Kennwort zu ändern, wenn das Kennwort abläuft. Sie können das Kennwort nur ändern, wenn der konfigurierte Sicherheitstyp TLS oder SSL ist.

    • Verschachtelte Gruppen-Extraktion aktivieren — Aktivieren Sie die Extraktionsfunktion für verschachtelte Gruppen.

    • Maximale Verschachtelungsebene — Anzahl der Ebenen, auf denen Gruppenextraktion zulässig ist.

    • Gruppenname Identifier — Name, der eine Gruppe im LDAP-Server eindeutig identifiziert.

    • Gruppensuchattribut — LDAP-Gruppensuchattribut. Wird verwendet, um zu bestimmen, zu welchen Gruppen eine Gruppe gehört.

    • Unterattribut für Gruppensuche — Unterattribut für das LDAP-Gruppensuche-Unterattribut. Wird verwendet, um zu bestimmen, zu welchen Gruppen eine Gruppe gehört.

    • Gruppensuchfilter — String, der mit der standardmäßigen LDAP-Gruppensuchzeichenfolge kombiniert werden soll, um den Suchwert zu bilden.

  4. Klicken Sie auf “Erstellen”, und klicken Sie dann auf “Schließen”.

Unterstützung der öffentlichen SSH-Schlüsselauthentifizierung für LDAP-Benutzer

Die SDX-Appliance kann nun die LDAP-Benutzer über die öffentliche SSH-Schlüsselauthentifizierung für die Anmeldung authentifizieren. Die Liste der öffentlichen Schlüssel wird auf dem Benutzerobjekt auf dem LDAP-Server gespeichert. Während der Authentifizierung extrahiert SSH die öffentlichen SSH-Schlüssel vom LDAP-Server. Die Anmeldung ist erfolgreich, wenn einer der abgerufenen öffentlichen Schlüssel mit SSH funktioniert.

Der gleiche Attributname des extrahierten öffentlichen Schlüssels muss sowohl im LDAP-Server als auch in der Citrix ADC SDX-Appliance vorhanden sein.

Wichtig

Für die schlüsselbasierte Authentifizierung müssen Sie einen Speicherort der öffentlichen Schlüssel angeben, indem Sie den Wert von Authorizedkeysfile in der Datei /etc/sshd_config im folgenden Aspekt festlegen:

AuthorizedKeysFile .ssh/authorized_keys

Systembenutzer. Sie können den Speicherort öffentlicher Schlüssel für jeden Systembenutzer angeben, indem Sie den Wert von Authorizedkeysfilein der Datei /etc/sshd_config festlegen.

LDAP-Benutzer. Der abgerufene öffentliche Schlüssel wird in/var/pubkey/<user_name>/tmp_authorized_keys-<pid>. Die <pid> ist die eindeutige Nummer, die hinzugefügt wird, um zwischen gleichzeitigen SSH-Anforderungen desselben Benutzers zu unterscheiden. Dies ist der temporäre Speicherort für den öffentlichen Schlüssel während des Authentifizierungsvorgangs. Der öffentliche Schlüssel wird nach Abschluss der Authentifizierung aus dem System entfernt.

Um sich mit dem Benutzer anzumelden, führen Sie den folgenden Befehl an der Shell-Eingabeaufforderung aus:

$ ssh –i <private key> <username>@<IPAddress>

So konfigurieren Sie den LDAP-Server mithilfe der GUI:

  1. Navigieren Sie zu System > Authentifizierung > LDAP.
  2. Klicken Sie auf der Seite LDAP auf **Server** .
  3. Klicken Sie auf einen der verfügbaren LDAP-Server.
  4. Aktivieren Sie auf der Seite Authentifizierung LDAP-Server konfigurieren das Kontrollkästchen Authentifizierung für Authentifizierungszweck.

SSH-LDAP-public-key

Hinweis

Deaktivieren Sie das Kontrollkästchen “Authentifizierung”, um “sshPublicKeys” für die Authentifizierung von LDAP-Benutzern zu verwenden.

Hinzufügen eines primären DNS für FQDN-Namensauflösung

Wenn Sie einen RADIUS- oder LDAP-Server mithilfe des FQDN des Servers anstelle der IP-Adresse definieren, müssen Sie den primären DNS manuell festlegen, um den Servernamen aufzulösen, entweder mithilfe der GUI oder der CLI.

Um den primären DNS mithilfe der GUI festzulegen, gehen Sie zu System > Netzwerkkonfiguration > DNS.

Gehen Sie folgendermaßen vor, um den primären DNS mithilfe der CLI festzulegen.

  1. Öffnen Sie eine SSH-Konsole (Secure Shell).
  2. Melden Sie sich mit den nsroot/nsroot -Anmeldeinformationen bei der Citrix ADC SDX-Appliance an.
  3. Führen Sie den Befehl networkconfig aus.
  4. Wählen Sie das entsprechende Menü aus, aktualisieren Sie die DNS-IPv4-Adresse, und speichern Sie die Änderungen.

Wenn Sie den Befehl networkconfig noch einmal ausführen, wird die aktualisierte DNS-Adresse angezeigt.

Hinzufügen eines TACACS-Servers

Um die TACACS-Authentifizierung zu konfigurieren, geben Sie den Authentifizierungstyp als TACACS an und konfigurieren Sie den TACACS-Authentifizierungsserver.

So fügen Sie einen TACACS-Server hinzu

  1. Erweitern Sie auf der Registerkarte Konfiguration unter System die Option Authentifizierung , und klicken Sie dann auf TACACS .
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld TACACS-Server erstellen Werte für die Parameter ein, oder wählen Sie sie aus:
    • Name — Name des TACAS-Servers
    • IP-Adresse — IP-Adresse des TACACS-Servers
    • Port — Port, auf dem der TACACS-Server ausgeführt wird. Standardwert: 49
    • Timeout — Maximale Anzahl von Sekunden, die das System auf eine Antwort vom TACACS-Server wartet.
    • TACACS-Schlüssel — Schlüssel, der zwischen dem Client und dem Server freigegeben wird. Diese Informationen werden benötigt, damit das System mit dem TACACS-Server kommunizieren kann.
    • Accounting — Ermöglicht Management Service, Auditinformationen mit dem TACACAS-Server zu protokollieren.
    • Standardauthentifizierungsgruppe — Standardgruppe, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist, zusätzlich zu extrahierten Gruppen.
  4. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
Konfigurieren des externen Authentifizierungsservers