ADC

Configuración de la autenticación kerberos en el dispositivo NetScaler

En este tema se proporcionan los pasos detallados para configurar la autenticación Kerberos en el dispositivo NetScaler mediante la CLI y la GUI.

Configuración de la autenticación Kerberos en la CLI

  1. Habilite la función de autenticación, autorización y auditoría para garantizar la autenticación del tráfico en el dispositivo.

    ns-cli-prompt> enable ns feature AAA

  2. Agregue el archivo keytab al dispositivo NetScaler. Se necesita un archivo keytab para descifrar el secreto recibido del cliente durante la autenticación Kerberos. Un único archivo keytab contiene detalles de autenticación para todos los servicios que están enlazados al servidor virtual de administración de tráfico en el dispositivo NetScaler.

    Primero genere el archivo keytab en el servidor de Active Directory y, a continuación, transfiéralo al dispositivo NetScaler.

    • Inicie sesión en el servidor de Active Directory y agregue un usuario para la autenticación Kerberos mediante el siguiente comando.

       net user <username> <password> /add
      

      Nota

      En la sección Propiedades del usuario, asegúrese de que la opción “Cambiar contraseña en el próximo inicio de sesión” no esté seleccionada y que la opción “La contraseña no caduca” esté seleccionada.

    • Asigne el servicio HTTP al usuario anterior y exporte el archivo keytab. Por ejemplo, ejecute el siguiente comando en el servidor de Active Directory:

       ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass <user password> /mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL
      

      Nota

      Puede asignar más de un servicio si se requiere autenticación para más de un servicio. Si quiere asignar más servicios, repita el comando anterior para cada servicio. Puede dar el mismo nombre o nombres diferentes para el archivo de salida.

    • Transfiera el archivo keytab al dispositivo NetScaler mediante el comando ftp de unix o cualquier otra utilidad de transferencia de archivos de su elección. Cargue el archivo keytab al directorio /nsconfig/krb/ del dispositivo NetScaler.

  3. El dispositivo NetScaler debe obtener la dirección IP del controlador de dominio del nombre de dominio completo (FQDN). Por lo tanto, Citrix recomienda configurar NetScaler con un servidor DNS.

    ns-cli-prompt> add dns nameserver <ip-address>

    Nota

    Como alternativa, puede agregar entradas de host estáticas o utilizar cualquier otro medio para que el dispositivo NetScaler pueda resolver el nombre FQDN del controlador de dominio en una dirección IP.

  4. Configure la acción de autenticación y, a continuación, asociarla a una directiva de autenticación.

    • Configure la acción de negociación. Esta configuración crea una acción (perfil) para un servidor de Active Directory que se usa como centro de distribución de claves (KDC) de Kerberos. El perfil contiene todos los datos de configuración necesarios para comunicarse con ese servidor KDC de AD.

      ns-cli-prompt> add authentication negotiateAction <name> -domain <nombre del dominio> -domainUser <nombre de usuario del dominio> -domainUserPasswd <contraseña del usuario del dominio> -defaultAuthenticationGroup <grupo de autenticación predeterminado> -keytab <string> -NTLMPath <string>

      Nota: Para la configuración de usuario de dominio y nombre de dominio, vaya al cliente y utilice el comando klist como se muestra en el siguiente ejemplo:

      Cliente: nombre de usuario @ AAA.LOCAL

      Servidor: http/onPrem_IDP.AAA.local @ AAA.LOCAL

      add authentication negotiateAction <name> -domain -domainUser <HTTP/onprem_idp.aaa.local>

    • Configure la directiva de negociación y asocie la acción de negociación a esta directiva.

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. Cree un servidor virtual de autenticación y asocie la directiva de negociación con él.

    • Cree un servidor virtual de autenticación.

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • Enlace la directiva de negociación al servidor virtual de autenticación.

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. Asocie el servidor virtual de autenticación con el servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido).

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    Nota

    También se pueden realizar configuraciones similares en el servidor virtual de conmutación de contenido.

  7. Verifique las configuraciones haciendo lo siguiente:

    • Acceda al servidor virtual de administración de tráfico mediante el FQDN. Por ejemplo, Sample

    • Ver los detalles de la sesión en la CLI.

      ns-cli-prompt> show aaa session

Configuración de la autenticación Kerberos en la GUI

  1. Habilite la función de autenticación, autorización y auditoría.

    Vaya a Sistema > Configuración, haga clic en Configurar funciones básicas y habilite la función de autenticación, autorización y auditoría.

  2. Agregue el archivo keytab como se detalla en el paso 2 del procedimiento CLI mencionado anteriormente.

  3. Agrega un servidor DNS.

    Vaya a Administración del tráfico > DNS > Servidoresde nombres y especifique la dirección IP del servidor DNS.

  4. Configure la acción y la directiva Negociar.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas> Directiva y cree una directiva con Negociar como tipo de acción. Haga clic en AGREGAR para crear un nuevo servidor de negociación de autenticación o haga clic en Modificar para configurar los detalles existentes.

  5. Enlace la directiva de negociación al servidor virtual de autenticación.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy asocie la directiva Negotiate con el servidor virtual de autenticación.

  6. Asocie el servidor virtual de autenticación con el servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido).

    Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy especifique la configuración de autenticación relevante.

    Nota

    También se pueden realizar configuraciones similares en el servidor virtual de conmutación de contenido.

  7. Verifique las configuraciones como se detalla en el paso 7 del procedimiento CLI mencionado anteriormente.

Configuración de la autenticación kerberos en el dispositivo NetScaler