Directivas de autenticación

Nota

El dispositivo Citrix ADC codifica solo caracteres UTF-8 para la autenticación y no es compatible con servidores que utilizan caracteres ISO-8859-1.

Citrix ADC puede autenticar usuarios con cuentas de usuario locales o mediante un servidor de autenticación externo. El dispositivo admite los siguientes tipos de autenticación:

  • LOCAL

    Se autentica en el dispositivo Citrix ADC mediante una contraseña, sin hacer referencia a un servidor de autenticación externo. Los datos de usuario se almacenan localmente en el dispositivo Citrix ADC.

  • RADIUS

    Autenticar en un servidor RADIUS externo.

  • LDAP

    Se autentica en un servidor de autenticación LDAP externo.

  • TACACS

    Se autentica en un servidor externo de autenticación del sistema de control de acceso de controlador de acceso de terminal (TACACS).

    Una vez que un usuario se autentica en un servidor TACACS, Citrix ADC se conecta al mismo servidor TACACS para todas las autorizaciones posteriores. Cuando un servidor TACACS principal no está disponible, esta función evita retrasos mientras el ADC espera que el primer servidor TACACS se agote el tiempo de espera antes de volver a enviar la solicitud de autorización al segundo servidor TACACS.

    Nota

    Al autenticar a través de un servidor TACACS, los registros de administración de tráfico de autenticación, autorización y auditoría solo ejecutaron correctamente comandos TACACS, para evitar que los registros muestren comandos TACACS introducidos por usuarios que no estaban autorizados a ejecutarlos.

A partir de NetScaler 12.0 Build 57.x, el sistema de control de acceso del controlador de acceso de Terminal Access (TACACS) no bloquea el demonio de autenticación, autorización y auditoría mientras envía la solicitud TACACS. El demonio de autenticación, autorización y auditoría permite que la autenticación LDAP y RADIUS continúe con la solicitud. La solicitud de autenticación TACACS se reanuda una vez que el servidor TACACS reconoce la solicitud TACACS.

  • CERT

    Se autentica en el dispositivo Citrix ADC mediante un certificado de cliente, sin hacer referencia a un servidor de autenticación externo.

  • NEGOCIAR

    Se autentica en un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, Citrix ADC utiliza la autenticación NTLM.

  • SAML

    Se autentica en un servidor compatible con el lenguaje de marcado de aserción de seguridad (SAML).

  • IDP SAML

    Configura el dispositivo Citrix ADC para que funcione como proveedor de identidad (IdP) del lenguaje de marcado de aserción de seguridad (SAML).

  • WEB

    Se autentica en un servidor web, proporcionando las credenciales que requiere el servidor web en una solicitud HTTP y analizando la respuesta del servidor web para determinar que la autenticación del usuario se realizó correctamente.

Una directiva de autenticación se compone de una expresión y una acción. Las directivas de autenticación utilizan expresiones Citrix ADC.

Después de crear una acción de autenticación y una directiva de autenticación, vincularla a un servidor virtual de autenticación y asignarle una prioridad. Al vincularlo, designarlo también como directiva primaria o secundaria. Las directivas primarias se evalúan antes que las directivas secundarias. En configuraciones que utilizan ambos tipos de directivas, las directivas primarias suelen ser directivas más específicas, mientras que las directivas secundarias suelen ser directivas más generales destinadas a gestionar la autenticación de cuentas de usuario que no cumplan los criterios más específicos.

Compatibilidad con atributos nombre-valor para la autenticación TACACS

Ahora puede configurar atributos de autenticación TACACS con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción TACACS y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado con el nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

Importante

  • En el comando TacacsAction, puede configurar un máximo de 64 atributos separados por comas con un tamaño total inferior a 2048 bytes.

Para configurar los atributos nombre-valor mediante la CLI

En el símbolo del sistema, escriba:

agregar autenticación tacacsAction <name> [-Atributos <string>]

Ejemplo:

agregar autenticación tacacsAction tacacsAtacsAt1 -attributes "mail, sn, userPrincipalName"

Para agregar una acción de autenticación mediante la interfaz de línea de comandos

Si no utiliza la autenticación LOCAL, debe agregar una acción de autenticación explícita. Para ello, en el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo


> add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

Para configurar una acción de autenticación mediante la interfaz de línea de comandos

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo

> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

Para quitar una acción de autenticación mediante la interfaz de línea de comandos

Para quitar una acción RADIUS existente, en la solicitud de comando, escriba el siguiente comando:

rm authentication radiusAction <name>

Ejemplo


> rm authentication tacacsaction Authn-Act-1
Done

Para configurar un servidor de autenticación mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación.
  2. En el panel de detalles, en la ficha Servidores, realice una de las acciones siguientes:

    • Para crear un nuevo servidor de autenticación, haga clic en Agregar.
    • Para modificar un servidor de autenticación existente, seleccione el servidor y, a continuación, haga clic en Abrir.
  3. En el cuadro de diálogo Crear servidor de autenticación o Configurar servidor de autenticación, escriba o seleccione valores para los parámetros.

    • name*: radiusActionName (no se puede cambiar para una acción configurada previamente)
    • Tipo de autenticación*: authtype (Establecer en RADIUS, no se puede cambiar)
    • Dirección IP*: IP del servidor</IP>
    • IPv6*: seleccione la casilla de verificación si la IP del servidor es una IP IPv6. (Sin equivalente de línea de comandos).
    • puerto*: serverPort
    • Tiempo de espera (segundos) *: authTimeout
  4. Haga clic en Crear o Aceptar y, a continuación, haga clic en Cerrar. La directiva que ha creado aparece en la página Directivas de autenticación y servidores.

Para crear y vincular una directiva de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos en el orden mostrado para crear y vincular una directiva de autenticación y verificar la configuración:

  • add authentication negotiatePolicy <name> <rule> <reqAction>
  • show authentication localPolicy <name>
  • bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
  • show authentication vserver <name>

Ejemplo


  > add authentication localPolicy Authn-Pol-1 ns_true   Done
  > show authentication localPolicy
  1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done
  > bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
  Done
  > show authentication vserver Auth-Vserver-2          Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED          Disable Primary Vserver On Down : DISABLED          Authentication : ON          Current AAA Users: 0          Authentication Domain: myCompany.employee.com
  1)  Primary authentication policy name: Authn-Pol-1 Priority: 0
  Done

Para modificar una directiva de autenticación existente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de autenticación existente:

set authentication localPolicy <name> <rule> [-reqaction <action>]

Ejemplo


> set authentication localPolicy Authn-Pol-1 'ns_true'  Done

Para quitar una directiva de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba el comando siguiente para quitar una directiva de autenticación:

rm authentication localPolicy <name>

Ejemplo


> rm authentication localPolicy Authn-Pol-1
Done

Para configurar y vincular directivas de autenticación mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccione el tipo de directiva que quiere crear.
  2. En el panel de detalles, en la ficha Directivas, realice una de las acciones siguientes:

    • Para crear una nueva directiva, haga clic en Agregar.
    • Para modificar una directiva existente, seleccione la acción y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione valores para los parámetros.

    • Name — policyname (No se puede cambiar para una acción configurada previamente)
    • Tipo de autenticación: authtype
    • Servidor: authVsName
    • Expresión: Regla (Para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice el botón desplegable para construir su expresión).
  4. Haga clic en Crear o en Aceptar. La directiva que ha creado aparece en la página Directivas.
  5. Haga clic en la ficha Servidores y, en el panel de detalles, realice una de las acciones siguientes:

    • Para utilizar un servidor existente, selecciónelo y, a continuación, haga clic en .
    • Para crear un servidor nuevo, haga clic en Agregar y siga las instrucciones.
  6. Si quiere designar esta directiva como directiva de autenticación secundaria, en la ficha Autenticación, haga clic en Secundaria. Si quiere designar esta directiva como directiva de autenticación principal, omita este paso.
  7. Haga clic en Insertar directiva.
  8. Elija la directiva que quiere enlazar al servidor virtual de autenticación en la lista desplegable.
  9. En la columna Prioridad de la izquierda, modifique la prioridad predeterminada según sea necesario para asegurarse de que la directiva se evalúa en el orden adecuado.
  10. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.

Soporte para recuperar los intentos de inicio de sesión actuales para un usuario

El dispositivo Citrix ADC proporciona una opción para recuperar el valor de los intentos de inicio de sesión actuales de un usuario mediante una nueva expresión “aaa.user.login_attempts”. La expresión toma un argumento (nombre de usuario) o ningún argumento. Si no hay ningún argumento, la expresión obtiene el nombre de usuario de aaa_session o aaa_info.

Puede utilizar la expresión “aaa.user.login_attempts” con directivas de autenticación para su posterior procesamiento.

Para configurar el número de intentos de inicio de sesión por usuario mediante la CLI

En el símbolo del sistema, escriba:

agregar expresión er aaa.user.login_attempts