Citrix ADC

Directivas de autenticación

Nota

El dispositivo Citrix ADC codifica solo caracteres UTF-8 para la autenticación y no es compatible con servidores que utilizan caracteres ISO-8859-1.

Citrix ADC puede autenticar usuarios con cuentas de usuario locales o mediante un servidor de autenticación externo. El dispositivo admite los siguientes tipos de autenticación:

  • LOCAL

    Se autentica en el dispositivo Citrix ADC mediante una contraseña, sin hacer referencia a un servidor de autenticación externo. Los datos de usuario se almacenan localmente en el dispositivo Citrix ADC.

  • RADIUS

    Autenticar en un servidor RADIUS externo.

  • LDAP

    Se autentica en un servidor de autenticación LDAP externo.

  • TACACS

    Se autentica en un servidor externo de autenticación del sistema de control de acceso de controlador de acceso de terminal (TACACS).

    Una vez que un usuario se autentica en un servidor TACACS, Citrix ADC se conecta al mismo servidor TACACS para todas las autorizaciones posteriores. Cuando un servidor TACACS principal no está disponible, esta función evita cualquier retraso mientras el ADC espera a que el primer servidor TACACS agote el tiempo de espera. Sucede antes de volver a enviar la solicitud de autorización al segundo servidor TACACS.

    Nota

    Al autenticar a través de un servidor TACACS, la autenticación, la autorización y la auditoría de los registros de administración de tráfico solo ejecutaron correctamente los comandos TACACS. Evita que los registros muestren comandos TACACS introducidos por usuarios que no estaban autorizados para ejecutarlos.

A partir de NetScaler 12.0, compilación 57.x, el sistema de control de acceso del controlador de acceso de Terminal Access (TACACS) no bloquea el demonio de autenticación, autorización y auditoría mientras envía la solicitud TACACS. Permitir la autenticación LDAP y RADIUS para continuar con la solicitud. La solicitud de autenticación TACACS se reanuda una vez que el servidor TACACS reconoce la solicitud TACACS.

Importante

  • Citrix recomienda no modificar ninguna configuración relacionada con TACACS cuando ejecuta un comando “clear ns config”.

  • La configuración relacionada con TACACS relacionada con las directivas avanzadas se borra y se vuelve a aplicar cuando el parámetro “RbaConfig” se establece en NO en el comando “clear ns config” para la directiva avanzada.

  • CERT

    Se autentica en el dispositivo Citrix ADC mediante un certificado de cliente, sin hacer referencia a un servidor de autenticación externo.

  • NEGOCIAR

    Se autentica en un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, Citrix ADC utiliza la autenticación NTLM.

  • SAML

    Se autentica en un servidor compatible con el lenguaje de marcado de aserción de seguridad (SAML).

  • SAML IDP

    Configura el dispositivo Citrix ADC para que funcione como proveedor de identidad (IdP) del lenguaje de marcado de aserción de seguridad (SAML).

  • WEB

    Se autentica en un servidor web, proporcionando las credenciales que requiere el servidor web en una solicitud HTTP y analizando la respuesta del servidor web para determinar que la autenticación del usuario se realizó correctamente.

Una directiva de autenticación consta de una expresión y una acción. Las directivas de autenticación utilizan expresiones Citrix ADC.

Después de crear una acción de autenticación y una directiva de autenticación, vincularla a un servidor virtual de autenticación y asignarle una prioridad. Al vincularlo, designarlo también como directiva primaria o secundaria. Las directivas primarias se evalúan antes que las directivas secundarias. En las configuraciones que utilizan ambos tipos de directivas, las directivas primarias suelen ser directivas más específicas, mientras que las directivas secundarias suelen ser directivas más generales. Está diseñado para gestionar la autenticación de cualquier cuenta de usuario que no cumpla los criterios más específicos.

Compatibilidad con atributos nombre-valor para la autenticación TACACS

Ahora puede configurar atributos de autenticación TACACS con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción TACACS y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado con el nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

Importante

  • En el comando TacacsAction, puede configurar un máximo de 64 atributos separados por comas con un tamaño total inferior a 2048 bytes.

Para configurar los atributos nombre-valor mediante la CLI

En el símbolo del sistema, escriba:

agregar autenticación tacacsAction <name> [-Atributos <string>]

Ejemplo:

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”

Para agregar una acción de autenticación mediante la interfaz de línea de comandos

Si no utiliza la autenticación LOCAL, debe agregar una acción de autenticación explícita. En el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverport <port>] [-authTimeout <positive_integer>] [...]

Ejemplo

> agregar autenticación tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCMDS OFF -DefaultAuthenticationGroup "users"
Completado

Para configurar una acción de autenticación mediante la interfaz de línea de comandos

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverport <port>] [-authTimeout <positive_integer>] [...]

Ejemplo

> establecer autenticación tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCMDS OFF -DefaultAuthenticationGroup "users"
Completado

Para quitar una acción de autenticación mediante la interfaz de línea de comandos

Para quitar una acción RADIUS existente, en la solicitud de comando, escriba el siguiente comando:

rm authentication radiusAction <name>

Ejemplo

> RM autenticación tacacsaction Authn-Act-1
Completado

Para configurar un servidor de autenticación mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación.
  2. En el panel de detalles, en la ficha Servidores, realice una de las acciones siguientes:

    • Para crear un nuevo servidor de autenticación, haga clic en Agregar.
    • Para modificar un servidor de autenticación existente, seleccione el servidor y, a continuación, haga clic en Abrir.
  3. En el cuadro de diálogo Crear servidor de autenticación o Configurar servidor de autenticación, escriba o seleccione valores para los parámetros.

    • name*: RadiusActionName (no se puede cambiar para una acción configurada previamente)
    • Tipo de autenticación*: Authtype (Establecer en RADIUS, no se puede cambiar)
    • Dirección IP*: IP del servidor</IP>
    • IPv6*: Active la casilla de verificación si la IP del servidor es una IP IPv6. (Sin equivalente de línea de comandos).
    • puerto*: ServerPort
    • Tiempo de espera (segundos) *: AuthTimeout
  4. Haga clic en Crear o Aceptar y, a continuación, en Cerrar. La directiva que ha creado aparece en la página Directivas de autenticación y servidores.

Para crear y vincular una directiva de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos en el orden mostrado para crear y vincular una directiva de autenticación y verificar la configuración:

  • add authentication negotiatePolicy <name> <rule> <reqAction>
  • show authentication localPolicy <name>
  • bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
  • show authentication vserver <name>

Ejemplo

  > agregar autenticación LocalPolicy Authn-Pol-1 ns_true
  Completado
> show authentication localPolicy
1)      Nombre: Authn-Pol-1       Regla: Ns_true          Solicitar acción: LOCAL   Hecho
> bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Completado
> show authentication vserver Auth-Vserver-2
    Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
    Tiempo de espera: 180 seg Estado abajo de descarga: DESACTIVADO
    Disable Primary Vserver On Down: DISABLED
    Authentication: ON
    Current AAA Users: 0
    Authentication Domain: MyCompany.employee.com
1) Nombre de la directiva de autenticación  principal:  Authn-Pol-1 Prioridad: 0
    Completado

Para modificar una directiva de autenticación existente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de autenticación existente:

set authentication localPolicy <name> <rule> [-reqaction <action>]

Ejemplo

> establecer autenticación LocalPolicy Authn-Pol-1 'ns_true'
Completado

Para quitar una directiva de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba el comando siguiente para quitar una directiva de autenticación:

rm authentication localPolicy <name>

Ejemplo

> autenticación de rm LocalPolicy Authn-Pol-1
Completado

Para configurar y vincular directivas de autenticación mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación y, a continuación, seleccione el tipo de directiva que quiere crear.
  2. En el panel de detalles, en la ficha Directivas, realice una de las acciones siguientes:

    • Para crear una nueva directiva, haga clic en Agregar.
    • Para modificar una directiva existente, seleccione la acción y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione los valores de los parámetros.

    • Nombre: Nombre de directiva (no se puede cambiar para una acción configurada previamente)
    • Tipo de autenticación: Authtype
    • Servidor: AuthVsName
    • Expresión: Regla (Para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice el botón desplegable para construir su expresión).
  4. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en la página Directivas.
  5. Haga clic en la ficha Servidores y, en el panel de detalles, realice una de las acciones siguientes:

    • Para utilizar un servidor existente, selecciónelo y, a continuación, haga clic en.
    • Para crear un servidor nuevo, haga clic en Agregar y siga las instrucciones.
  6. Si quiere designar esta directiva como directiva de autenticación secundaria, en la ficha Autenticación, haga clic en Secundaria. Si quiere designar esta directiva como directiva de autenticación principal, omita este paso.
  7. Haga clic en Insertar directiva.
  8. Elija la directiva que quiere enlazar al servidor virtual de autenticación en la lista desplegable.
  9. En la columna Prioridad de la izquierda, modifique la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden correcto.
  10. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.

Soporte para recuperar los intentos de inicio de sesión actuales para un usuario

El dispositivo Citrix ADC proporciona una opción para recuperar el valor de los intentos de inicio de sesión actuales de un usuario mediante una nueva expresión “aaa.user.login_attempts”. La expresión toma un argumento (nombre de usuario) o ningún argumento. Si no hay ningún argumento, la expresión obtiene el nombre de usuario de aaa_session o aaa_info.

Puede utilizar la expresión “aaa.user.login_attempts” con directivas de autenticación para su posterior procesamiento.

Para configurar el número de intentos de inicio de sesión por usuario mediante la CLI

En el símbolo del sistema, escriba:

agregar expresión er aaa.user.login_attempts