Citrix ADC

Directivas de autenticación LDAP

Al igual que con otros tipos de directivas de autenticación, una directiva de autenticación de Protocolo ligero de acceso a directorios (LDAP) se compone de una expresión y una acción. Después de crear una directiva de autenticación, la vincula a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también se designa como directiva principal o secundaria. Además de las funciones de autenticación estándar, LDAP puede buscar en otros servidores de Active Directory (AD) cuentas de usuario para usuarios que no existen localmente. Esta función se denomina soporte de referencia o persecución de referencia.

Normalmente, se configura Citrix ADC para que utilice la dirección IP del servidor de autenticación durante la autenticación. Con los servidores de autenticación LDAP, también puede configurar el ADC para que utilice el FQDN del servidor LDAP en lugar de su dirección IP para autenticar a los usuarios. El uso de un FQDN puede simplificar una configuración de autenticación, autorización y auditoría mucho más compleja en entornos en los que el servidor de autenticación podría estar en cualquiera de varias direcciones IP, pero siempre utiliza un único FQDN. Para configurar la autenticación mediante el FQDN de un servidor en lugar de su dirección IP, siga el proceso de configuración normal excepto al crear la acción de autenticación. Al crear la acción, utilice el parámetro ServerName en lugar del parámetro ServerIP y sustituya el FQDN del servidor por su dirección IP.

Antes de decidir si quiere configurar el ADC para utilizar la IP o el FQDN de su servidor LDAP para autenticar a los usuarios, tenga en cuenta que configurar la autenticación, la autorización y la auditoría para autenticarse en un FQDN en lugar de una dirección IP agrega un paso adicional al proceso de autenticación. Cada vez que el ADC autentica a un usuario, debe resolver el FQDN. Si muchos usuarios intentan autenticarse simultáneamente, las búsquedas DNS resultantes podrían ralentizar el proceso de autenticación.

La compatibilidad con referencias LDAP está inhabilitada de forma predeterminada y no se puede habilitar globalmente. Debe habilitarse explícitamente para cada acción LDAP. También debe asegurarse de que el servidor de AD acepta las mismas credenciales binddn que se utilizan con el servidor de referencia (GC). Para habilitar la compatibilidad con referencias, configure una acción LDAP para seguir las referencias y especifique el número máximo de referencias a seguir.

Si la compatibilidad con referencias está habilitada y Citrix ADC recibe una respuesta LDAP_REVIERNAL a una solicitud, la autenticación, la autorización y la auditoría siguen a la referencia al servidor Active Directory (AD) contenido en la referencia y realiza la actualización en ese servidor. En primer lugar, la autenticación, la autorización y la auditoría busca el servidor de referencia en DNS y se conecta a ese servidor. Si la directiva de referencia requiere SSL/TLS, se conecta a través de SSL/TLS. A continuación, se une al nuevo servidor con las credenciales binddn que utilizó con el servidor anterior y realiza la operación que generó la referencia. Esta función es transparente para el usuario.

Los números de puerto para las conexiones LDAP son:

  • 389 para conexiones LDAP no seguras (para LDAP de texto sin formato)
  • 636 para conexiones LDAP seguras (para LDAP SSL)
  • 3268 para conexiones LDAP no seguras de Microsoft (para el servidor de catálogo global de texto sin formato)
  • 3269 para conexiones LDAP seguras de Microsoft (para SSL Global Catalog Server)

La tabla siguiente contiene ejemplos de campos de atributo de usuario para servidores LDAP:

Servidor LDAP Atributo de usuario Distingue mayúsculas y minúsculas
Servidor de Active Directory de Microsoft sAMAccountName No
Directorio electrónico de Novell - ¿Sí
IBM Directory Server uid
Lotus Domino CN
Sun ONE Directory (anteriormente iPlanet) uid o cn

Esta tabla contiene ejemplos del DN base:

Servidor LDAP DN base
Servidor de Active Directory de Microsoft DC=Citrix, DC=local
Directorio electrónico de Novell ou=usuarios, ou=dev
IBM Directory Server cn=users
Lotus Domino OU=Ciudad, O=Citrix, C=US
Sun ONE Directory (anteriormente iPlanet) ou=personas, dc=citrix, dc=com

La siguiente tabla contiene ejemplos de DN de enlace:

Servidor LDAP Enlazar DN
Servidor de Active Directory de Microsoft CN=Administrator, CN=Users, DC=citrix, DC=local
Directorio electrónico de Novell cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anteriormente iPlanet) uid=admin, ou=Administradores, ou=topologyManagement, o=netscaperoot

Para obtener más información acerca de cómo configurar directivas de autenticación en general, consulte Directivas de autenticación. Para obtener más información acerca de las expresiones Citrix ADC, que se utilizan en la regla de directiva, consulte Directivas y expresiones.

Para crear un servidor de autenticación LDAP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

add authentication ldapAction <name> {-serverIP} <ip_addr|ipv6_addr|> | {-serverName <string>}}

Ejemplo

add authentication ldapAction ldap_server -serverip 1.1.1.1 -serverName ldap_test

Para crear un servidor de autenticación LDAP mediante la utilidad de configuración

  1. Vaya a Sistema > Autenticación > Directivas básicas > LDAP > Servidores > Agregar.

    Imagen localizada

  2. En la página Crear servidor LDAP de autenticación, configure los parámetros para el servidor LDAP.
  3. Haga clic en Crear.

Para habilitar la directiva de autenticación mediante la interfaz de línea de comandos

add authentication ldappolicy <name> <rule> [<reqAction>]

Ejemplo:

add authentication ldappolicy ldap-service-policy ns_true ldap_Server

Para crear una directiva de autenticación LDAP mediante la utilidad de configuración

  1. Vaya a Sistema > Autenticación > Directivas básicas > LDAP > Directivas > Agregar
  2. En la página Crear directiva LDAP de autenticación, configure los parámetros para la directiva LDAP.

    Imagen localizada

  3. Haga clic en Crear.

Nota

Tiene la opción de configurar servidores o directivas LDAP a través de la ficha Seguridad. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas básicas > LDAP > Servidores/Directivas.

Para habilitar la compatibilidad con referencias LDAP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set authentication ldapAction <name> -followReferrals ON
  • set authentication ldapAction <name> -maxLDAPReferrals <integer>

Ejemplo

> set authentication ldapAction ldapAction-1 -followReferrals ON
> set authentication ldapAction ldapAction-1 -maxLDAPReferrals 2

Compatibilidad con autenticación basada en claves para usuarios LDAP

Con la autenticación basada en claves, ahora puede obtener la lista de claves públicas que se almacenan en el objeto de usuario en el servidor LDAP a través de SSH. El dispositivo Citrix ADC durante el proceso de autenticación basada en roles (RBA) debe extraer claves SSH públicas del servidor LDAP. La clave pública recuperada, que es compatible con SSH, debe permitirle iniciar sesión a través del método RBA.

Se introduce un nuevo atributo “sshPublicKey” en los comandos “add authentication ldapAction” y “set authentication ldapAction”. Al usar este atributo, puede obtener los siguientes beneficios:

  • Puede almacenar la clave pública recuperada y la acción LDAP utiliza este atributo para recuperar la información de clave SSH del servidor LDAP.
  • Puede extraer nombres de atributos de hasta 24 KB.

Nota

El servidor de autenticación externo, como LDAP, solo se utiliza para recuperar información de clave SSH. No se utiliza con fines de autenticación.

A continuación se presenta un ejemplo del flujo de eventos a través de SSH:

  • El demonio SSH envía una solicitud AAA_AUTHENTICATE con el campo de contraseña vacío para el puerto del demonio de autenticación, autorización y auditoría.
  • Si LDAP está configurado para almacenar la clave pública SSH, la autenticación, la autorización y la auditoría responden con el atributo “sshPublicKey” junto con otros atributos.
  • El demonio SSH verifica estas claves con las claves del cliente.
  • El demonio SSH pasa el nombre de usuario en la carga de solicitud, y la autenticación, autorización y auditoría devuelve las claves específicas de este usuario junto con las claves genéricas.

Para configurar el atributo sshPublicKey, en el símbolo del sistema escriba los comandos siguientes:

  • Con la operación de agregar, puede agregar el atributo “sshPublicKey” mientras configura el comando ldapAction.

    add authentication ldapAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-Attribute1 <string>] … [-Attribute16 <string>][-sshPublicKey <string>][-authentication off]

  • Con la operación set, puede configurar el atributo “sshPublicKey” en un comando ldapAction ya agregado.

    set authentication ldapAction <name> [-sshPublicKey <string>][-authentication off]

Compatibilidad con atributos nombre-valor para la autenticación LDAP

Ahora puede configurar los atributos de la autenticación LDAP con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción LDAP y los valores se obtienen consultando el nombre. Al aprovechar esta función, un administrador de dispositivos Citrix ADC ahora puede obtener los siguientes beneficios:

  • Minimiza el esfuerzo de los administradores recordando el atributo por nombre (no solo por valor)
  • Mejora la búsqueda para consultar el valor de atributo asociado a un nombre
  • Proporciona una opción para extraer varios atributos

Para configurar esta función en el símbolo del sistema del dispositivo Citrix ADC, escriba:

add authentication ldapAction <name> [-Attribute1 <string>]

Ejemplo

add authentication ldapAction ldapAct1 attribute1 mail

Compatibilidad con la validación de la autenticación LDAP de extremo a extremo

El dispositivo Citrix ADC ahora puede validar la autenticación LDAP de extremo a extremo a través de la interfaz gráfica de usuario. Para validar esta función, se introduce un nuevo botón de “prueba” en la GUI. Un administrador de dispositivos Citrix ADC puede aprovechar esta función para obtener los siguientes beneficios:

  • Consolida el flujo completo (motor de paquetes: Demonio AAA: Servidor externo) para proporcionar un mejor análisis
  • Reduce el tiempo de validación y resolución de problemas relacionados con casos individuales

Tiene dos opciones para configurar y ver los resultados de las pruebas de la autenticación de extremo a extremo LDAP mediante la interfaz gráfica de usuario.

Opción De sistema

  1. Vaya a Sistema > Autenticación > Directivas básicas > LDAP, haga clic en la ficha Servidores.
  2. Seleccione la acción LDAP disponible en la lista.
  3. En la página Configurar servidor LDAP de autenticación, tiene dos opciones en la sección Configuración de conexiones.
  4. Para comprobar la conexión del servidor LDAP, haga clic en la ficha Probar accesibilidad LDAP. Puede ver un mensaje emergente de conexión correcta con el servidor LDAP con detalles del puerto TCP y autenticidad de credenciales válidas.
  5. Para ver la autenticación LDAP de extremo a extremo, haga clic en el enlace Probar conexión de usuario final.
  6. En la página Probar conexión de usuario final, haga clic en Probar.
    • En la página de autenticación, introduzca las credenciales válidas para iniciar sesión. Se muestra la pantalla de éxito.

    Imagen localizada

    • Si la autenticación falla, se muestra la pantalla de error.

    Imagen localizada

Desde la opción Autenticación

  1. Vaya a Autenticación > Panel de control, seleccione la acción LDAP disponible en la lista.
  2. En la página Configurar servidor LDAP de autenticación, tiene dos opciones en la sección Configuración de conexiones.
  3. Para comprobar la conexión del servidor LDAP, haga clic en la ficha Probar accesibilidad LDAP. Puede ver un mensaje emergente de conexión correcta con el servidor LDAP con detalles del puerto TCP y autenticidad de credenciales válidas.
  4. Para ver el estado de autenticación LDAP de extremo a extremo, haga clic en el vínculo Probar conexión de usuario final.
  5. En la página Probar conexión de usuario final, haga clic en Probar.

    • En la página de autenticación, introduzca las credenciales válidas para iniciar sesión. Se muestra la pantalla de éxito.

    Imagen localizada

    • Si la autenticación falla, se muestra la pantalla de error.

    Imagen localizada

Notificación de caducidad de contraseña de 14 días para autenticación LDAP

El dispositivo Citrix ADC ahora admite la notificación de caducidad de contraseña de 14 días para la autenticación basada en LDAP. Mediante esta función, los administradores tienen la opción de notificar a los usuarios finales sobre el tiempo límite de caducidad de la contraseña en días. La notificación de caducidad de contraseña de 14 días es precursora del restablecimiento de contraseña de autoservicio (SSPR).

Nota

El valor máximo o el tiempo límite en días para la notificación de caducidad de contraseña es de 255 días.

Ventajas de la notificación de caducidad de contraseña

  • Permitir a los usuarios restablecer sus contraseñas por su cuenta y proporcionar a los administradores una forma flexible de notificar al usuario final sobre la caducidad de su contraseña en días.
  • Elimina la dependencia del usuario final para realizar un seguimiento de los días de caducidad de la contraseña.
  • Envía notificaciones a la página del portal VPN a los usuarios (según el número de días) para cambiar su contraseña antes de que caduque.

Nota

Esta función es aplicable solo para esquemas de autenticación basados en LDAP, no para RADIUS o TACACS.

Descripción de la notificación de contraseña de 14 días

El dispositivo Citrix ADC obtiene dos atributos (Max-Pwd-Age y Pwd-Last-Set) del servidor de autenticación LDAP.

  • Max-Pwd-Age. Este atributo indica la cantidad máxima de tiempo, en intervalos de 100 nanosegundos, hasta que la contraseña sea válida. El valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el momento en que se estableció la contraseña antes de que caduque la contraseña.
  • Pwd-Last-Set. Este atributo determina la fecha y hora en que se cambió por última vez la contraseña de una cuenta.

Al obtener los dos atributos del servidor de autenticación LDAP, el dispositivo Citrix ADC determina el tiempo que queda para que caduque la contraseña para un usuario concreto. Esta información se recopila cuando se validan las credenciales de usuario en el servidor de autenticación y se envía una notificación al usuario.

Un nuevo parámetro “PWDExpiryNotification” se introduce en el comando “set aaa parameter”. Mediante este parámetro, un administrador puede realizar un seguimiento del número de días que quedan para la caducidad de la contraseña. Ahora, el dispositivo Citrix ADC puede comenzar a notificar al usuario final acerca de la caducidad de su contraseña.

Nota

Actualmente, esta función solo funciona para servidores de autenticación que tienen servidores Microsoft AD con implementación LDAP. El soporte para servidores basados en OpenLDAP se orienta más adelante.

A continuación se muestra un ejemplo del flujo de eventos para establecer una notificación de caducidad de contraseña de 14 días:

  1. Un administrador, mediante el dispositivo Citrix ADC, establece un tiempo (14 días) para el vencimiento de la contraseña.
  2. El usuario envía una solicitud HTTP o HTTPS para acceder a un recurso en el servidor back-end.
  3. Antes de proporcionar acceso, el dispositivo Citrix ADC valida las credenciales de usuario con lo que está configurado en el servidor de autenticación LDAP.
  4. Junto con esta consulta al servidor de autenticación, el dispositivo Citrix ADC lleva la solicitud para obtener los detalles de dos atributos (Max-Pwd-Age y Pwd-Last-Set).
  5. En función del tiempo que queda para que caduque la contraseña, se muestra una notificación de caducidad.
  6. A continuación, el usuario toma las medidas adecuadas para actualizar la contraseña.

Para configurar la notificación de caducidad de 14 días mediante la interfaz de línea de comandos

Nota

La notificación de caducidad de 14 días se puede configurar para los casos de uso de VPN y VPN completa y no para el proxy ICA.

En el símbolo del sistema, escriba los siguientes comandos:

  • set aaa parameter –pwdExpiryNotificationDays <positive_integer>
  • show aaa parameter

Ejemplo

> set aaa parameter -pwdExpiryNotificationDays 14
Completado
> show aaa parameter                          Configured AAA parameters  EnableStaticPageCaching: YES  EnableEnhancedAuthFeedback: NO  DefaultAuthType: LOCAL MaxAAAUsers:           Unlimited                                       AAAD nat ip: None            EnableSessionStickiness: NO  aaaSessionLoglevel: INFORMATIONAL               AAAD Log Level: INFORMATIONAL                 Dynamic address: OFF
   Modo GUI: ON
   Tamaño máximo de deflación de Saml: 1024              Días de notificación de caducidad de contraseña: 14

Para configurar la notificación de caducidad de 14 días mediante GUI

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Configuración de autenticación.
  2. Haga clic en Cambiar configuración AAA de autenticación.
  3. En la página Configurar parámetro AAA, especifique los días en el campo Notificación de caducidad de contraseña (días).

    Imagen localizada

  4. Haga clic en Aceptar.

    La notificación aparece en la esquina superior derecha de la página del portal VPN, como se muestra a continuación.

    Imagen localizada