Citrix ADC

Configuración de la autenticación kerberos en el dispositivo Citrix ADC

En este tema se proporcionan los pasos detallados para configurar la autenticación Kerberos en el dispositivo Citrix ADC mediante la CLI y la GUI.

Configuración de la autenticación Kerberos en la CLI

  1. Habilite la función de autenticación, autorización y auditoría para garantizar la autenticación del tráfico en el dispositivo.

    ns-cli-prompt> habilitar la función ns AAA

  2. Agregue el archivo keytab al dispositivo Citrix ADC. Un archivo keytab es necesario para descifrar el secreto recibido del cliente durante la autenticación Kerberos. Un único archivo keytab contiene detalles de autenticación de todos los servicios enlazados al servidor virtual de administración de tráfico en el dispositivo Citrix ADC.

    Primero genere el archivo keytab en el servidor de Active Directory y, a continuación, transfiéralo al dispositivo Citrix ADC.

    • Inicie sesión en el servidor de Active Directory y agregue un usuario para la autenticación Kerberos. Por ejemplo, para agregar un usuario llamado “Kerb-svc-account”:

      usuario net Kerb-SVC-cuenta freebsd! @ #456 /add

      Nota

      En la sección Propiedades del usuario, asegúrese de que la opción “Cambiar contraseña en el siguiente inicio de sesión” no está seleccionada y la opción “Contraseña no caduca” está seleccionada.

    • Asigne el servicio HTTP al usuario anterior y exporte el archivo keytab. Por ejemplo, ejecute el siguiente comando en el servidor de Active Directory:

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      Nota

      Puede asignar más de un servicio si se requiere autenticación para más de un servicio. Si quiere asignar más servicios, repita el comando anterior para cada servicio. Puede dar el mismo nombre o nombres diferentes para el archivo de salida.

    • Transfiera el archivo keytab al dispositivo Citrix ADC mediante el comando unix ftp o cualquier otra utilidad de transferencia de archivos que elija.

  3. El dispositivo Citrix ADC debe obtener la dirección IP del Controller de dominio del nombre de dominio completo (FQDN). Por lo tanto, Citrix recomienda configurar Citrix ADC con un servidor DNS.

    ns-cli-prompt> add dns nameserver <ip-address>

    Nota

    Alternativamente, puede agregar entradas de host estáticas o utilizar cualquier otro medio para que el dispositivo Citrix ADC pueda resolver el nombre FQDN del Controller de dominio en una dirección IP.

  4. Configure la acción de autenticación y, a continuación, asociarla a una directiva de autenticación.

    • Configure la acción de negociación.

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>

    • Configure la directiva de negociación y asocie la acción de negociación a esta directiva.

      ns-cli-prompt agregar autenticación NegotiatePolicy <name> <rule> <reqAction>

  5. Cree un servidor virtual de autenticación y asocie la directiva de negociación con él.

    • Cree un servidor virtual de autenticación.

      ns-cli-prompt agregar autenticación vserver <name> SSL <ipAuthVserver> 443 -AuthenticationDomain <domainName>

    • Enlazar la directiva de negociación al servidor virtual de autenticación.

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. Asocie el servidor virtual de autenticación con el servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido).

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    Nota

    Configuraciones similares también se pueden realizar en el servidor virtual de conmutación de contenido.

  7. Compruebe las configuraciones haciendo lo siguiente:

    • Acceda al servidor virtual de administración de tráfico mediante el FQDN. Por ejemplo: Muestra

    • Ver los detalles de la sesión en la CLI.

      ns-cli-prompt> show aaa session

Configuración de la autenticación Kerberos en la GUI

  1. Habilite la función de autenticación, autorización y auditoría.

    Vaya a Sistema > Configuración, haga clic en Configurar funciones básicas y habilite la función de autenticación, autorización y auditoría.

  2. Agregue el archivo keytab como se detalla en el paso 2 del procedimiento CLI mencionado anteriormente.

  3. Agregue un servidor DNS.

    Vaya a Administración del tráfico > DNS > Servidores de nombres y especifique la dirección IP del servidor DNS.

  4. Configure la acción y la directiva Negociar.

    Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva y cree una directiva con Negociarcomo tipo de acción. Haga clic en ADD para crear un nuevo servidor de negociación de autenticación o haga clic en Modificar para configurar los detalles existentes.

  5. Enlazar la directiva de negociación al servidor virtual de autenticación.

    Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y asocie la directiva Negociarcon el servidor virtual de autenticación.

  6. Asocie el servidor virtual de autenticación con el servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido).

    Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y especifique la configuración de autenticación pertinente.

    Nota

    Configuraciones similares también se pueden realizar en el servidor virtual de conmutación de contenido.

  7. Verifique las configuraciones como se detalla en el paso 7 del procedimiento CLI mencionado anteriormente.

Configuración de la autenticación kerberos en el dispositivo Citrix ADC