Descarga de la autenticación Kerberos de servidores físicos

El dispositivo Citrix ADC puede descargar tareas de autenticación de los servidores. En lugar de que los servidores físicos autenticen las solicitudes de los clientes, Citrix ADC autentica todas las solicitudes de cliente antes de retransmitirlas a cualquiera de los servidores físicos enlazados a él. La autenticación de usuario se basa en tokens de Active Directory.

No hay autenticación entre Citrix ADC y el servidor físico, y la descarga de autenticación es transparente para los usuarios finales. Después del inicio de sesión inicial en un equipo con Windows, el usuario final no tiene que introducir ninguna información de autenticación adicional en una ventana emergente o en una página de inicio de sesión.

En la versión actual del dispositivo Citrix ADC, la autenticación Kerberos solo está disponible para la autenticación, autorización y auditoría de servidores virtuales de administración de tráfico. La autenticación Kerberos no se admite para SSL VPN en el dispositivo Citrix Gateway Advanced Edition ni para la administración de dispositivos Citrix ADC.

La autenticación Kerberos requiere configuración en el dispositivo Citrix ADC y en los exploradores cliente.

Para configurar la autenticación Kerberos en el dispositivo Citrix ADC

  1. Crear una cuenta de usuario en Active Directory. Al crear una cuenta de usuario, compruebe las siguientes opciones en la sección Propiedades de usuario:

    • Asegúrese de no seleccionar la opción Cambiar contraseña en el siguiente inicio de sesión.
    • Asegúrese de seleccionar la opción Contraseña no caduca.
  2. En el servidor AD, en el símbolo del sistema CLI, escriba:

    • ktpass -princ HTTP/kerberos.crete.lab.net@crete.lab.net -ptype KRB5_NT_PRINCIPAL -mapuser kerbuser@crete.lab.net -mapop set -pass Citrix1 -out C:\kerbtabfile.txt

    Nota

    Asegúrese de escribir el comando anterior en una sola línea. La salida del comando anterior se escribe en el archivo C:KerbTabFile.txt.

  3. Cargue el archivo kerbtabfile.txt en el directorio /etc del dispositivo Citrix ADC mediante un cliente Secure Copy (SCP).

  4. Ejecute el siguiente comando para agregar un servidor DNS al dispositivo Citrix ADC.

    • add dns nameserver 1.2.3.4

    El dispositivo Citrix ADC no puede procesar solicitudes Kerberos sin el servidor DNS. Asegúrese de utilizar el mismo servidor DNS que se utiliza en el dominio de Microsoft Windows.

  5. Cambie a la interfaz de línea de comandos de Citrix ADC.

  6. Ejecute el siguiente comando para crear un servidor de autenticación Kerberos:

    • agregar autenticación NegotiateAction KerberosServidor -dominio “crete.lab.net” -DomainUser kerbuser -DomainUserPassWD Citrix1 -keytab /var/mykcd.keytab

    Nota

    Si keytab no está disponible, puede especificar los parámetros: domain, domainUser y -domainUserPassWD.

  7. Ejecute el siguiente comando para crear una directiva de negociación:

    • add authentication negotiatePolicy Kerberos-Policy "REQ.IP.DESTIP == 192.168.17.200" KerberosServer
  8. Ejecute el siguiente comando para crear un servidor virtual de autenticación.

    • add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net
  9. Ejecute el siguiente comando para enlazar la directiva Kerberos al servidor virtual de autenticación:

    • bind authentication vserver Kerb-Auth -policy Kerberos-Policy -priority 100
  10. Ejecute el siguiente comando para enlazar un certificado SSL al servidor virtual de autenticación. Puede utilizar uno de los certificados de prueba, que puede instalar desde el dispositivo GUI Citrix ADC. Ejecute el siguiente comando para utilizar el certificado de ejemplo ServerTestCert.

    • bind ssl vserver Kerb-Auth -certkeyName ServerTestCert
  11. Cree un servidor virtual de equilibrio de carga HTTP con la dirección IP 192.168.17.200.

    Asegúrese de crear un servidor virtual desde la interfaz de línea de comandos para las versiones de NetScaler 9.3 si son anteriores a 9.3.47.8.

  12. Ejecute el siguiente comando para configurar un servidor virtual de autenticación:

    • set lb vserver <name>-authn401 ON -authnVsName Kerb-Auth
  13. Introduzca el nombre de hostEjemploen la barra de direcciones del explorador web.

    El explorador web muestra un cuadro de diálogo de autenticación porque la autenticación Kerberos no está configurada en el explorador.

    Nota

    La autenticación Kerberos requiere una configuración específica en el cliente. Asegúrese de que el cliente puede resolver el nombre de host, lo que da como resultado que el explorador web se conecte a un servidor virtual HTTP.

  14. Configure Kerberos en el explorador web del equipo cliente.

  15. Compruebe si puede acceder al servidor físico back-end sin autenticación.

Para configurar Internet Explorer para la autenticación Kerberos

  1. Seleccione Opciones de Internet en el menú Herramientas.
  2. Active la ficha Seguridad.
  3. Seleccione Intranet local en la sección Seleccionar una zona para ver cambiar la configuración de seguridad.
  4. Haga clic en Sitios.
  5. Haga clic en Avanzadas.
  6. Especifique la dirección URLEjemploy haga clic en Agregar.
  7. Reinicie Internet Explorer.

Para configurar Mozilla Firefox para la autenticación Kerberos

  1. Escriba about:config en la barra de direcciones del explorador.
  2. Haga clic en la exención de responsabilidad de advertencia.
  3. Escriba Network.Negotiate-Auth.Trusted-URI en el cuadro Filtro.
  4. Haga doble clic en Network.Negotiate-auth.trusted-uris. A continuación se muestra una pantalla de muestra.

    Imagen localizada

  5. En el cuadro de diálogo Introducir valor de cadena, especifique www.crete.lab.net.
  6. Reinicia Firefox.