Cómo funciona la autenticación, la autorización y la auditoría

La autenticación, la autorización y la auditoría proporcionan seguridad para un entorno de Internet distribuido al permitir que cualquier cliente con las credenciales adecuadas se conecte de forma segura a servidores de aplicaciones protegidos desde cualquier lugar de Internet. Esta función incorpora las tres funciones de seguridad de autenticación, autorización y auditoría. La autenticación permite al Citrix ADC verificar las credenciales del cliente, ya sea localmente o con un servidor de autenticación de terceros, y permitir que solo los usuarios aprobados accedan a servidores protegidos. La autorización permite al ADC verificar el contenido de un servidor protegido al que debe permitir el acceso de cada usuario. La auditoría permite al ADC mantener un registro de la actividad de cada usuario en un servidor protegido.

Para comprender cómo funciona la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:

  • Redirige al usuario a la página de inicio de sesión si el usuario accede a la intranet sin haber iniciado sesión.
  • Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio accesible a través de LDAP.
  • Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
  • Mantiene un tiempo de espera de sesión después del cual los usuarios deben autenticarse de nuevo para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
  • Registra los accesos de usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.

La autenticación requiere que varias entidades: el cliente, el dispositivo Citrix ADC, el servidor de autenticación externo si se utiliza uno y el servidor de aplicaciones, respondan entre sí cuando se le solicite realizando una serie compleja de tareas en el orden correcto. Si utiliza un servidor de autenticación externo, este proceso puede desglosarse en los siguientes quince pasos.

  1. El cliente envía una solicitud GET para una dirección URL en el servidor de aplicaciones.
  2. El servidor virtual de administración de tráfico del dispositivo Citrix ADC redirige la solicitud al servidor de aplicaciones.
  3. El servidor de aplicaciones determina que el cliente no se ha autenticado y, por lo tanto, envía una respuesta HTTP 200 OK a través del servidor vserver de TM al cliente. La respuesta contiene un script oculto que hace que el cliente emita una solicitud POST para /cgi/tm.
  4. El cliente envía una solicitud POST para /cgi/tm.
  5. El servidor virtual de autenticación del dispositivo Citrix ADC redirige la solicitud al servidor de autenticación.
  6. El servidor de autenticación crea una sesión de autenticación, establece y almacena en caché una cookie que consiste en la URL inicial y el dominio del servidor virtual de administración de tráfico y, a continuación, envía una respuesta HTTP 302 a través del servidor virtual de autenticación, redirigiendo el cliente a /vpn/index.html.
  7. El cliente envía una solicitud GET para /vpn/index.html.
  8. El servidor virtual de autenticación redirige el cliente a la página de inicio de sesión del servidor de autenticación.
  9. El cliente envía una solicitud GET para la página de inicio de sesión, introduce credenciales y, a continuación, envía una solicitud POST con las credenciales de nuevo a la página de inicio de sesión.
  10. El servidor virtual de autenticación redirige la solicitud POST al servidor de autenticación.
  11. Si las credenciales son correctas, el servidor de autenticación indica al servidor virtual de autenticación que inicie sesión en el cliente y redirija el cliente a la dirección URL que estaba en la solicitud GET inicial.
  12. El servidor virtual de autenticación inicia sesión en el cliente y envía una respuesta HTTP 302 que redirige el cliente a la URL solicitada inicialmente.
  13. El cliente envía una solicitud GET para su URL inicial.
  14. El servidor virtual de administración de tráfico redirige la solicitud GEC al servidor de aplicaciones.
  15. El servidor de aplicaciones responde a través del servidor virtual de administración de tráfico con la URL inicial.

Si utiliza la autenticación local, el proceso es similar, pero el servidor virtual de autenticación controla todas las tareas de autenticación en lugar de reenviar las conexiones a un servidor de autenticación externo. La siguiente figura ilustra el proceso de autenticación.

Imagen 1. Flujo de tráfico del proceso de autenticación

Imagen localizada

Cuando un cliente autenticado solicita un recurso, el ADC, antes de enviar la solicitud al servidor de aplicaciones, comprueba las directivas de usuario y grupo asociadas a la cuenta de cliente para comprobar que el cliente está autorizado a acceder a ese recurso. El ADC gestiona toda la autorización en servidores de aplicaciones protegidos. No es necesario realizar ninguna configuración especial de los servidores de aplicaciones protegidos.

La administración de tráfico de autenticación, autorización y auditoría controla los cambios de contraseña para los usuarios mediante el método específico del protocolo para el servidor de autenticación. Para la mayoría de los protocolos, ni el usuario ni el administrador necesitan hacer nada diferente de lo que harían sin autenticación, autorización y auditoría de la administración del tráfico. Incluso cuando un servidor de autenticación LDAP está en uso, y ese servidor forma parte de una red distribuida de servidores LDAP con un único servidor de administración de dominio designado, los cambios de contraseña generalmente se manejan sin problemas. Cuando un cliente autenticado de un servidor LDAP cambia su contraseña, el cliente envía una solicitud de modificación de credenciales a la administración de tráfico de autenticación, autorización y auditoría, que la reenvía al servidor LDAP. Si el servidor LDAP del usuario es también el servidor de administración del dominio, ese servidor responde adecuadamente y la administración del tráfico de autenticación, autorización y auditoría realiza el cambio de contraseña solicitado. De lo contrario, el servidor LDAP envía la autenticación, autorización y auditoría de la administración del tráfico una respuesta LDAP_REVIERNAL al servidor de administración del dominio. La administración de tráfico de autenticación, autorización y auditoría sigue la referencia al servidor de administración de dominio indicado, se autentica en ese servidor y realiza el cambio de contraseña en ese servidor.

Al configurar la autenticación, la autorización y la auditoría de la administración del tráfico con un servidor de autenticación LDAP, el administrador del sistema debe tener en cuenta las siguientes condiciones y limitaciones:

  • La administración de tráfico de autenticación, autorización y auditoría supone que el servidor de administración de dominio en la referencia acepta las mismas credenciales de enlace que el servidor original.
  • La administración de tráfico de autenticación, autorización y auditoría solo sigue las referencias LDAP para operaciones de cambio de contraseña. En otros casos, la administración del tráfico de autenticación, autorización y auditoría se niega a seguir la referencia.
  • La administración de tráfico de autenticación, autorización y auditoría solo sigue un nivel de referencias LDAP. Si el segundo servidor LDAP también devuelve una referencia, autenticación, autorización y auditoría, la administración del tráfico se niega a seguir la segunda referencia.

El ADC admite la auditoría de todos los estados y la información de estado, por lo que puede ver los detalles de lo que hizo cada usuario al iniciar sesión, en orden cronológico. Para proporcionar esta información, el dispositivo registra cada evento, a medida que ocurre, en un archivo de registro de auditoría designado en el dispositivo o en un servidor syslog. La auditoría requiere configurar el dispositivo y cualquier servidor syslog que utilice.

Configuración de la directiva No_Auth para omitir cierto tráfico

Ahora puede configurar la directiva No_Auth para omitir cierto tráfico de la autenticación cuando la autenticación basada en 401 está habilitada en el servidor virtual de administración de tráfico. Para dicho tráfico, debe vincular una directiva de “no autenticación”.

Para configurar la directiva No_Auth para omitir cierto tráfico mediante la CLI

En el símbolo del sistema, escriba:

add authentication policy <name> -rule <expression> -action <string>

Ejemplo:

add authentication policy ldap -rule ldapAct1 -action NO_AUTHN