Citrix ADC

Cómo funciona la autenticación, la autorización y la auditoría

La autenticación, la autorización y la auditoría proporcionan seguridad para un entorno de Internet distribuido al permitir que cualquier cliente con las credenciales adecuadas se conecte de forma segura a servidores de aplicaciones protegidos desde cualquier lugar de Internet. Esta función incorpora las tres funciones de seguridad de autenticación, autorización y auditoría. La autenticación permite al Citrix ADC verificar las credenciales del cliente, ya sea localmente o con un servidor de autenticación de terceros, y permitir que solo los usuarios aprobados accedan a servidores protegidos. La autorización permite al ADC verificar el contenido de un servidor protegido al que permite acceder cada usuario. La auditoría permite al ADC mantener un registro de la actividad de cada usuario en un servidor protegido.

Para comprender cómo funciona la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:

  • Redirige al usuario a la página de inicio de sesión si el usuario accede a la intranet sin haber iniciado sesión.
  • Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio accesible a través de LDAP. Para obtener más información, consulte Determinar atributos en su directorio LDAP.

  • Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
  • Mantiene un tiempo de espera de sesión después del cual los usuarios deben autenticarse de nuevo para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
  • Registra los accesos de usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.

La siguiente sección trata sobre los dos mecanismos de autenticación:

  • Formularios basados en AAA-TM.

  • 401 Autenticación activada AAA-TM.

Formularios basados en AAA-TM

Con la autenticación basada en formularios, se presenta un formulario de inicio de sesión al usuario final. Este tipo de formulario de autenticación admite la autenticación multifactor (nFactor) y la autenticación clásica.

Formularios basados en AAA-TM

Asegúrese de lo siguiente para que funcione la autenticación basada en formularios:

  • El servidor virtual de equilibrio de carga debe tener activada la autenticación.

  • Se debe especificar el parámetro ‘AuthenticationHost’ al que se debe redirigir el usuario para la autenticación. El comando para configurar el mismo es el siguiente:

     set lb vs lb1 -authentication en —authenticationhost aaavs-ip/fqdn
    
  • La autenticación basada en formularios funciona con el explorador que admite HTML

Los siguientes pasos describen cómo funciona la autenticación basada en formularios:

  1. El cliente (explorador) envía una solicitud GET para una URL en el servidor virtual TM (equilibrio de carga/CS).

  2. El servidor virtual TM determina que el cliente no se ha autenticado y envía una respuesta HTTP 302 al cliente. La respuesta contiene una script oculta que hace que el cliente emita una solicitud GET para /cgi/tm al servidor virtual de autenticación.
  3. El cliente envía GET /cgi/tm que contiene la URL de destino al servidor virtual de autenticación.
  4. El servidor virtual de autenticación envía una redirección a la página de inicio de sesión.
  5. El usuario envía sus credenciales al servidor virtual de autenticación con un POST /doAuthentication.do. La autenticación la realiza el servidor virtual de autenticación.
  6. Si las credenciales son correctas, el servidor virtual de autenticación envía una respuesta HTTP 302 a la URL cgi/selfauth en el servidor de equilibrio de carga con un token de una sola vez (OTP).
  7. El servidor de equilibrio de carga envía HTTP 302 al cliente.
  8. El cliente envía una solicitud GET para su URL de destino inicial junto con una cookie de 32 bytes.

    Diagrama de flujo AAA-TM basado en formularios

AAA-TM con autenticación 401 habilitada

Con la autenticación basada en 401, el dispositivo Citrix ADC presenta un cuadro de diálogo emergente del siguiente modo para el usuario final.

AAA-TM basado en 401

AAA-TM basado en formularios funciona en los mensajes de redirección. Sin embargo, algunas aplicaciones no admiten redirecciones. En tales aplicaciones, se utiliza AAA-TM con autenticación 401 habilitada.

Asegúrese de que funcione lo siguiente para que AAA-TM con autenticación 401 funcione:

  • El valor del parámetro ‘AuthNVSName’ para el servidor virtual de equilibrio de carga debe ser el nombre del servidor virtual de autenticación que se utilizará para autenticar usuarios.

  • El parámetro ‘authn401’ debe estar habilitado. El comando para configurar el mismo es el siguiente:

     set lb vs lb1 —authn401 en —authnvsName <aaavs-name>
    

Los siguientes pasos describen cómo funciona la autenticación 401:

  1. El usuario intenta acceder a una dirección URL concreta mediante el servidor virtual de equilibrio de carga.

  2. El servidor virtual de equilibrio de carga envía una respuesta HTTP 401 al usuario indicando que se requiere autenticación para el acceso.
  3. El usuario envía sus credenciales al servidor virtual de equilibrio de carga en el encabezado de autorización.
  4. El servidor virtual de equilibrio de carga autentica al usuario y, a continuación, conecta al usuario con los servidores back-end.

    Diagrama de flujo AAA-TM basado en 401

Configuración de la directiva No_Auth para omitir cierto tráfico

Ahora puede configurar la directiva No_Auth para omitir cierto tráfico de la autenticación cuando la autenticación basada en 401 está habilitada en el servidor virtual de administración de tráfico. Para dicho tráfico, debe vincular una directiva de “no autenticación”.

Para configurar la directiva No_Auth para omitir cierto tráfico mediante la CLI

En el símbolo del sistema, escriba:

add authentication policy <name> -rule <expression> -action <string>

Ejemplo:

agregar directiva de autenticación ldap -rule LdaPact1 -action

Cómo funciona la autenticación, la autorización y la auditoría