Configuración de SSO por delegación

Para configurar SSO por delegación, debe realizar las siguientes tareas:

  • Si está configurando la delegación por certificado de usuario delegado, instale los certificados de CA coincidentes en el dispositivo Citrix ADC y agréguelos a la configuración de Citrix ADC.
  • Cree la cuenta de KCD en el dispositivo. El dispositivo utiliza esta cuenta para obtener tickets de servicio para las aplicaciones protegidas.
  • Configure el servidor de Active Directory.

Nota

Para obtener más información sobre cómo crear una cuenta KCD y configurar en el dispositivo NetScaler, consulte los temas siguientes:

Instalación del certificado de CA de cliente en el dispositivo Citrix ADC

Si está configurando Citrix ADC SSO con un certificado de cliente, debe copiar el certificado de CA coincidente para el dominio de certificado de cliente (el certificado de CA de cliente) en el dispositivo Citrix ADC y, a continuación, instalar el certificado de CA. Para copiar el certificado de CA cliente, utilice el programa de transferencia de archivos que elija para transferir el certificado y el archivo de clave privada al dispositivo Citrix ADC y almacene los archivos en /nsconfig/ssl.

Para instalar el certificado de CA cliente en el dispositivo Citrix ADC

En el símbolo del sistema, escriba el siguiente comando:

add ssl certKey <certkeyName> -cert <cert> [(-key <key> [-password]) | -fipsKey <fipsKey>][-inform ( DER | PEM )][-expiryMonitor ( ENABLED | DISABLED | UNSET ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

Para las variables, sustituya los siguientes valores:

  • CertKeyName. Un nombre para el certificado de CA del cliente. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe constar de uno a treinta y un caracteres. Los caracteres permitidos incluyen los caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), at (@), igual (=) y guión (-). No se puede cambiar después de crear el par de claves de certificado. Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi certificado” o “mi certificado”).
  • certificado. Nombre de ruta completa y nombre de archivo del archivo de certificado X509 utilizado para formar el par de claves de certificado. El archivo de certificado debe almacenarse en el dispositivo Citrix ADC, en el directorio /nsconfig/ssl/.
  • clave. Nombre de ruta completa y nombre de archivo del archivo que contiene la clave privada del archivo de certificado X509. El archivo de clave debe almacenarse en el dispositivo Citrix ADC en el directorio /nsconfig/ssl/.
  • contraseña. Si se especifica una clave privada, la frase de contraseña utilizada para cifrar la clave privada. Utilice esta opción para cargar claves privadas cifradas en formato PEM.
  • FIPSKey. Nombre de la clave FIPS creada dentro del módulo de seguridad de hardware (HSM) de un dispositivo FIPS, o una clave importada en el HSM.

    Nota

    Puede especificar una clave o una FIPSKey, pero no ambas.

  • informar. Formato del certificado y los archivos de clave privada, ya sea PEM o DER.
  • La llanura de paso. Frase de paso utilizada para cifrar la clave privada. Necesario al agregar una clave privada cifrada en formato PEM.
  • ExpiryMonitor. Configure el dispositivo Citrix ADC para que emita una alerta cuando el certificado esté a punto de caducar. Valores posibles: ENABLED, DISABLED, UNSET.
  • Periodo de notificación. Si ExpiryMonitor está habilitado, número de días antes de que caduque el certificado para emitir una alerta.
  • paquete. Analice la cadena de certificados como un único archivo después de vincular el certificado de servidor al certificado de su emisor dentro del archivo. Valores posibles: SÍ, NO.

Ejemplo

En el ejemplo siguiente se agrega el certificado de usuario delegado especificado customer-cert.pem a la configuración de Citrix ADC junto con la clave customer-key.pem, y se establece la contraseña, el formato del certificado, el monitor de caducidad y el período de notificación.

Para agregar el certificado de usuario delegado, escriba los siguientes comandos:


```add ssl certKey customer -cert "/nsconfig/ssl/customer-cert.pem"
        -key "/nsconfig/ssl/customer-key.pem" -password "dontUseDefaultPWs!"
        -inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]

Creación de la cuenta KCD

Si configura Citrix ADC SSO por delegación, puede configurar la cuenta KCD para que utilice el nombre de inicio de sesión y la contraseña del usuario, para que utilice el nombre de inicio de sesión y la ficha clave del usuario, o para que utilice el certificado de cliente del usuario. Si configura SSO con nombre de usuario y contraseña, el dispositivo Citrix ADC utiliza la cuenta de usuario delegada para obtener un Ticket de concesión de tickets (TGT) y, a continuación, utiliza el TGT para obtener tickets de servicio para los servicios específicos que solicita cada usuario. Si configura SSO con el archivo keytab, el dispositivo Citrix ADC utiliza la información de la cuenta de usuario delegada y la ficha keytab. Si configura SSO con un certificado de usuario delegado, el dispositivo Citrix ADC utiliza el certificado de usuario delegado.

Para crear la cuenta KCD para SSO por delegación con una contraseña

En el símbolo del sistema, escriba los siguientes comandos:

add aaa kcdaccount <accountname> -delegatedUser root -kcdPassword <password> -realmStr <realm>

Para las variables, sustituya los siguientes valores:

  • nombre de cuenta. Nombre de la cuenta de KCD.
  • contraseña. Contraseña para la cuenta KCD.
  • dominio. El dominio de la cuenta de KCD, normalmente el dominio para el que está activo el inicio de sesión único.

Ejemplo (formato UPN)

Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato UPN (como root), escriba los siguientes comandos:


add aaa kcdaccount kcdaccount1 –delegatedUser root
-kcdPassword password1 -realmStr EXAMPLE.COM

Ejemplo (formato SPN)

Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato SPN, escriba los siguientes comandos:


add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -kcdPassword password1

Crear la cuenta de KCD para SSO por delegación con una ficha clave

Si planea utilizar un archivo keytab para la autenticación, cree primero la keytab. Puede crear el archivo keytab manualmente iniciando sesión en el servidor de AD y mediante la utilidad ktpass, o bien puede utilizar la utilidad de configuración de Citrix ADC para crear un script por lotes y, a continuación, ejecutarlo en el servidor de AD para generar el archivo keytab. A continuación, utilice FTP u otro programa de transferencia de archivos para transferir el archivo keytab al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb. Por último, configure la cuenta KCD para Citrix ADC SSO por delegación y proporcione la ruta de acceso y el nombre de archivo del archivo keytab al dispositivo Citrix ADC.

Para crear manualmente el archivo keytab

Inicie sesión en la línea de comandos del servidor AD y, en el símbolo del sistema, escriba el comando siguiente:

ktpass princ <SPN> ptype KRB5_NT_PRINCIPAL mapuser <DOMAIN><username> pass <password> -out <File_Path>

Para las variables, sustituya los siguientes valores:

  • SPN. El nombre principal de servicio para la cuenta de servicio de KCD.
  • DOMINIO. El dominio del servidor de Active Directory.
  • nombre de usuario. El nombre de usuario de la cuenta KSA.
  • contraseña. La contraseña de la cuenta de KSA.
  • ruta. Nombre completo de la ruta de acceso del directorio en el que almacenar el archivo keytab una vez generado.

Para utilizar la utilidad de configuración de Citrix ADC para crear un script que genere el archivo keytab

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones.
  2. En el panel de datos, en Delegación restringida de Kerberos, haga clic en Archivo por lotespara generar Keytab.
  3. En el cuadro de diálogo Generar KCD (Delegación restringida de Kerberos) Keytab Script, establezca los siguientes parámetros:
    • Nombrede usuario del dominio. El nombre de usuario de la cuenta KSA.
    • Contraseña de dominio. La contraseña de la cuenta de KSA.
    • Director de Servicio. El nombre principal de servicio para el KSA.
    • Nombre de archivo de salida. Ruta de acceso completa y nombre de archivo en el que se va a guardar el archivo keytab en el servidor de AD.
  4. Desactive la casilla de verificación Crear cuenta de usuario de dominio.
  5. Haga clic en Generar script.
  6. Inicie sesión en el servidor de Active Directory y abra una ventana de línea de comandos.
  7. Copie el script desde la ventana Script generado y péguelo directamente en la ventana de línea de comandos del servidor de Active Directory. La keytab se genera y almacena en el directorio bajo el nombre de archivo especificado como Nombre de archivo de salida.
  8. Utilice la utilidad de transferencia de archivos que elija para copiar el archivo keytab del servidor de Active Directory al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb.

Para crear la cuenta de KCD

En el símbolo del sistema, escriba el siguiente comando:

add aaa kcdaccount <accountname> –keytab <keytab>

Ejemplo

Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba los siguientes comandos:


add aaa kcdaccount kcdaccount1 –keytab kcdvserver.keytab

Para crear la cuenta de KCD para SSO por delegación con un certificado de usuario delegado

En el símbolo del sistema, escriba el siguiente comando:

add aaa kcdaccount <accountname> -realmStr <realm> -delegatedUser <user_nameSPN> -usercert <cert> -cacert <cacert>

Para las variables, sustituya los siguientes valores:

  • nombre de cuenta. Nombre de la cuenta de KCD.
  • Realmstr. Dominio de la cuenta de KCD, normalmente el dominio para el que está configurado el inicio de sesión único.
  • Usuario delegado. Nombre de usuario delegado, en formato SPN.
  • cert de usuario. Ruta de acceso completa y nombre del archivo de certificado de usuario delegado en el dispositivo Citrix ADC. El certificado de usuario delegado debe contener tanto el certificado de cliente como la clave privada, y debe estar en formato PEM. Si utiliza la autenticación de tarjeta inteligente, es posible que tenga que crear una plantilla de certificado de tarjeta inteligente para permitir la importación de certificados con la clave privada.
  • Cacert. Ruta de acceso completa y nombre del archivo de certificado de CA en el dispositivo Citrix ADC.

Ejemplo

Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba el siguiente comando:

add aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM
     -delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert
     -cacert /cacerts/cacert

Configuración de Active Directory para Citrix ADC SSO

Al configurar el inicio de sesión único por delegación, además de crear la cuenta KCDAccount en el dispositivo Citrix ADC, también debe crear una cuenta de servicio Kerberos (KSA) coincidente en el servidor de directorio activo LDAP y configurar el servidor para el inicio de sesión único. Para crear el KSA, utilice el proceso de creación de cuentas en el servidor de Active Directory. Para configurar SSO en el servidor de Active Directory, abra la ventana de propiedades del KSA. En la ficha Delegación, habilite las siguientes opciones: Confiar en este usuario solo para la delegación a servicios especificados y Usar cualquier protocolo de autenticación. (La opción solo Kerberos no funciona porque no habilita la transición de protocolo ni la delegación restringida.) Por último, agregue los servicios que Citrix ADC SSO administrará.

Nota

Si la ficha Delegación no está visible en el cuadro de diálogo Propiedades de cuenta de KSA, antes de poder configurar el KSA como se describe, debe utilizar la herramienta de línea de comandos de Microsoft setspn para configurar el servidor de Active Directory de modo que la ficha esté visible.

Para configurar la delegación de la cuenta de servicio Kerberos

  1. En el cuadro de diálogo Configuración de cuenta LDAP para la cuenta de servicio Kerberos que creó, haga clic en la ficha Delegación.
  2. Elija “Confiar en este usuario solo para la delegación a los servicios especificados”.
  3. En “Confiar en este usuario solo para la delegación a los servicios especificados”, seleccione “Usar cualquier protocolo de autenticación”.
  4. En “Servicios a los que esta cuenta puede presentar credenciales delegadas”, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o Equipos, elija el servidor que aloja los recursos que se asignarán a la cuenta de servicio y, a continuación, haga clic en Aceptar.

    Nota

    -  La delegación restringida no admite servicios alojados en dominios distintos del dominio asignado a la cuenta, aunque Kerberos pueda tener una relación de confianza con otros dominios. -  Utilice el siguiente comando para crear setspn si se crea un nuevo usuario en Active Directory: setspn -A host/kcdvserver.example.com examplekcdtest
    
  6. En el cuadro de diálogo Agregar servicios, en la lista Servicios disponibles, elija los servicios asignados a la cuenta de servicio. Citrix ADC SSO admite los servicios HTTP y MSSQLSVC.
  7. Haga clic en Aceptar.