Requisitos previos

Antes de configurar Citrix ADC SSO, debe tener el dispositivo Citrix ADC completamente configurado para administrar el tráfico y la autenticación de los servidores de aplicaciones web. Por lo tanto, debe configurar el equilibrio de carga o la conmutación de contenido y, a continuación, la autenticación, la autorización y la auditoría para estos servidores de aplicaciones web. También debe verificar el enrutamiento entre el dispositivo, el servidor LDAP y el servidor Kerberos.

Si la red aún no está configurada de esta manera, realice las siguientes tareas de configuración:

  • Configure un servidor y un servicio para cada servidor de aplicaciones web.
  • Configure un servidor virtual de administración de tráfico para controlar el tráfico hacia y desde el servidor de aplicaciones web.

A continuación se presentan breves instrucciones y ejemplos para realizar cada una de estas tareas desde la línea de comandos de Citrix ADC. Para obtener más ayuda, véaseConfiguración de un servidor virtual de autenticación.

Para crear un servidor y servicio mediante la línea de comandos

Para que el SSO de Citrix ADC obtenga un TGS (tíquet de servicio) para un servicio, el FQDN asignado a la entidad de servidor en el dispositivo Citrix ADC debe coincidir con el FQDN del servidor de aplicaciones web o el nombre de la entidad del servidor debe coincidir con el nombre NetBIOS del servidor de aplicaciones web. Puede tomar cualquiera de los siguientes enfoques:

  • Configure la entidad del servidor Citrix ADC especificando el FQDN del servidor de aplicaciones web.
  • Configure la entidad de servidor Citrix ADC especificando la dirección IP del servidor de aplicaciones web y asigne a la entidad de servidor el mismo nombre que el nombre NetBIOS del servidor de aplicaciones web.

En el símbolo del sistema, escriba los siguientes comandos:

-  add server name <serverFQDN>

-  add service name serverName serviceType port

Para las variables, sustituya los siguientes valores:

  • serverName. Nombre del dispositivo Citrix ADC que se utilizará para hacer referencia a este servidor.
  • FQDN del servidor. El FQDN del servidor. Si el servidor no tiene ningún dominio asignado, utilice la dirección IP del servidor y asegúrese de que el nombre de la entidad del servidor coincide con el nombre NetBIOS del servidor de aplicaciones web.
  • Nombre deservicio. Nombre del dispositivo Citrix ADC que se utilizará para hacer referencia a este servicio.
  • type. Protocolo utilizado por el servicio, HTTP o MSSQLSVC.
  • puerto. El puerto en el que escucha el servicio. Los servicios HTTP normalmente escuchan en el puerto 80. Los servicios HTTPS seguros normalmente escuchan en el puerto 443.

Ejemplo

En los ejemplos siguientes se agregan entradas de servidor y servicio en el dispositivo Citrix ADC para el servidor de aplicaciones web was1.example.com. El primer ejemplo utiliza el FQDN del servidor de aplicaciones web; el segundo utiliza la dirección IP.

Para agregar el servidor y el servicio mediante el FQDN del servidor de aplicaciones web, was1.example.com, escriba los siguientes comandos:

add server was1 was1.example.com
add service was1service was1 HTTP 80

Para agregar el servidor y el servicio mediante la IP del servidor de aplicaciones web y el nombre NetBIOS, donde la IP del servidor de aplicaciones web es 10.237.64.87 y su nombre NetBIOS es WAS1, escriba los comandos siguientes:

add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 8

Para crear un servidor virtual de administración de tráfico mediante la línea de comandos

El servidor virtual de administración de tráfico administra el tráfico entre el cliente y el servidor de aplicaciones web. Puede utilizar un servidor virtual de equilibrio de carga o un servidor virtual de conmutación de contenido como servidor de administración de tráfico. La configuración de SSO es la misma para cualquiera de los tipos.

Para crear un servidor virtual de equilibrio de carga, en el símbolo del sistema, escriba el siguiente comando:

add lb vserver <vserverName> <type> <IP> <port>

Para las variables, sustituya los siguientes valores:

  • vServerName: Nombre para el dispositivo Citrix ADC que se utilizará para hacer referencia a este servidor virtual.
  • type: Protocolo utilizado por el servicio, HTTP o MSSQLSVC.
  • IP: La dirección IP asignada al servidor virtual. Normalmente, sería una dirección IP no pública reservada por IANA en su LAN.
  • port: Puerto en el que escucha el servicio. Los servicios HTTP normalmente escuchan en el puerto 80. Los servicios HTTPS seguros normalmente escuchan en el puerto 443.

Ejemplo

Para agregar un servidor virtual de equilibrio de carga denominado tmvserver1 a una configuración que administra el tráfico HTTP en el puerto 80, asignándole una dirección IP LAN de 10.217.28.20 y, a continuación, vinculando el servidor virtual de equilibrio de carga al servicio wasservice1, escriba los siguientes comandos:


add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1

Para crear un servidor virtual de autenticación mediante la línea de comandos

El servidor virtual de autenticación administra el tráfico de autenticación entre el cliente y el servidor de autenticación (LDAP). Para crear un servidor virtual de autenticación, en el símbolo del sistema escriba los siguientes comandos:


-  add authentication vserver <authvserverName> SSL <IP> 443
-  set authentication vserver <authvservername> –authenticationdomain <domain>

Para las variables, sustituya los siguientes valores:

  • authvserverName: Nombre para el dispositivo Citrix ADC que se utilizará para hacer referencia a este servidor virtual de autenticación. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. Se puede cambiar después de agregar el servidor virtual de autenticación mediante el comando rename authentication vserver.
  • IP: La dirección IP asignada al servidor virtual de autenticación. Al igual que con el servidor virtual de administración de tráfico, esta dirección normalmente sería una IP no pública reservada por IANA en su LAN.
  • domain: Dominio asignado al servidor virtual. Normalmente, este sería el dominio de su red. Es costumbre, aunque no es necesario, introducir el dominio en todas las mayúsculas al configurar el servidor virtual de autenticación.

Ejemplo

Para agregar un servidor virtual de autenticación denominado authverver1 a su configuración y asignarle la IP LAN 10.217.28.21 y el dominio EJEMPLO.COM, escriba los siguientes comandos:


add authentication vserver authvserver1 SSL 10.217.28.21 443
set authentication vserver authvserver1 –authenticationdomain EXAMPLE.COM

Para configurar un servidor virtual de administración de tráfico para utilizar un perfil de autenticación

El servidor virtual de autenticación se puede configurar para gestionar la autenticación de un solo dominio o de varios dominios. Si está configurado para admitir la autenticación para varios dominios, también debe especificar el dominio para Citrix ADC SSO creando un perfil de autenticación y, a continuación, configurando el servidor virtual de administración de tráfico para que utilice ese perfil de autenticación.

Nota

El servidor virtual de administración de tráfico puede ser un servidor virtual de equilibrio de carga (lb) o de conmutación de contenido (cs). En las instrucciones siguientes se supone que está utilizando un servidor virtual de equilibrio de carga. Para configurar un servidor virtual de conmutación de contenido, basta con sustituir set cs vserver por set lb vserver. El procedimiento es el mismo.

Para crear el perfil de autenticación y, a continuación, configurar el perfil de autenticación en un servidor virtual de administración de tráfico, escriba los comandos siguientes:


-  add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
-  set lb vserver <vserverName> -authnProfile <authnprofileName>

Para las variables, sustituya los siguientes valores:

  • AuthnProfileName: Nombre para el perfil de autenticación. Debe comenzar con una letra, un número o un carácter de subrayado (_), y debe constar de uno a treinta y un caracteres alfanuméricos o guión (-), punto (.) libra (#), espacio (), en (@), igual a (=), dos puntos (:) y subrayado.
  • AuthVServerName: Nombre del servidor virtual de autenticación que utiliza este perfil para la autenticación.
  • AuthenticationHost: Nombre de host del servidor virtual de autenticación.
  • AuthenticationDomain: Dominio para el que Citrix ADC SSO gestiona la autenticación. Necesario si el servidor virtual de autenticación realiza la autenticación para más de un dominio, de modo que se incluya el dominio correcto cuando el dispositivo Citrix ADC establece la cookie del servidor virtual de administración de tráfico.

Ejemplo

Para crear un perfil de autenticación denominado AuthnProfile1 para la autenticación del dominio example.com y configurar el servidor virtual de equilibrio de carga vserver1 para utilizar el perfil de autenticación AuthnProfile1, escriba los siguientes comandos:


add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
     -authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1