Citrix ADC

Partición de administrador

Un dispositivo Citrix ADC se puede dividir en entidades lógicas denominadas particiones administrativas, donde cada partición se puede configurar y utilizar como un dispositivo Citrix ADC independiente. En la siguiente figura se muestran las particiones de un Citrix ADC que utilizan diferentes clientes y departamentos:

imagen

Un dispositivo Citrix ADC con particiones tiene una única partición predeterminada y una o más particiones de administración. La tabla siguiente proporciona más detalles sobre los dos tipos de partición:

Nota: En un dispositivo con particiones, el modo BridgeBPDU solo se puede habilitar en la partición predeterminada y no en las particiones administrativas.

Partición predeterminada

Particiones de administración

Disponibilidad:

El dispositivo Citrix ADC se suministra con una única partición, que se denomina partición predeterminada. La partición predeterminada se conserva incluso después de particionar el dispositivo Citrix ADC.

Debe crearse explícitamente como se describe en Configurar particiones de administrador.

Número de particiones:

Uno

Un dispositivo Citrix ADC puede tener una o más particiones administrativas (como máximo 512).

Acceso de usuario y funciones:

Todos los usuarios de Citrix ADC que no estén asociados a una directiva de comandos específica de partición pueden acceder a la partición predeterminada y configurarla. Como siempre, las operaciones que un usuario puede realizar están restringidas por la directiva de comandos asociada.

Solo pueden ser creados por superusuarios de Citrix ADC que también especifican los usuarios para esa partición. Solo los superusuarios y los usuarios asociados de la partición pueden acceder y configurar la partición admin.

Nota: Los usuarios de particiones no tienen acceso a shell.

Estructura de archivo:

Todos los archivos de una partición predeterminada se almacenan en la estructura de archivos predeterminada de Citrix ADC.

Por ejemplo, el archivo de configuración de Citrix ADC se almacena en el directorio /nsconfig y los registros de Citrix ADC se almacenan en el directorio /var/log/.

Todos los archivos de una partición admin se almacenan en rutas de directorio que tienen el nombre de la partición admin.

Por ejemplo, el archivo de configuración de Citrix ADC (ns.conf) se almacena en el directorio /nsconfig/partitions/<partitionName>. Otros archivos específicos de partición se almacenan en los directorios /var/partitions/<partitionName>.

Algunas otras rutas en una partición de administración:

  • Archivos descargados:/var/partitions/<partitionName>/download/
  • Archivos de registros: /var/partitions/<partitionName>/log/

Nota: Actualmente, el registro no se admite en el nivel de partición. Por lo tanto, este directorio está vacío y todos los registros se almacenan en el directorio /var/log/.

  • Archivos relacionados con certificados SSL CRL: /var/partitions/<partitionName>/netscaler/ssl

Recursos disponibles:

Todos los recursos de Citrix ADC.

Recursos Citrix ADC asignados explícitamente a la partición admin.

Acceso y funciones de usuario

Al autenticar y autorizar un dispositivo Citrix ADC con particiones, un administrador raíz puede asignar un administrador de particiones a una o más particiones. El administrador de particiones puede autorizar a los usuarios a esa partición sin afectar a otras particiones. Estos son usuarios de particiones y están autorizados a acceder solo a esa partición mediante la dirección SNIP. Tanto el administrador raíz como el administrador de particiones pueden configurar el acceso basado en roles (RBA autorizando a los usuarios a acceder a diferentes aplicaciones.

Los administradores y las funciones de usuario se pueden describir de la siguiente manera:

Administrador raíz. Accede al dispositivo particionado a través de su dirección NSIP y puede conceder acceso al usuario a una o más particiones. El administrador también puede asignar administradores de particiones a una o más particiones. El administrador puede crear un administrador de particiones a partir de la partición predeterminada mediante una dirección NSIP o cambiar a una partición y, a continuación, crear un usuario y asignar acceso de administrador de particiones mediante una dirección SNIP.

Administrador de particiones. Accede a la partición especificada a través de una dirección NSIP asignada por el administrador raíz. El administrador puede asignar acceso basado en roles al acceso de usuario de partición a esa partición y también configurar la autenticación de servidor externo mediante una configuración específica de partición.

Usuario del sistema. Accede a las particiones a través de la dirección NSIP. Tiene acceso a las particiones y recursos especificados por el administrador raíz.

Usuario de partición. Accede a una partición a través de una dirección SNIP. El administrador de la partición crea esta cuenta de usuario y el usuario tiene acceso a los recursos, solo dentro de la partición.

Puntos que tener en cuenta

A continuación se presentan algunos puntos a recordar cuando se proporciona acceso basado en roles en una partición.

  1. Los usuarios de Citrix ADC que accedan a la GUI a través de la dirección NSIP utilizarán la configuración de autenticación de partición predeterminada para iniciar sesión en el dispositivo.
  2. Los usuarios del sistema de partición que accedan a la GUI a través de la dirección SNIP de partición utilizarán la configuración de autenticación específica de partición para iniciar sesión en el dispositivo.
  3. El usuario de partición creado en una partición no puede iniciar sesión con la dirección NSIP.
  4. El usuario Citrix ADC enlazado a una partición no puede iniciar sesión con la dirección SNIP de partición.
  5. Usuarios externos que acceden a una partición a través de la configuración del servidor externo como LDAP, Radius o TACACS agregados a la partición. El usuario debe acceder mediante la dirección SNIP para iniciar sesión directamente en la partición.

Caso de uso para administrar el acceso basado en roles en una configuración con particiones

Considere un caso en el que una organización empresarial, www.example.com, tenga varias unidades de negocio y un administrador centralizado que administre todas las instancias de su red. Sin embargo, quieren proporcionar privilegios de usuario y entorno exclusivos para cada unidad de negocio.

A continuación se presentan los administradores y usuarios administrados por la configuración de autenticación de partición predeterminada y la configuración específica de partición en un dispositivo con particiones.

John: Administrador de raíz

George: Administrador de particiones

Adam: Usuario del sistema

Jane: Usuario de partición

John, es el administrador raíz de un dispositivo Citrix ADC con particiones. John administra todas las cuentas de usuario y cuentas de usuario administrativas en particiones (por ejemplo, P1, P2, P3, P4 y P5) dentro del dispositivo. Proporciona acceso granular basado en roles a entidades desde la partición predeterminada del dispositivo. John crea cuentas de usuario y asigna acceso de partición a cada cuenta. George como ingeniero de red dentro de la organización prefiere tener un acceso basado en roles a pocas aplicaciones que se ejecutan en la partición P2. Basado en la administración de usuarios, John crea una función de administrador de particiones para George y asocia su cuenta de usuario con la directiva de comandos partition-admin en la partición P2. Adam siendo otro ingeniero de red prefiere acceder a una aplicación que se ejecuta en P2. John crea una cuenta de usuario del sistema para Adam y asocia su cuenta de usuario a la partición P2. Una vez creada su cuenta, Adam puede iniciar sesión en el dispositivo para acceder a la interfaz de administración de Citrix ADC a través de la dirección NSIP y puede cambiar a la partición P2 en función del enlace de usuario/grupo.

Supongamos que Jane que es otro ingeniero de red quiere acceder directamente a una aplicación que se ejecuta solo en la partición P2, George (administrador de particiones) puede crear una cuenta de usuario de partición para ella y asociar su cuenta con directivas de comando para privilegios de autorización. La cuenta de usuario de Jane creada dentro de la partición ahora está directamente asociada con P2. Ahora Jane puede acceder a la interfaz de administración de Citrix ADC a través de la dirección SNIP y no puede cambiar a ninguna otra partición.

Nota

Si un administrador de particiones crea la cuenta de usuario de Jane en la partición P2, solo puede acceder a la interfaz de administración de Citrix ADC a través de la dirección SNIP (creada dentro de la partición) y no puede acceder a la interfaz a través de la dirección NSIP. Del mismo modo, si la cuenta de usuario de Adam es creada por un administrador raíz en la partición predeterminada y está enlazada a la partición P2, solo puede acceder a la interfaz de administración de Citrix ADC a través de la dirección NSIP o la dirección SNIP creada en la partición predeterminada (con acceso de administración habilitado) y no puede acceder a la a través de la dirección SNIP creada en la partición administrativa.

Configurar roles y responsabilidades para administradores de particiones

A continuación se presentan las configuraciones realizadas por un administrador raíz en una partición predeterminada.

Creación de particiones administrativas y usuarios del sistema: Un administrador raíz crea particiones administrativas y usuarios del sistema en la partición predeterminada del dispositivo. A continuación, el administrador asocia los usuarios a diferentes particiones. Si está enlazado a una o más particiones, puede cambiar de una partición a otra en función de los enlaces de usuario. Además, el acceso a una o más particiones enlazadas solo está autorizado por el administrador raíz.

Autorizar al usuario del sistema como administrador de particiones para una partición específica: Una vez creada una cuenta de usuario, el administrador raíz cambia a una partición específica y autoriza al usuario como administrador de particiones. Esto se hace asignando la directiva de comando partition-admin a la cuenta de usuario. Ahora, el usuario puede acceder a la partición como administrador de particiones y administrar entidades dentro de la partición.

A continuación se presentan las configuraciones realizadas por un administrador de particiones en una partición administrativa.

Configuración de la dirección SNIP en una partición administrativa- El administrador de la partición inicia sesión en la partición y crea una dirección SNIP y proporciona acceso de administración a la dirección.

Creación y vinculación de un usuario de sistema de particiones con directiva de comandos de partición: El administrador de particiones crea usuarios de particiones y define el alcance del acceso de los usuarios. Esto se hace vinculando la cuenta de usuario a las directivas de comando de partición.

Creación y vinculación de grupos de usuarios de un sistema de partición con directiva de comandos de partición: El administrador de particiones crea grupos de usuarios de particiones y define el alcance del acceso de grupos de usuarios. Esto se hace vinculando la cuenta de grupo de usuarios a las directivas de comando de partición.

Configuración de la autenticación de servidor externo para usuarios externos (opcional): Esta configuración se realiza para autenticar usuarios externos de TACACS que acceden a la partición mediante la dirección SNIP.

A continuación se presentan las tareas realizadas en la configuración del acceso basado en roles para los usuarios de particiones en una partición administrativa.

  1. Creación de una partición administrativa: Antes de crear usuarios de partición en una partición administrativa, primero debe crear la partición. Como administrador raíz, puede crear una partición a partir de la partición predeterminada mediante la utilidad de configuración o una interfaz de línea de comandos.
  2. Cambiar el acceso de usuario de la partición predeterminada a la partición P2: Si es administrador de particiones que accede al dispositivo desde la partición predeterminada, puede cambiar de partición predeterminada a una partición específica (por ejemplo, la partición P2) en función del enlace de usuario.
  3. Agregar la dirección SNIP a la cuenta de usuario de Partición con acceso de administración habilitado: Una vez que haya cambiado el acceso a una partición de administración, debe crear una dirección SNIP y proporcionar acceso de administración a la dirección.
  4. Creación y vinculación de un usuario de sistema de particiones con directiva de comandos de partición: Si es administrador de particiones, puede crear usuarios de particiones y definir el ámbito de acceso de usuario. Esto se hace vinculando la cuenta de usuario a las directivas de comando de partición.
  5. Creación y vinculación de un grupo de usuarios de particiones con directiva de comandos de partición: Si es administrador de particiones, puede crear grupos de usuarios y definir el control de acceso de usuario. Esto se hace vinculando la cuenta de grupo de usuarios a las directivas de comando de partición.

Configuración de la autenticación de servidor externo para usuarios externos (opcional): Esta configuración se realiza para autenticar usuarios externos de TACACS que acceden a la partición mediante la dirección SNIP.

Beneficios del uso de particiones de administración

Puede aprovechar las siguientes ventajas mediante el uso de particiones de administración para su implementación:

  • Permite la delegación de la propiedad administrativa de una aplicación al cliente.
  • Reduce el coste de propiedad de ADC sin comprometer el rendimiento y la facilidad de uso.
  • Protege contra cambios de configuración injustificados. En un dispositivo Citrix ADC no particionado, los usuarios autorizados de otra aplicación podrían cambiar de forma intencional o involuntaria las configuraciones necesarias para su aplicación. Esto podría conducir a un comportamiento indeseable. Esta posibilidad se reduce en un dispositivo Citrix ADC con particiones.
  • Aísla el tráfico entre diferentes aplicaciones mediante el uso de VLAN dedicadas para cada partición.
  • Acelera y permite escalar implementaciones de aplicaciones.
  • Permite la administración y generación de informes localizados o a nivel de aplicación.

Vamos a analizar un par de casos para entender los casos en los que se puede utilizar particiones de administración.

Caso de usuario 1: Cómo se utiliza la partición Admin en una red empresarial

Consideremos un caso que enfrenta una empresa llamada Foo.com.

  • Foo.com tiene un único Citrix ADC.
  • Hay cinco departamentos y cada departamento tiene una aplicación que requiere ser implementada con Citrix ADC.
  • Cada aplicación debe ser administrada de forma independiente por un conjunto diferente de usuarios o administradores.
  • Se debe restringir el acceso a las configuraciones a otros usuarios.
  • La aplicación o el back-end deben poder compartir recursos como direcciones IP.
  • El departamento global de TI debe ser capaz de controlar la configuración a nivel de Citrix ADC, que debe ser común a todas las particiones.
  • Las solicitudes deben ser independientes entre sí. Un error en la configuración de una aplicación no debe afectar a la otra.

Un Citrix ADC no particionado no podría satisfacer estos requisitos. Sin embargo, puede cumplir todos estos requisitos mediante la partición de un Citrix ADC.

Simplemente cree una partición para cada una de las aplicaciones, asigne los usuarios requeridos a las particiones, especifique una VLAN para cada partición y defina la configuración global en la partición predeterminada.

Caso de uso 2: Cómo un proveedor de servicios utiliza una partición de administración

Consideremos un caso que enfrenta un proveedor de servicios llamado BigProvider:

  • BigProvider tiene 5 clientes: 3 pequeñas empresas y 2 grandes empresas.
  • SmallBiz, SmallBiz y StartupBizsolo necesitan la funcionalidad Citrix ADC más básica.
  • BigBiz y LargeBiz son empresas más grandes y tienen aplicaciones que atraen mucho tráfico. Les gustaría utilizar algunas de las funciones más complejas de Citrix ADC.

En un enfoque no particionado, el administrador de Citrix ADC suele utilizar un dispositivo Citrix ADC SDX y aprovisionar una instancia de Citrix ADC para cada cliente.

Esta solución se adapta a BigBiz y LargeBiz porque sus aplicaciones necesitan la potencia sin menoscabo de todo el dispositivo Citrix ADC no particionado. Sin embargo, esta solución podría no ser tan rentable para el mantenimiento de SmallBiz, SmallerBiz y StartupBiz.

Por lo tanto, BigProvider decide sobre la siguiente solución:

  • Uso de un dispositivo Citrix ADC SDX para crear instancias de Citrix ADC dedicadas para BigBiz y LargeBiz.
  • Utilizar un único Citrix ADC que se divide en tres particiones, una para SmallBiz, SmallerBiz y StartupBiz.

El administrador de Citrix ADC (superusuario) crea una partición de administrador para cada uno de estos clientes, especifica los usuarios para las particiones, especifica los recursos de Citrix ADC para las particiones y especifica la VLAN que utilizará el tráfico destinado a cada una de las particiones.

Partición de administrador