Gestión de la identidad del usuario

Un número cada vez mayor de infracciones de seguridad y la creciente popularidad de los dispositivos móviles han puesto de relieve la necesidad de garantizar que el uso de Internet externo se ajuste a las directivas corporativas y que solo los usuarios autorizados accedan a los recursos externos proporcionados por el personal corporativo. Identity Management lo hace posible verificando la identidad de una persona o un dispositivo. No determina qué tareas puede realizar el individuo ni qué archivos puede ver el individuo.

Una implementación de proxy de reenvío SSL identifica al usuario antes de permitir el acceso a Internet. Todas las solicitudes y respuestas del usuario son inspeccionadas. Se registra la actividad del usuario y los registros se exportan a Citrix Application Delivery Management (ADM) para generar informes. En Citrix ADM, puede ver las estadísticas sobre las actividades del usuario, las transacciones y el consumo de ancho de banda.

De forma predeterminada, solo se guarda la dirección IP del usuario, pero puede configurar la función para registrar más detalles sobre el usuario y utilizar esta información de identidad para crear directivas de uso de Internet más ricas para usuarios específicos.

El dispositivo Citrix ADC admite los siguientes modos de autenticación para una configuración de proxy explícito.

  • Protocolo ligero de acceso a directorios (LDAP). Autentica al usuario a través de un servidor de autenticación LDAP externo. Para obtener más información, consulte Directivas de autenticación LDAP.
  • RADIUS. Autentica al usuario a través de un servidor RADIUS externo. Para obtener más información, consulte Directivas de autenticación RADIUS.
  • TACACS+. Autentica al usuario a través de un servidor externo de autenticación del sistema de control de acceso de controlador de acceso de Terminal Access Controller (TACACS). Para obtener más información, consulte Directivas de autenticación.
  • Negociar. Autentica al usuario a través de un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, el dispositivo utiliza la autenticación NTLM. Para obtener más información, consulte Negociar directivas de autenticación.

En el caso de proxy transparente, solo se admite actualmente la autenticación LDAP basada en IP. Cuando se recibe una solicitud de cliente, el proxy autentica al usuario comprobando una entrada para la dirección IP del cliente en el directorio activo y crea una sesión basada en la dirección IP del usuario. Sin embargo, si configura el atributo ssonameAttribute en una acción LDAP, se crea una sesión mediante el nombre de usuario en lugar de la dirección IP. Las directivas clásicas no se admiten para la autenticación en una configuración de proxy transparente.

Nota

Para proxy explícito, debe establecer el nombre de inicio de sesión LDAP en samAccountName. Para proxy transparente, debe establecer el nombre de inicio de sesión LDAP en NetworkAddress y attribute1 en SAMAccountName.

Ejemplo de proxy explícito:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName

Ejemplo de proxy transparente:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

Configurar la autenticación de usuario mediante la CLI

En el símbolo del sistema, escriba:

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>

Argumentos:

Nombre del servidor virtual:

Nombre del servidor virtual de autenticación al que se va a enlazar la directiva.

Longitud máxima: 127

Tipo de servicio:

Tipo de protocolo del servidor virtual de autenticación. Siempre SSL.

Valores posibles: SSL

Valor predeterminado: SSL

Nombre de acción:

Nombre de la nueva acción LDAP. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de agregar la acción LDAP. El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi acción de autenticación” o “mi acción de autenticación”).

Longitud máxima: 127

ServerIP:

Dirección IP asignada al servidor LDAP.

LdapBase:

Base (nodo) desde el que iniciar las búsquedas LDAP. Si el servidor LDAP se está ejecutando localmente, el valor predeterminado de base es dc=netscaler, dc=com. Longitud máxima: 127

LDAPBindDN:

Nombre completo (DN) que se utiliza para enlazar al servidor LDAP.

Predeterminado: CN=Manager, dc=netscaler, dc=com

Longitud máxima: 127

ldapBinddnPassword:

Contraseña utilizada para enlazar al servidor LDAP.

Longitud máxima: 127

ldaploginName:

Atributo de nombre de inicio de sesión LDAP. El dispositivo Citrix ADC utiliza el nombre de inicio de sesión LDAP para consultar servidores LDAP externos o Active Directories. Longitud máxima: 127

Nombre de la directiva:

Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTICACIÓN. El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

Longitud máxima: 127

regla:

Nombre de la regla, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTENTICACIÓN.

Longitud máxima: 1499

acción:

Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

Longitud máxima: 127

prioridad:

Entero positivo que especifica la prioridad de la directiva. Un número inferior especifica una prioridad más alta. Las directivas se evalúan en el orden de sus prioridades y se aplica la primera directiva que coincide con la solicitud. Debe ser único dentro de la lista de directivas enlazadas al servidor virtual de autenticación.

Valor mínimo: 0

Valor máximo: 4294967295

Ejemplo:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done

Habilitar el registro de nombres de usuario mediante la CLI

En el símbolo del sistema, escriba:

set appflow param -AAAUserName ENABLED

Argumentos:

AAAUserName

Habilitar el registro de nombres de usuario de AppFlow AAA.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

Ejemplo:

set appflow param -AAAUserName ENABLED