Citrix ADC

Autenticación de negociación

Al igual que con otros tipos de directivas de autenticación, una directiva de autenticación de negociación se compone de una expresión y una acción. Después de crear una directiva de autenticación, la vincula a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también se designa como directiva principal o secundaria.

Además de las funciones de autenticación estándar, el comando Negociar acción ahora puede extraer información del usuario de un archivo keytab en lugar de requerir que introduzca esa información manualmente. Si una ficha clave tiene más de un SPN, la autenticación, la autorización y la auditoría seleccionará el SPN correcto. Puede configurar esta función en la línea de comandos o mediante la utilidad de configuración.

Nota

Estas instrucciones suponen que ya está familiarizado con el protocolo LDAP y que ya ha configurado el servidor de autenticación LDAP elegido.

Para configurar la autenticación, la autorización y la auditoría para extraer información de usuario de un archivo keytab mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba el comando apropiado:

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • name: Nombre de la acción de negociación que se va a utilizar.
  • domain: Nombre de dominio del principal de servicio que representa Citrix ADC.
  • DomainUser: Nombre de usuario de la cuenta asignada con Citrix ADC principal. Esto se puede dar junto con el dominio y la contraseña cuando el archivo keytab no está disponible. Si se da nombre de usuario junto con el archivo keytab, entonces se buscarán las credenciales de este usuario en ese archivo keytab. Longitud máxima: 127
  • DomainUserPassWD - Contraseña de la cuenta asignada a la entidad de Citrix ADC.
  • DefaultAuthenticationGroup - Este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente además de los grupos extraídos. Longitud máxima: 63
  • keytab: Ruta al archivo keytab que se utiliza para descifrar tíquets kerberos presentados a Citrix ADC. Si keytab no está disponible, se puede especificar el dominio/nombre de usuario/contraseña en la configuración de la acción de negociación. Longitud máxima: 127
  • NTLMPath: Ruta de acceso al sitio habilitado para la autenticación NTLM, incluido el FQDN del servidor. Esto se utiliza cuando los clientes se remontan a NTLM. Longitud máxima: 127

Para configurar la autenticación, la autorización y la auditoría para extraer información de usuario de un archivo keytab mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Autenticación > Directivas avanzadas > Acciones > NEGOCIAR acciones.
  2. En el panel de detalles, en la ficha Servidores, realice una de las acciones siguientes:

    • Si quiere crear una nueva acción Negociar, haga clic en Agregar.
    • Si quiere modificar una acción Negociar existente, en el panel de datos seleccione la acción y, a continuación, haga clic en Modificar.
  3. Si va a crear una nueva acción Negociar, en el cuadro de texto Nombre, escriba un nombre para la nueva acción. El nombre puede tener entre uno y 127 caracteres de longitud y puede consistir en letras mayúsculas y minúsculas, números y los caracteres de guión (-) y guión bajo (_). Si está modificando una acción Negociar existente, omita este paso. El nombre es de solo lectura; no se puede cambiar.
  4. En Negociar, si la casilla de verificación Usar archivo Keytab aún no está activada, márquela.
  5. En el cuadro de texto Ruta del archivo Keytab, escriba la ruta de acceso completa y el nombre de archivo del archivo keytab que quiere utilizar.
  6. En el cuadro de texto Grupo de autenticación predeterminado, escriba el grupo de autenticación que quiere establecer como predeterminado para este usuario.
  7. Haga clic en Crear o en Aceptar para guardar los cambios.

Puntos a tener en cuenta cuando se utilizan cifrados avanzados para la autenticación Kerberos

  • Ejemplo de configuración cuando se utiliza keytab: agregar autenticación NegotiateAction neg_act_aes256 -keytab “/nsconfig/krb/lbvs_aes256.keytab”
  • Utilice el siguiente comando cuando keytab tenga varios tipos de cifrado. El comando captura adicionalmente los parámetros de usuario del dominio: add authentication NegotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -DomainUser “HTTP/LBVS.AAA.local”
  • Utilice los siguientes comandos cuando se utilicen credenciales de usuario: add authentication NegotiateAction neg_act_user -domain AAA.LOCAL -DomainUser “HTTP/LBVS.AAA.local” -DomainUserPasswd <password>
  • Asegúrese de que se proporciona la información correcta del usuario del dominio. Puede buscar el nombre de inicio de sesión del usuario en AD.