Citrix ADC

Autenticación TACACS

La directiva de autenticación TACACS se autentica en un servidor externo de autenticación del sistema de control de acceso del controlador de acceso de Terminal Access Controller (TACACS). Una vez que un usuario se autentica en un servidor TACACS, Citrix ADC se conecta al mismo servidor TACACS para todas las autorizaciones posteriores. Cuando un servidor TACACS principal no está disponible, esta función evita cualquier retraso mientras el ADC espera a que el primer servidor TACACS agote el tiempo de espera. Sucede antes de volver a enviar la solicitud de autorización al segundo servidor TACACS.

Nota: El

servidor de autorización TACACS no admite comandos cuya longitud de cadena supera los 255 caracteres.

Solución alternativa: Utilice la autorización local en lugar de un servidor de autorización TACACS.

Al autenticarse a través de un servidor TACACS, los registros de administración de tráfico de autenticación, autorización y auditoría solo ejecutan correctamente los comandos TACACS. Impide que los registros muestren comandos TACACS introducidos por los usuarios que no estaban autorizados para ejecutarlos.

A partir de NetScaler 12.0, compilación 57.x, el sistema de control de acceso del controlador de acceso de Terminal Access (TACACS) no bloquea el demonio de autenticación, autorización y auditoría mientras envía la solicitud TACACS. Permitir la autenticación LDAP y RADIUS para continuar con la solicitud. La solicitud de autenticación TACACS se reanuda una vez que el servidor TACACS reconoce la solicitud TACACS.

Importante:

  • Citrix recomienda no modificar ninguna configuración relacionada con TACACS cuando ejecuta un comando “clear ns config”.

  • La configuración relacionada con TACACS relacionada con las directivas avanzadas se borra y se vuelve a aplicar cuando el parámetro “RbaConfig” se establece en NO en el comando “clear ns config” para la directiva avanzada.

Compatibilidad con atributos nombre-valor para la autenticación TACACS

Ahora puede configurar atributos de autenticación TACACS con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción TACACS y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado con el nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

Importante

  • En el comando TacacsAction, puede configurar un máximo de 64 atributos separados por coma con un tamaño total inferior a 2048 bytes.

Para configurar los atributos nombre-valor mediante la CLI

En el símbolo del sistema, escriba:

add authentication tacacsAction <name> [-Attributes <string>]

Ejemplo:

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”

Para agregar una acción de autenticación mediante la interfaz de línea de comandos

Si no utiliza la autenticación LOCAL, debe agregar una acción de autenticación explícita. En el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"

Para configurar una acción de autenticación mediante la interfaz de línea de comandos

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo

    > set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"    Done

Para quitar una acción de autenticación mediante la interfaz de línea de comandos

Para quitar una acción RADIUS existente, en la solicitud de comando, escriba el siguiente comando:

rm authentication radiusAction <name>

Ejemplo

rm authentication tacacsaction Authn-Act-1
Autenticación TACACS