Citrix ADC

Configurar la autenticación LDAP en el dispositivo Citrix ADC para fines de administración

Puede configurar el inicio de sesión del usuario en el dispositivo Citrix ADC mediante las credenciales de Active Directory (nombre de usuario y contraseña) para fines de administración (superusuario, solo lectura, privilegios de red y todos los demás).

Requisitos previos

  • Servidores de controladores de dominio de Windows Active Directory
  • Un grupo de dominios dedicado para administradores de NetScaler
  • Citrix Gateway 10.1 y versiones posteriores

Las siguientes ilustraciones ilustran la autenticación LDAP en el dispositivo Citrix ADC.

Autenticación LDAP para fines de gestión

Pasos de configuración de alto nivel

  1. Crear un servidor LDAP
  2. Crear una directiva LDAP
  3. Enlazar la directiva LDAP
  4. Asigne privilegios a los administradores de una de las siguientes maneras
    • Aplicar privilegios al grupo
    • Aplicar privilegios individualmente para cada usuario

Crear un servidor LDAP de autenticación

  1. Vaya a Sistema > Autenticación > LDAP.
  2. Haga clic en la ficha Servidor y, a continuación, haga clic en Agregar.
  3. Complete la configuración y, a continuación, haga clic en Crear.

Servidor de autenticación LDAP

Nota:

En este ejemplo, el acceso se limita al dispositivo Citrix ADC filtrando la autenticación en la pertenencia al grupo de usuarios estableciendo Filtro de búsqueda. El valor utilizado para este ejemplo es - & (MemberOf=CN=NSG_admin, OU=AdminGroups, DC=Citrix, DC=lab)

Crear una directiva LDAP

  1. Vaya a Sistema > Autenticación > Directivas avanzadas > Directiva.
  2. Haga clic en Agregar.
  3. Escriba un nombre para la directiva, seleccione el servidor que creó en los pasos anteriores.
  4. En el campo Texto de expresión, escriba la expresión adecuada y, a continuación, haga clic en Crear.

Directiva de autenticación LDAP

Vincular la directiva LDAP globalmente

  1. Vaya a Sistema > Autenticación > Directivas avanzadas > Directiva.
  2. En la página Directivas de autenticación, haga clic en Enlaces globales.
  3. Seleccione la directiva que ha creado (en este ejemplo, POL_LDAPMGMT).
  4. Elija una prioridad en consecuencia (cuanto menor sea el número, mayor será la prioridad)
  5. Haga clic en Vincular y, a continuación, Listo. Aparece una marca de verificación verde en la columna Enlazado globalmente.

Vincular la directiva de autenticación LDAP globalmente

Asignar privilegios a los administradores

Puede elegir una de las dos opciones siguientes.

  • Aplicar privilegios a un grupo: agregue un grupo en el dispositivo Citrix ADC y asigne los mismos derechos de acceso a cada usuario que sea miembro de este grupo.
  • Aplicar privilegios individualmente para cada usuario: cree cada cuenta de administrador de usuario y asigne derechos a cada uno de ellos.

Aplicar privilegios a un grupo

Cuando aplica privilegios a un grupo, los usuarios que son miembros del grupo de Active Directory configurado en el filtro de búsqueda (en este ejemplo, NSG_Admin) pueden conectarse a la interfaz de administración de Citrix ADC y tener una directiva de comandos de superusuario.

  1. Vaya a Sistema > Administración de usuarios > Grupos.
  2. Introduzca los detalles según el requisito y, a continuación, haga clic en Crear.

Crear grupo de usuarios y asignar privilegios

Ha definido el grupo de Active Directory al que pertenecen los usuarios y también el nivel de directiva de comandos que debe asociarse a la cuenta al iniciar sesión. Puede agregar nuevos usuarios administradores al grupo LDAP que configuró en el filtro de búsqueda.

Nota:

El nombre del grupo debe coincidir con el registro de Active Directory.

Aplicar privilegios individualmente para cada usuario

En este caso, los usuarios que son miembros del grupo de Active Directory configurado en el filtro de búsqueda (en este ejemplo, NSG_Admin) pueden conectarse a la interfaz de administración de Citrix ADC, pero no tienen ningún privilegio hasta que cree el usuario específico en el dispositivo Citrix ADC y enlazar la directiva de comandos a él.

  1. Vaya a Sistema > Administración de usuarios > Usuarios.
  2. Haga clic en Agregar.
  3. Introduzca los detalles según el requisito.

    Nota: Asegúrese de seleccionar Activar autenticación externa.

Crear usuario y asignar privilegios

  1. Haga clic en Continuar.

Ha definido el usuario de Active Directory y el nivel de directiva de comandos que debe asociarse a la cuenta al iniciar sesión.

Nota:

  • El nombre de usuario debe coincidir con el registro de Active Directory del usuario existente.
  • Cuando agrega un usuario a Citrix ADC para autenticación externa, debe proporcionar una contraseña si la autenticación externa no está disponible. Para que la autenticación externa funcione correctamente, la contraseña interna no debe ser la misma que la contraseña LDAP de la cuenta de usuario.

Agregar directiva de comandos al usuario

  1. Vaya a Sistema > Administración de usuarios > Usuarios.
  2. Seleccione el usuario que creó y, a continuación, haga clic en Modificar.
  3. En Vinculaciones, haga clic en Directiva de comandos del sistema.
  4. Seleccione la directiva de comandos correcta para aplicarla al usuario.
  5. Haga clic en Vincular y, a continuación, en Cerrar.

Enlazar directiva de comandos al usuario

Para agregar más administradores;

  • Agregue los usuarios administradores al grupo LDAP que configuró en el filtro de búsqueda.
  • Cree el usuario del sistema en Citrix ADC y asigne la directiva de comandos correcta.

Para configurar la autenticación LDAP en el dispositivo Citrix ADC con fines de administración mediante la CLI

Utilice los siguientes comandos como referencia para configurar el inicio de sesión de un grupo con privilegios de superusuario en la CLI del dispositivo Citrix ADC.

  1. Crear un servidor LDAP

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    <!--NeedCopy-->
    
  2. Crear y directiva LDAP

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    <!--NeedCopy-->
    
  3. Vinculación de la directiva LDAP

    bind system global pol_LDAPmgmt -priority 110
    <!--NeedCopy-->
    
  4. Asignar privilegios a los administradores

    • Para aplicar privilegios en el grupo
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    <!--NeedCopy-->
    
    • Para aplicar privilegios individualmente a cada usuario
    add system user admyoa
    bind system user admyoa superuser 100
    <!--NeedCopy-->