Configure LDAP después de descargar SSL a un servidor virtual de equilibrio de carga
En un dispositivo Citrix ADC, el proceso AAAD se utiliza para realizar la autenticación básica, como LDAP, RADIUS, TACACS, para el acceso de la administración o la autorización de autenticación y el acceso a la puerta de enlace. Como AAAD se ejecuta en la CPU de administración, es posible que haya problemas con errores de autenticación intermitentes. Para evitar estos errores, se puede usar el servidor virtual de equilibrio de carga para descargar la funcionalidad SSL de la AAAD.
Ventajas de descargar SSL a un servidor virtual de equilibrio de carga
- Rendimiento de AAAD mejorado. En AAAD, para cada solicitud de autenticación para el servidor LDAP de tipo SSL, se establece una nueva sesión SSL. A medida que el proceso AAAD se ejecuta en la CPU de administración, el establecimiento de la sesión SSL afecta al rendimiento durante las solicitudes altas a la AAAD. La descarga de la funcionalidad SSL al servidor virtual de equilibrio de carga mejora el rendimiento del proceso AAAD.
- Render el certificado de cliente al servidor. La biblioteca LDAP del cliente en AAAD solo realiza la validación del certificado del servidor, no se admite la renderización del certificado de cliente al servidor. Dado que la autenticación mutua SSL requiere renderizar el certificado de cliente para establecer la conexión SSL, la descarga de la funcionalidad SSL al servidor virtual de equilibrio de carga permite renderizar el certificado de cliente en el servidor.
Configure LDAP después de descargar SSL al servidor virtual de equilibrio de carga
Nota: Después de crear una dirección IP de servidor virtual de equilibrio de carga para LDAP y dirigir el servidor de solicitudes de LDAP a la dirección IP del servidor virtual, el tráfico proviene del SNIP.
Requisitos previos
- Asegúrese de que el LDAP seguro esté habilitado en los controladores de dominio que el dispositivo Citrix ADC utiliza para la autenticación. De forma predeterminada, en una CA empresarial, todos los controladores de dominio se inscriben para obtener un certificado mediante la plantilla de certificado de controlador de dominio.
- Asegúrese de que el LDAP seguro funcione utilizando el archivo ldp.exe y conectándose al controlador de dominio a través del puerto 636 y SSL.
Pasos para configurar LDAP después de descargar SSL al servidor virtual de equilibrio de carga
-
Cree un grupo de servicios de equilibrio de carga con el protocolo establecido en TCP. Vaya a Administración del tráfico > Equilibrio de carga > Grupos de servicios y haga clic en Agregar.
-
Agregue el controlador de dominio como miembro del grupo de servicios. Introduzca la dirección IP del controlador de dominio, establezca el puerto en 636 y haga clic en Crear.
-
Cree un servidor virtual de equilibrio de carga para LDAPS.
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
- Configure el protocolo en TCP, introduzca la dirección IP, establezca el puerto en 636 y haga clic en Aceptar.
-
Enlazar el grupo de servicios LDAPS al servidor virtual.
- Haga clic en Vinculación de grupos de servicios de servidor virtual sin equilibrio de carga.
- Seleccione el grupo de servicios y haga clic en Vincular. Confirme que el servidor virtual aparezca como activo.
-
Ahora cambie el servidor de directivas de autenticación de LDAP para que apunte al servidor virtual de equilibrio de carga para un LDAP seguro. El tipo de seguridad debe ser TEXTO SIN FORMATO.
- Vaya a Citrix Gateway > Políticas > Autenticación > LDAP.
- Seleccione el servidor LDAP y haga clic en Modificar.
- Cambie la dirección IP a la VIP de LDAPS alojada en el dispositivo Citrix ADC creado anteriormente.
- Cambie el tipo de seguridad a TEXTO SIN FORMATO, cambie el puerto a 636 y active la casilla Permitir cambio de contraseña, si es necesario (SLDAP permite cambiar la contraseña).
- Haga clic en Probar conectividad de red para verificar la conectividad
- Haga clic en Aceptar.
Puede comprobar el panel de autenticación para confirmar que el estado del servidor LDAP es ACTIVO. Además, compruebe los registros de autenticación para confirmar que la autenticación funciona según lo previsto.
Ejemplo de configuración CLI
-
Configure un servidor LDAP para el proceso AAAD. La siguiente configuración de ejemplo establece la conexión SSL con un servidor virtual de equilibrio de carga sin autenticación mutua SSL.
add authentication ldapAction ldap_act -serverIP <LB-VIP> -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN <!--NeedCopy--> -
Configure un servidor virtual de equilibrio de carga para el servidor virtual LDAP. El servidor virtual de equilibrio de carga es de tipo TCP.
add lb vserver ldaps TCP <LB-VIP> 636 -persistenceType NONE -cltTimeout 9000 <!--NeedCopy--> -
Configure un servicio para el servidor virtual de equilibrio de carga. El tipo de servicio es SSL-TCP.
add service ldaps <LDAP-IP> SSL_TCP 636 <!--NeedCopy--> -
Configure un certificado de CA para el servicio y establezca el parámetro «ServerAuth» para la validación del certificado del servidor.
bind ssl service ldaps -certkeyName ca-cert -CA set ssl service ldaps -serverAuth enabled <!--NeedCopy--> -
Adjunte el certificado al servicio que se presta al servidor LDAP.
bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication] <!--NeedCopy--> -
Enlazar el servicio al servidor virtual de equilibrio de carga.
bind lb vserver ldaps ldaps <!--NeedCopy-->