Autentificación web
La autenticación, autorización y auditoría ahora pueden autenticar a un usuario en un servidor web, proporcionando las credenciales que el servidor web requiere en una solicitud HTTP y analizando la respuesta del servidor web para determinar si la autenticación del usuario se ha realizado correctamente. Al igual que con otros tipos de directivas de autenticación, una directiva de autenticación web se compone de una expresión y una acción. Después de crear una directiva de autenticación, la enlaza a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también lo designa como directiva principal o secundaria.
Para configurar la autenticación basada en web con un servidor web específico, primero debe crear una acción de autenticación web. Dado que la autenticación en servidores web no utiliza un formato rígido, debe especificar exactamente qué información necesita el servidor web y en qué formato al crear la acción. Para ello, cree una expresión en la directiva avanzada del dispositivo NetScaler que contiene los siguientes elementos:
- IP del servidor: dirección IP del servidor web de autenticación.
- Puerto del servidor: puerto del servidor web de autenticación.
- Regla de autenticación: expresión de la directiva avanzada del dispositivo NetScaler que contiene las credenciales del usuario en el formato que espera el servidor web.
- Esquema: HTTP (para autenticación web sin cifrar) o HTTPS (para autenticación web cifrada).
- Regla de éxito: expresión de la directiva avanzada del dispositivo NetScaler que coincide con la cadena de respuesta del servidor web que indica que el usuario se ha autenticado correctamente.
Para todos los demás parámetros, siga las reglas normales del comando add authentication action.
A continuación, crea una directiva asociada a esa acción. La directiva es similar a una directiva LDAP y, al igual que las directivas LDAP, utiliza la sintaxis del dispositivo NetScaler.
Nota
En estas instrucciones se supone que ya está familiarizado con los requisitos de autenticación de los servidores web en los que quiere autenticarse y que ya ha configurado el servidor de autenticación web.
Para configurar una acción de autenticación web mediante la interfaz de línea de comandos
Para crear una acción de autenticación web en la línea de comandos, en la línea de comandos escriba el siguiente comando:
add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->
Ejemplo
add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"
add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"
add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->
Para configurar una acción de autenticación web mediante la utilidad de configuración
Nota
En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > LDAP.
-
En el panel de detalles, en la ficha Servidores, realice una de las siguientes acciones:
- Si quiere crear una nueva acción de autenticación web, haga clic en Agregar.
- Si quiere modificar una acción de autenticación web existente, en el panel de datos, seleccione la acción y, a continuación, haga clic en Modificar.
- Si va a crear una nueva acción de autenticación web, en el cuadro de diálogo Crear servidor web de autenticación, en el cuadro de texto Nombre, escriba un nombre para la nueva acción de autenticación web. El nombre puede tener una longitud de entre uno y 127 caracteres y puede consistir en letras mayúsculas y minúsculas, números y guiones (-) y guiones bajos (_). Si va a modificar una acción de autenticación web existente, omita este paso. El nombre es de solo lectura; no se puede cambiar.</span>
- En el cuadro de texto Dirección IP del servidor web, escriba la dirección IP IPv4 o IPv6 del servidor web de autenticación. Si la dirección es una dirección IP IPv6, seleccione primero la casilla de verificación IPv6.
- En el cuadro de texto Puerto, escriba el número de puerto en el que el servidor web acepta conexiones.
- Seleccione HTTP o HTTPS en la lista desplegable Protocolo .
- En el área de texto Expresión de solicitud HTTP, escriba una expresión regular con formato PCRE que cree la solicitud del servidor web que contiene las credenciales del usuario en el formato exacto que espera el servidor web de autenticación.
- En el área de texto Expresión para validar la autenticación, escriba una expresión de directiva avanzada del dispositivo NetScaler que describa la información de la respuesta del servidor web que indica que la autenticación del usuario se ha realizado correctamente.
- Rellene los campos restantes tal y como se describe en la documentación general de la acción de autenticación.
- Haga clic en Aceptar.