Citrix ADC

Descarga de autenticación Kerberos desde servidores físicos

El dispositivo Citrix ADC puede descargar las tareas de autenticación de los servidores. En lugar de que los servidores físicos autentiquen las solicitudes de los clientes, Citrix ADC autentica todas las solicitudes de los clientes antes de reenviarlas a cualquiera de los servidores físicos vinculados a él. La autenticación de usuarios se basa en tokens de Active Directory.

No hay autenticación entre Citrix ADC y el servidor físico y la descarga de autenticación es transparente para los usuarios finales. Tras el inicio de sesión inicial en un equipo con Windows, el usuario final no tiene que introducir ninguna información de autenticación adicional en una ventana emergente o en una página de inicio de sesión.

En la versión actual del dispositivo Citrix ADC, la autenticación Kerberos solo está disponible para los servidores virtuales de administración del tráfico de autenticación, autorización y auditoría. La autenticación Kerberos no es compatible con SSL VPN en el dispositivo Citrix Gateway Advanced Edition ni en la administración de dispositivos Citrix ADC.

La autenticación Kerberos requiere configuración en el dispositivo Citrix ADC y en los exploradores cliente.

Para configurar la autenticación Kerberos en el dispositivo Citrix ADC

Nota

Las contraseñas utilizadas en la siguiente configuración de ejemplo son solo ejemplos y no las contraseñas de configuración reales.

  1. Cree una cuenta de usuario en Active Directory. Al crear una cuenta de usuario, compruebe las siguientes opciones en la sección Propiedades de usuario:

    • Asegúrese de no seleccionar la opción Cambiar contraseña en el próximo inicio de sesión.
    • Asegúrese de seleccionar la opción La contraseña no caduca.
  2. En el servidor de AD, en el símbolo del sistema de la CLI, escriba:

    • ktpass -princ HTTP/kerberos.crete.lab.net@crete.lab.net -ptype KRB5_NT_PRINCIPAL -mapuser kerbuser@crete.lab.net -mapop set -pass <password> -out C:\kerbtabfile.txt

    Nota

    Asegúrese de escribir el comando anterior en una sola línea. El resultado del comando anterior se escribe en el archivo C:\kerbtabfile.txt.

  3. Cargue el archivo kerbtabfile.txt en el directorio /etc del dispositivo Citrix ADC mediante un cliente de Secure Copy (SCP).

  4. Ejecute el siguiente comando para agregar un servidor DNS al dispositivo Citrix ADC.

    • agregar servidor de nombres dns 1.2.3.4

    El dispositivo Citrix ADC no puede procesar solicitudes Kerberos sin el servidor DNS. Asegúrese de utilizar el mismo servidor DNS que se utiliza en el dominio de Microsoft Windows.

  5. Cambie a la interfaz de línea de comandos de Citrix ADC.

  6. Ejecute el siguiente comando para crear un servidor de autenticación Kerberos:

    • add authentication negotiateAction KerberosServer -domain “crete.lab.net” -domainUser kerbuser -domainUserPasswd <password> -keytab /var/mykcd.keytab

    Nota

    Si keytab no está disponible, puede especificar los parámetros: domain, domainUser y -domainUserPasswd.

  7. Ejecute el siguiente comando para crear una directiva de negociación:

    • add authentication negotiatePolicy Kerberos-Policy "REQ.IP.DESTIP == 192.168.17.200" KerberosServer<!--NeedCopy-->
  8. Ejecute el siguiente comando para crear un servidor virtual de autenticación.

    • add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net<!--NeedCopy-->
  9. Ejecute el siguiente comando para enlazar la directiva Kerberos al servidor virtual de autenticación:

    • bind authentication vserver Kerb-Auth -policy Kerberos-Policy -priority 100<!--NeedCopy-->
  10. Ejecute el siguiente comando para enlazar un certificado SSL al servidor virtual de autenticación. Puede utilizar uno de los certificados de prueba, que puede instalar desde la interfaz gráfica de usuario del dispositivo Citrix ADC. Ejecute el siguiente comando para utilizar el certificado de muestra de ServerTestCert.

    • bind ssl vserver Kerb-Auth -certkeyName ServerTestCert<!--NeedCopy-->
  11. Cree un servidor virtual de equilibrio de carga HTTP con la dirección IP 192.168.17.200.

    Asegúrese de crear un servidor virtual desde la interfaz de línea de comandos para las versiones de NetScaler 9.3 si son anteriores a la 9.3.47.8.

  12. Ejecute el siguiente comando para configurar un servidor virtual de autenticación:

    • set lb vserver <name>-authn401 ON -authnVsName Kerb-Auth<!--NeedCopy-->
  13. Introduzca el nombre de host Ejemplo en la barra de direcciones del explorador Web.

    El explorador web muestra un cuadro de diálogo de autenticación porque la autenticación Kerberos no está configurada en el explorador.

    Nota

    La autenticación Kerberos requiere una configuración específica en el cliente. Asegúrese de que el cliente puede resolver el nombre de host, lo que hace que el explorador web se conecte a un servidor virtual HTTP.

  14. Configure Kerberos en el explorador web del equipo cliente.

  15. Compruebe si puede acceder al servidor físico back-end sin autenticación.

Para configurar Internet Explorer para la autenticación Kerberos

  1. Seleccione Opciones de Internet en el menú Herramientas .
  2. Activa la ficha Seguridad .
  3. Seleccione Intranet local en la sección Seleccionar una zona para ver los cambios de configuración de seguridad.
  4. Haga clic en Sitios.
  5. Haga clic en Avanzadas.
  6. Especifique la URL, el ejemplo y haga clic en Agregar.
  7. Reinicie Internet Explorer.

Para configurar Mozilla Firefox para la autenticación Kerberos

  1. Escriba about:config en la barra de direcciones del explorador.
  2. Haga clic en la exención de responsabilidad de advertencia.
  3. Escriba network.negotiate-auth.trusted-URIS en el cuadro Filtro .
  4. Haga doble clic en Network.negotiate-auth.trusted-URIS. A continuación se muestra una pantalla de ejemplo.

    Imagen localizada

  5. En el cuadro de diálogo Introducir valor de cadena, especifique www.crete.lab.net.
  6. Reinicia Firefox.
Descarga de autenticación Kerberos desde servidores físicos