Directivas de autenticación

Cuando los usuarios inician sesión en el dispositivo Citrix ADC o Citrix Gateway, se autentican de acuerdo con una directiva que cree. Una directiva de autenticación consta de una expresión y una acción. Las directivas de autenticación utilizan expresiones Citrix ADC.

Después de crear una acción de autenticación y una directiva de autenticación, vincularla a un servidor virtual de autenticación y asignarle una prioridad. Al vincularlo, designarlo también como directiva primaria o secundaria. Las directivas primarias se evalúan antes que las directivas secundarias. En las configuraciones que utilizan ambos tipos de directivas, las directivas principales suelen ser directivas más específicas, mientras que las directivas secundarias suelen ser directivas más generales. Está diseñado para gestionar la autenticación de las cuentas de usuario que no cumplan los criterios más específicos. La directiva define el tipo de autenticación. Se puede utilizar una única directiva de autenticación para necesidades de autenticación simples y normalmente está vinculada a nivel global. También puede utilizar el tipo de autenticación predeterminado, que es local. Si configura la autenticación local, también debe configurar usuarios y grupos en el dispositivo.

Puede configurar varias directivas de autenticación y vincularlas para crear un procedimiento de autenticación detallado y servidores virtuales. Por ejemplo, puede configurar la autenticación en cascada y de dos factores mediante la configuración de varias directivas. También puede establecer la prioridad de las directivas de autenticación para determinar qué servidores y el orden en que el dispositivo comprueba las credenciales de usuario. Una directiva de autenticación incluye una expresión y una acción. Por ejemplo, si establece la expresión en Valor True, cuando los usuarios inician sesión, la acción evalúa el inicio de sesión del usuario en true y, a continuación, los usuarios tienen acceso a los recursos de red.

Después de crear una directiva de autenticación, la vincula a nivel global o a servidores virtuales. Cuando vincula al menos una directiva de autenticación a un servidor virtual, las directivas de autenticación enlazadas al nivel global no se utilizan cuando los usuarios inician sesión en el servidor virtual, a menos que el tipo de autenticación global tenga una prioridad mayor que la directiva enlazada al servidor virtual.

Cuando un usuario inicia sesión en el dispositivo, la autenticación se evalúa en el orden siguiente:

• El servidor virtual se comprueba si hay directivas de autenticación enlazadas.
• Si las directivas de autenticación no están enlazadas al servidor virtual, el dispositivo comprueba si existen directivas de autenticación globales.
• Si una directiva de autenticación no está enlazada a un servidor virtual o globalmente, el usuario se autentica mediante el tipo de autenticación predeterminado.

Si configura las directivas de autenticación LDAP y RADIUS y quiere enlazar las directivas globalmente para la autenticación de dos factores, puede seleccionar la directiva en la utilidad de configuración y, a continuación, seleccionar si la directiva es el tipo de autenticación principal o secundaria. También puede configurar una directiva de extracción de grupo.

Nota:

Citrix ADC o el dispositivo Citrix Gateway codifica solo caracteres UTF-8 para la autenticación y no es compatible con servidores que utilizan caracteres ISO-8859-1.

Crear una directiva de autenticación

Crear una directiva de autenticación mediante la interfaz gráfica de usuario

1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación y, a continuación, seleccione el tipo de directiva que quiere crear. Para Citrix Gateway, vaya a Citrix Gateway > Directivas > Autenticación.

2. En el panel de detalles, en la ficha Directivas, realice una de las acciones siguientes:

   • Para crear una nueva directiva, haga clic en Agregar.
   • Para modificar una directiva existente, seleccione la acción y, a continuación, haga clic en Modificar.

3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione los valores de los parámetros.

   • Nombre: Nombre de directiva (no se puede cambiar para una acción configurada previamente)
   • Tipo de autenticación — authtype
   • Servidor — authVsName
   • Expresión: Regla (Para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice el botón desplegable para construir su expresión).
4. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en la página Directivas.

5. Haga clic en la ficha Servidores y, en el panel de detalles, realice una de las acciones siguientes:

   • Para utilizar un servidor existente, selecciónelo y, a continuación, haga clic en.
   • Para crear un servidor, haga clic en Agregar y siga las instrucciones.
6. Si quiere designar esta directiva como directiva de autenticación secundaria, en la ficha Autenticación, haga clic en Secundaria. Si quiere designar esta directiva como directiva de autenticación principal, omita este paso.
7. Haga clic en Insertar directiva.
8. Elija la directiva que quiere enlazar al servidor virtual de autenticación en la lista desplegable.
9. En la columna Prioridad de la izquierda, modifique la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden correcto.
10. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.

Modificar una directiva de autenticación mediante la GUI

Puede modificar las directivas y los perfiles de autenticación configurados, como la dirección IP del servidor de autenticación o la expresión.

1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas > Autenticación. Nota: También puede configurar la directiva desde Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccionar el tipo de directiva que quiere modificar.
2. En el panel de navegación, en Autenticación, seleccione un tipo de autenticación.
3. En el panel de detalles, en la ficha Servidores, seleccione un servidor y, a continuación, haga clic en Abrir.

Quitar una directiva de autenticación mediante la interfaz gráfica de usuario

Si ha cambiado o quitado un servidor de autenticación de la red, quite la directiva de autenticación correspondiente de Citrix Gateway.

1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas\ > Autenticación. Nota: Para configurar desde ADC, navegue Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccione el tipo de directiva que quiere eliminar.
2. En el panel de navegación, en Autenticación, seleccione un tipo de autenticación.
3. En el panel de detalles, en la ficha Directivas, seleccione una directiva y, a continuación, haga clic en Quitar.

Crear una directiva de autenticación mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos:

add authentication negotiatePolicy <name> <rule> <reqAction>

show authentication localPolicy <name>

bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]

show authentication vserver <name>

Ejemplo:

    > add authentication localPolicy Authn-Pol-1 ns_true
      Done
    > show authentication localPolicy
    1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done
    > bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
    Done
    > show authentication vserver Auth-Vserver-2
        Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
        Timeout: 180 sec Down state flush: DISABLED
        Disable Primary Vserver On Down : DISABLED
        Authentication : ON
        Current AAA Users: 0
        Authentication Domain: myCompany.employee.com
    1)  Primary authentication policy name:  Authn-Pol-1 Priority: 0
        Done

Modificar una directiva de autenticación existente mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de autenticación existente:

set authentication localPolicy <name> <rule> [-reqaction <action>]```

Ejemplo

set authentication localPolicy Authn-Pol-1 'ns_true'

Quitar una directiva de autenticación mediante la CLI

En el símbolo del sistema, escriba el comando siguiente para quitar una directiva de autenticación:

rm authentication localPolicy <name>

Ejemplo

rm authentication localPolicy Authn-Pol-1

Enlazar una directiva de autenticación

Después de configurar las directivas de autenticación, la vincula globalmente o a un servidor virtual. Puede utilizar la utilidad de configuración para enlazar una directiva de autenticación.

Para enlazar una directiva de autenticación globalmente mediante la utilidad de configuración:

1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas\ > Autenticación. Nota: Para configurar desde ADC, navegue Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación
2. Haga clic en un tipo de autenticación.
3. En el panel de detalles, en la ficha Directivas, haga clic en un servidor y, a continuación, en Acción, haga clic en Enlaces globales.
4. En la ficha Principal o Secundario, en Detalles, haga clic en Insertar directiva.

5. En Nombre de directiva, seleccione la directiva y, a continuación, haga clic en Aceptar.

   Nota: Al seleccionar la directiva, Citrix Gateway establece la expresión en Valor True automáticamente.

Para desvincular una directiva de autenticación global mediante la utilidad de configuración:

1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas\ > Autenticación. Nota: Para configurar desde ADC, navegue Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación
2. En la ficha Directivas, en Acción, haga clic en Vinculaciones globales.
3. En el cuadro de diálogo Enlazar o desvincular directivas de autenticación a global, en la ficha Principal o Secundario, en Nombre de directiva, seleccione la directiva, haga clic en Desvincular directiva y, a continuación, haga clic en Aceptar.

Agregar una acción de autenticación

Agregar una acción de autenticación mediante la interfaz de línea de comandos

Si no utiliza la autenticación LOCAL, debe agregar una acción de autenticación explícita. En el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"

Configurar una acción de autenticación mediante la interfaz de línea de comandos

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Ejemplo

set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"

Eliminar una acción de autenticación mediante la interfaz de línea de comandos

Para quitar una acción RADIUS existente, en la solicitud de comando, escriba el siguiente comando:

rm authentication radiusAction <name>

Ejemplo

rm authentication tacacsaction Authn-Act-1

La autenticación NoAuth

El dispositivo Citrix ADC admite la capacidad de autenticación NoAuth, que permite al cliente configurar un parámetro DefaultAuthenticationGroup en el noAuthAction comando, cuando un usuario ejecuta esta directiva. El administrador puede comprobar la presencia de este grupo en el grupo de usuarios para determinar la navegación del usuario a través de la directiva NoAuth.

Para configurar una autenticación NoAuth mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba;

add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]

Ejemplo:

add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup

Tipos de autenticación global predeterminados

Cuando instaló Citrix Gateway y ejecutó el asistente de Citrix Gateway, configuró la autenticación dentro del asistente. Esta directiva de autenticación se enlazará automáticamente al nivel global de Citrix Gateway. El tipo de autenticación que configure en el asistente de Citrix Gateway es el tipo de autenticación predeterminado. Puede cambiar el tipo de autorización predeterminado ejecutando de nuevo el asistente de Citrix Gateway o puede modificar la configuración de autenticación global en la utilidad de configuración.

Si necesita agregar otros tipos de autenticación, puede configurar directivas de autenticación en Citrix Gateway y enlazar las directivas a Citrix Gateway mediante la utilidad de configuración. Cuando se configura la autenticación globalmente, se define el tipo de autenticación, se configuran las opciones y se establece el número máximo de usuarios que se pueden autenticar.

Después de configurar y vincular la directiva, puede establecer la prioridad para definir qué tipo de autenticación tiene prioridad. Por ejemplo, configure las directivas de autenticación LDAP y RADIUS. Si la directiva LDAP tiene un número de prioridad de 10 y la directiva RADIUS tiene un número de prioridad de 15, la directiva LDAP tiene prioridad, independientemente de dónde vincule cada directiva. Esto se denomina autenticación en cascada.

Puede seleccionar entregar páginas de inicio de sesión desde la caché en memoria de Citrix Gateway o desde el servidor HTTP que se ejecuta en Citrix Gateway. Si decide entregar la página de inicio de sesión desde la caché en memoria, la entrega de la página de inicio de sesión desde Citrix Gateway es más rápida que desde el servidor HTTP. Elegir entregar la página de inicio de sesión desde la caché en memoria reduce el tiempo de espera cuando muchos usuarios inician sesión al mismo tiempo. Solo puede configurar la entrega de páginas de inicio de sesión desde la caché como parte de una directiva de autenticación global.

También puede configurar la dirección IP de traducción de direcciones de red (NAT) que es una dirección IP específica para la autenticación. Esta dirección IP es única para la autenticación y no es la subred de Citrix Gateway, las direcciones IP asignadas o virtuales. Este es un parámetro opcional.

Nota:

No puede utilizar el asistente de Citrix Gateway para configurar la autenticación SAML.

Puede utilizar el Asistente de configuración rápida para configurar la autenticación de certificados de cliente, LDAP y RADIUS. Al ejecutar el asistente, puede seleccionar desde un servidor LDAP o RADIUS existente configurado en Citrix Gateway. También puede configurar las opciones de LDAP o RADIUS. Si utiliza la autenticación de dos factores, Citrix recomienda utilizar LDAP como tipo de autenticación principal.

Configurar tipos de autenticación global predeterminados

1. En la utilidad de configuración, en la ficha Configuration, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Global Settings.
2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración de autenticación.
3. En Número máximo de usuarios, escriba el número de usuarios que se pueden autenticar mediante este tipo de autenticación.
4. En Dirección IP NAT, escriba la dirección IP única para la autenticación.
5. Seleccione Habilitar almacenamiento en caché estático para entregar páginas de inicio de sesión más rápido.
6. Seleccione Habilitar comentarios de autenticación mejorada para proporcionar un mensaje a los usuarios si falla la autenticación. El mensaje que los usuarios reciben incluyen errores de contraseña, cuenta inhabilitada o bloqueada, o el usuario no se encuentra, por nombrar algunos.
7. En Tipo de autenticación predeterminado, seleccione el tipo de autenticación.
8. Configure las opciones para el tipo de autenticación y, a continuación, haga clic en Aceptar.