Citrix ADC

Servidor virtual de autenticación

El servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido) redirige todas las solicitudes de autenticación al servidor virtual de autenticación. Este servidor virtual procesa las directivas de autenticación asociadas y, en consecuencia, proporciona acceso a la aplicación.

Nota: No puede vincular directivas de administración del tráfico a servidores virtuales de autenticación, autorización y auditoría.

Configurar servidor virtual de autenticación

Los pasos implicados en la configuración de un servidor virtual de autenticación son:

  1. Habilite la función de autenticación, autorización y auditoría.

    ` enable ns feature AAA ``

  2. Configure un servidor virtual de autenticación. Debe ser de tipo SSL y asegúrese de enlazar el par de claves de certificado SSL al servidor virtual.

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    
  3. Especifique el FQDN del dominio para el servidor virtual de autenticación.

    set authentication vserver <name> -authenticationDomain <FQDN>
    
  4. Asocie el servidor virtual de autenticación al servidor virtual de administración de tráfico pertinente.

    Puntos a tener en cuenta:

    • El FQDN del servidor virtual de administración de tráfico debe estar en el mismo dominio que el FQDN del servidor virtual de autenticación para que la cookie de sesión de dominio funcione correctamente. En el servidor virtual de administración de tráfico:
      • Habilitar la autenticación.
      • Especifique el FQDN del servidor virtual de autenticación como host de autenticación del servidor virtual de administración de tráfico.
      • [Opcional]Especifique el dominio de autenticación en el servidor virtual de administración de tráfico.
      • Si no configura el dominio de autenticación, el dispositivo asigna un FQDN que consiste en el FQDN del servidor virtual de autenticación sin la parte del nombre de host. Por ejemplo, si el nombre de dominio del servidor virtual de autenticación es tm.xyz.bar.com, el dispositivo asigna xyz.bar.com como dominio de autenticación.
        • Para el equilibrio de carga:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
        
        • Para la conmutación de contenido:
         set cs vserver <name> <protocol> <IPAddress> <port>
        
    • Si tiene que establecer una cookie de todo el dominio para un dominio de autenticación, debe habilitar el perfil de autenticación en un servidor virtual de equilibrio de carga.
  5. Compruebe que los servidores virtuales estén UP y que estén configurados correctamente.

    show authentication vserver <name>
    

Para configurar un servidor virtual de autenticación mediante la interfaz gráfica de usuario

  1. Habilite la función de autenticación, autorización y auditoría.

    Vaya a Sistema > Configuración, haga clic en Configurar funciones básicas y habilite Autenticación, Autorización y Auditoría.

  2. Configure el servidor virtual de autenticación.

    Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtualesy configure según sea necesario.

  3. Configure el servidor virtual de administración de tráfico para la autenticación.

    • Para el equilibrio de carga:

      Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy configure el servidor virtual según sea necesario.

    • Para la conmutación de contenido:

      Vaya a Administración del tráfico > Cambio de contenido > Servidores virtualesy configure el servidor virtual según sea necesario.

    • Verifique la configuración de autenticación.

      Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y compruebe los detalles del servidor virtual de autenticación pertinente.

Configurar el servidor virtual de autenticación

Para configurar la autenticación, la autorización y la auditoría, primero configure un servidor virtual de autenticación para que gestione el tráfico de autenticación. A continuación, vincule un par de claves de certificado SSL al servidor virtual para que pueda manejar las conexiones SSL. Para obtener información adicional acerca de la configuración de SSL y la creación de un par de claves de certificado, consulte Certificados de SSL.

Configurar un servidor virtual de autenticación mediante la CLI

Para configurar un servidor virtual de autenticación y verificar la configuración, escriba en el símbolo del sistema los siguientes comandos en el mismo orden:

dd authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>

Ejemplo:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

Nota

El parámetro Authentication Domain está obsoleto. Utilice el perfil de autenticación para configurar cookies de todo el dominio.

Configurar un servidor virtual de autenticación mediante la GUI

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales.
  2. En el panel de detalles, realice una de las acciones siguientes:

    • Para crear un nuevo servidor virtual de autenticación, haga clic en Agregar.
    • Para modificar un servidor virtual de autenticación existente, seleccione el servidor virtual y, a continuación, haga clic en Modificar. Se abrirá el cuadro de diálogo Configuración con el área Configuración básica expandida.
  3. Especifique los valores para los parámetros de la siguiente manera (el asterisco indica un parámetro obligatorio):

    • Nombre*: Nombre (no se puede cambiar para un servidor virtual creado previamente)
    • Tipo de dirección IP*: tipo de dirección IP del servidor virtual de autenticación
    • Dirección IP*: Dirección IP del servidor virtual de autenticación
    • puerto*: Puerto TCP en el que el servidor virtual acepta conexiones.
    • Tiempo de espera de inicio de sesión fallido: FailedLoginTimeout (Se permiten segundos antes de que se produzca un error al iniciar sesión y el usuario debe iniciar el proceso de inicio de sesión
    • Máximo intento de inicio de sesión: MaxLoginAttempts (Número de intentos de inicio de sesión permitidos antes de que el usuario esté bloqueado)

    Nota:

    El servidor virtual de autenticación utiliza solo el protocolo SSL y el puerto 443, por lo que esas opciones aparecen atenuadas. Cualquier opción que no se menciona se puede ignorar.

  4. Haga clic en Continuar para mostrar el área Certificados.
  5. En el área Certificados, configure los certificados SSL que quiera utilizar con este servidor virtual.

    • Para configurar un certificado de CA, haga clic en la flecha situada a la derecha del certificado de CA para mostrar el cuadro de diálogo Clave de certificado de CA, seleccione el certificado que quiere vincular a este servidor virtual y haga clic en Guardar.
    • Para configurar un certificado de servidor, haga clic en la flecha situada a la derecha de Certificado de servidor y siga el mismo proceso que para el certificado de CA.
  6. Haga clic en Continuar para mostrar el área Directivas de autenticación avanzadas.
  7. Si quiere enlazar una directiva de autenticación avanzada al servidor virtual, haga clic en la flecha situada a la derecha de la línea para mostrar el cuadro de diálogo Directiva de autenticación, elija la directiva que quiere enlazar al servidor, establezca la prioridad y, a continuación, haga clic en Aceptar.
  8. Haga clic en Continuar para mostrar el área Directivas de autenticación básicas.
  9. Si quiere crear una directiva de autenticación básica y vincularla al servidor virtual, haga clic en el signo más para mostrar el cuadro de diálogo Directivas y siga las instrucciones para configurar la directiva y vincularla a este servidor virtual.
  10. Haga clic en Continuar para mostrar el área Servidores virtuales basados en 401.
  11. En el área Servidores virtuales basados en 401, configure los servidores virtuales de equilibrio de carga o conmutación de contenido que quiera vincular a este servidor virtual.

    • Para enlazar un servidor virtual de equilibrio de carga, haga clic en la flecha situada a la derecha del servidor virtual de equilibrio de carga para mostrar el cuadro de diálogo Servidores virtuales de equilibrio de carga y siga las indicaciones.
    • Para enlazar un servidor virtual de conmutación de contenido, haga clic en la flecha situada a la derecha del servidor virtual de conmutación de contenido para mostrar el cuadro de diálogo Servidores virtuales de conmutación de contenido y siga el mismo proceso que para enlazar un servidor virtual LB.
  12. Si quiere crear o configurar un grupo, en el área Grupos, haga clic en la flecha para mostrar el cuadro de diálogo Grupos y siga las indicaciones.
  13. Revise la configuración y, cuando haya terminado, haga clic en Listo. El cuadro de diálogo se cierra. Si ha creado un nuevo servidor virtual de autenticación, ahora aparece en la lista de la ventana Configuración.

Servidor virtual de administración de tráfico

Después de crear y configurar el servidor virtual de autenticación, cree o configure un servidor virtual de administración de tráfico y asocie el servidor virtual de autenticación con él. Puede utilizar un servidor virtual de equilibrio de carga o de conmutación de contenido para un servidor virtual de administración de tráfico. Para obtener más información acerca de la creación y configuración de cualquiera de los tipos de servidor virtual, consulte Citrix Traffic Management Guide en Administración del tráfico.

Nota:

El FQDN del servidor virtual de administración de tráfico debe estar en el mismo dominio que el FQDN del servidor virtual de autenticación para que la cookie de sesión de dominio funcione correctamente.

Para configurar un servidor virtual de administración de tráfico para la autenticación, autorización y auditoría, habilite la autenticación y, a continuación, asigne el FQDN del servidor de autenticación al servidor virtual de administración de tráfico. También puede configurar el dominio de autenticación en el servidor virtual de administración de tráfico actualmente. Si no configura esta opción, el dispositivo Citrix ADC asigna al servidor virtual de administración de tráfico un FQDN que consiste en el FQDN del servidor virtual de autenticación sin la parte del nombre de host. Por ejemplo, si el nombre de dominio del servidor virtual de autenticación es tm.xyz.bar.com, el dispositivo asigna xyz.bar.com como dominio de autenticación.

Para configurar un servidor virtual de administración de tráfico mediante la CLI

En el símbolo del sistema, escriba uno de los siguientes conjuntos de comandos:

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>

Ejemplo:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done

Para configurar un servidor virtual de administración de tráfico mediante la GUI

  1. En el panel de navegación, siga uno de estos procedimientos.

    • Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
    • Vaya a Administración del tráfico > Cambio de contenido > Servidores virtuales
    • En el panel de detalles, seleccione el servidor virtual en el que quiere habilitar la autenticación y, a continuación, haga clic en Modificar.
    • En el cuadro de texto Dominio, escriba el dominio de autenticación.
    • En el menú Avanzadas de la derecha, seleccione Autenticación.
    • Elija Autenticación basada en formularios o Autenticaciónbasada en 401 y rellene la información de autenticación.

      • Para Autenticación basada en formularios, introduzca el FQDN de autenticación (el nombre de dominio completo del servidor de autenticación), el servidor virtual de autenticación (la dirección IP del servidor virtual de autenticación) y el Perfil de autenticación (el perfil que se va a utilizar para la autenticación).
      • Para la autenticación basada en 401, introduzca solo el servidor virtual de autenticación y el perfil de autenticación.
    • Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que el servidor virtual se ha configurado correctamente.

Compatibilidad simplificada del protocolo de inicio de sesión para autenticación, autorización y auditoría

El protocolo de inicio de sesión entre los servidores virtuales de administración de tráfico de autenticación, autorización y auditoría y los servidores virtuales de autenticación, autorización y auditoría se simplifica para utilizar mecanismos internos en lugar de enviar los datos cifrados a través de parámetros de consulta. Con esta función, se evita la reproducción de solicitudes.

Configurar DNS

Para que la cookie de sesión de dominio utilizada en el proceso de autenticación funcione correctamente, debe configurar DNS para asignar tanto la autenticación como los servidores virtuales de administración de tráfico a los FQDN del mismo dominio. Para obtener información acerca de cómo configurar los registros de direcciones DNS, consulte Sistema de nombres de dominio.

Verificar servidor virtual de autenticación

Después de configurar servidores virtuales de autenticación y administración del tráfico y antes de crear cuentas de usuario, debe comprobar que ambos servidores virtuales están configurados correctamente y están en estado ACTIVO.

Configurar una autenticación NoAuth mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

show authentication vserver <name>

Ejemplo:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done

Configurar una autenticación NoAuth mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Citrix ADC AAA: Tráfico de aplicaciones > Servidores virtuales. Nota: Desde Citrix Gateway, vaya a Citrix Gateway > Servidores virtuales.
  2. Revise la información del panel Servidores virtuales AAA para comprobar que la configuración es correcta y que el servidor virtual de autenticación acepta tráfico. Puede seleccionar un servidor virtual específico para ver información detallada en el panel de detalles.