Citrix ADC

Servidor virtual de autenticación

El servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido) redirige todas las solicitudes de autenticación al servidor virtual de autenticación. Este servidor virtual procesa las directivas de autenticación asociadas y, en consecuencia, proporciona acceso a la aplicación.

Nota: No se pueden vincular las directivas de administración del tráfico a servidores virtuales de autenticación, autorización y auditoría.

Configurar servidor virtual de autenticación

Los pasos necesarios para configurar un servidor virtual de autenticación son:

  1. Habilite la función de autenticación, autorización y auditoría.

    enable ns feature AAA
    <!--NeedCopy-->
    
  2. Configure un servidor virtual de autenticación. Debe ser de tipo SSL y asegúrese de vincular el par de claves de certificado SSL al servidor virtual.

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    <!--NeedCopy-->
    
  3. Especifique el FQDN del dominio del servidor virtual de autenticación.

    set authentication vserver <name> -authenticationDomain <FQDN>
    <!--NeedCopy-->
    
  4. Asocie el servidor virtual de autenticación al servidor virtual de administración de tráfico correspondiente.

    Puntos a tener en cuenta:

    • El FQDN del servidor virtual de administración de tráfico debe estar en el mismo dominio que el FQDN del servidor virtual de autenticación para que la cookie de sesión de dominio funcione correctamente. En el servidor virtual de administración del tráfico:
      • Habilite la autenticación.
      • Especifique el FQDN del servidor virtual de autenticación como host de autenticación del servidor virtual de administración de tráfico.
      • [Opcional] Especifique el dominio de autenticación en el servidor virtual de administración del tráfico.
      • Si no configura el dominio de autenticación, el dispositivo asigna un FQDN que consiste en el FQDN del servidor virtual de autenticación sin la parte del nombre de host. Por ejemplo, si el nombre de dominio del servidor virtual de autenticación es tm.xyz.bar.com, el dispositivo asigna xyz.bar.com como dominio de autenticación.
        • Para equilibrio de carga:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
         <!--NeedCopy-->
        
        • Para el cambio de contenido:
         set cs vserver <name> <protocol> <IPAddress> <port>
         <!--NeedCopy-->
        
    • Si tiene que configurar una cookie de todo el dominio para un dominio de autenticación, debe habilitar el perfil de autenticación en un servidor virtual de equilibrio de carga.
  5. Compruebe que ambos servidores virtuales estén activos y estén configurados correctamente.

    show authentication vserver <name>
    <!--NeedCopy-->
    

Para configurar un servidor virtual de autenticación mediante la interfaz gráfica de usuario

  1. Habilite la función de autenticación, autorización y auditoría.

    Vaya a Sistema > Configuración, haga clic en Configurar funciones básicasy habilite Autenticación, autorización y auditoría.

  2. Configure el servidor virtual de autenticación.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy configúrelos según sea necesario.

  3. Configure el servidor virtual de administración de tráfico para la autenticación.

    • Para equilibrio de carga:

      Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy configure el servidor virtual según sea necesario.

    • Para el cambio de contenido:

      Vaya a Administración del tráfico > Cambio de contenido > Servidores virtualesy configure el servidor virtual según sea necesario.

    • Compruebe la configuración de autenticación.

      Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy compruebe los detalles del servidor virtual de autenticación correspondiente.

Configurar el servidor virtual de autenticación

Para configurar la autenticación, autorización y auditoría, primero configure un servidor virtual de autenticación para gestionar el tráfico de autenticación. A continuación, vincule un par de claves de certificado SSL al servidor virtual para que pueda manejar las conexiones SSL. Para obtener información adicional sobre la configuración de SSL y la creación de un par de claves de certificado, consulte Certificados SSL.

Configurar un servidor virtual de autenticación mediante la CLI

Para configurar un servidor virtual de autenticación y verificar la configuración, en el símbolo del sistema escriba los siguientes comandos en el mismo orden:

add authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

Ejemplo:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

set authentication vserver Auth-Vserver-2

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

Nota

El parámetro Dominio de autenticación está obsoleto. Utilice el perfil de autenticación para configurar cookies de todo el dominio.

Configurar un servidor virtual de autenticación mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
  2. En el panel de detalles, realice una de las acciones siguientes:

    • Para crear un nuevo servidor virtual de autenticación, haga clic en Agregar.
    • Para modificar un servidor virtual de autenticación existente, seleccione el servidor virtual y, a continuación, haga clic en Modificar. El cuadro de diálogo Configuración se abre con el área Configuración básica expandida.
  3. Especifique los valores de los parámetros de la siguiente manera (el asterisco indica un parámetro obligatorio):

    • nombre*: nombre (no se puede cambiar para un servidor virtual creado anteriormente)
    • Tipo de dirección IP*: tipo de dirección IP del servidor virtual de autenticación
    • Dirección IP*: dirección IP del servidor virtual de autenticación
    • puerto*: puerto TCP en el que el servidor virtual acepta conexiones.
    • Tiempo de espera de inicio de sesión fallido: failedLoginTimeout (se permiten segundos antes de que se produzca un error en el inicio de sesión y el usuario debe volver a iniciar el proceso de inicio
    • Número máximo de intentos de inicio de sesión: MaxLoginAttentes (número de intentos de inicio de sesión permitidos antes de bloquear al usuario)

    Nota:

    El servidor virtual de autenticación utiliza solo el protocolo SSL y el puerto 443, por lo que estas opciones aparecen atenuadas. Cualquier opción que no se mencione se puede ignorar.

  4. Haga clic en Continuar para mostrar el área Certificados.
  5. En el área Certificados, configure los certificados SSL que quiera utilizar con este servidor virtual.

    • Para configurar un certificado de CA, haga clic en la flecha situada a la derecha de Certificado de CA para mostrar el cuadro de diálogo Clave de certificado de CA, seleccione el certificado que quiere vincular a este servidor virtual y haga clic en Guardar.
    • Para configurar un certificado de servidor, haga clic en la flecha situada a la derecha de Certificado de servidor y siga el mismo proceso que para el certificado de CA.
  6. Haga clic en Continuar para mostrar el área Directivas de autenticación avanzada .
  7. Si quiere enlazar una directiva de autenticación avanzada al servidor virtual, haga clic en la flecha situada a la derecha de la línea para mostrar el cuadro de diálogo Directiva de autenticación, elija la directiva que quiere enlazar al servidor, establezca la prioridad y, a continuación, haga clic en Aceptar.
  8. Haga clic en Continuar para mostrar el área Directivas de autenticación básica .
  9. Si quiere crear una directiva de autenticación básica y vincularla al servidor virtual, haga clic en el signo más para mostrar el cuadro de diálogo Directivas y siga las instrucciones para configurar la directiva y vincularla a este servidor virtual.
  10. Haga clic en Continuar para mostrar el área Servidores virtuales basados en 401.
  11. En el área Servidores virtuales basados en 401, configure los servidores virtuales de equilibrio de carga o conmutación de contenido que quiera enlazar a este servidor virtual.

    • Para enlazar un servidor virtual de equilibrio de carga, haga clic en la flecha situada a la derecha del servidor virtual de equilibrio de carga para mostrar el cuadro de diálogo Servidores virtuales de equilibrio de carga y siga las instrucciones.
    • Para enlazar un servidor virtual de conmutación de contenido, haga clic en la flecha situada a la derecha del servidor virtual de conmutación de contenido para mostrar el cuadro de diálogo Servidores virtuales de conmutación de contenido y siga el mismo proceso que para enlazar un servidor virtual LB.
  12. Si quiere crear o configurar un grupo, en el área Grupos, haga clic en la flecha para mostrar el cuadro de diálogo Grupos y siga las instrucciones.
  13. Revisa su configuración y, cuando hayas terminado, haga clic en Listo. El cuadro de diálogo se cierra. Si ha creado un nuevo servidor virtual de autenticación, ahora aparece en la lista de la ventana Configuración .

Servidor virtual de administración del tráfico

Después de crear y configurar el servidor virtual de autenticación, debe crear o configurar un servidor virtual de administración de tráfico y asociar el servidor virtual de autenticación con él. Puede utilizar un servidor virtual de equilibrio de carga o de conmutación de contenido para un servidor virtual de administración de tráfico. Para obtener más información sobre cómo crear y configurar cualquiera de los tipos de servidor virtual, consulte la Guía de administración de tráfico de Citrix Traffic Management en Traffic Management.

Nota:

El FQDN del servidor virtual de administración de tráfico debe estar en el mismo dominio que el FQDN del servidor virtual de autenticación para que la cookie de sesión de dominio funcione correctamente.

Para configurar un servidor virtual de administración de tráfico para la autenticación, autorización y auditoría, habilite la autenticación y, a continuación, asigne el FQDN del servidor de autenticación al servidor virtual de administración de tráfico. También puede configurar el dominio de autenticación en el servidor virtual de administración de tráfico actualmente. Si no configura esta opción, el dispositivo Citrix ADC asigna al servidor virtual de administración de tráfico un FQDN que consiste en el FQDN del servidor virtual de autenticación sin la parte del nombre de host. Por ejemplo, si el nombre de dominio del servidor virtual de autenticación es tm.xyz.bar.com, el dispositivo asigna xyz.bar.com. como dominio de autenticación.

Para configurar un servidor virtual de administración del tráfico mediante la CLI

En el símbolo del sistema, escriba uno de los siguientes conjuntos de comandos:

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

Ejemplo:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

Para configurar un servidor virtual de administración del tráfico mediante la interfaz gráfica de usuario

  1. En el panel de navegación, realice una de las acciones siguientes.

    • Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
    • Vaya a Administración del tráfico > Conmutación de contenido > Servidores virtuales
    • En el panel de detalles, seleccione el servidor virtual en el que quiere habilitar la autenticación y, a continuación, haga clic en Modificar.
    • En el cuadro de texto Dominio, escriba el dominio de autenticación.
    • En el menú Avanzado de la derecha, seleccione Autenticación.
    • Elija Autenticación basada en formularios o Autenticación basada en 401y rellene la información de autenticación.

      • En Autenticación basada en formularios, introduzca el FQDN de autenticación (el nombre de dominio completo del servidor de autenticación), el servidor virtual de autenticación (la dirección IP del servidor virtual de autenticación) y el perfil de autenticación (el perfil que se utilizará para la autenticación).
      • Para Autenticación basada en 401, introduzca únicamente el servidor virtual de autenticación y el perfil de autenticación.
    • Haga clic en OK. Aparece un mensaje en la barra de estado que indica que el servidor virtual se ha configurado correctamente.

Compatibilidad con protocolos de inicio de sesión simplificados para autenticación, autorización y auditoría

El protocolo de inicio de sesión entre los servidores virtuales de autenticación, autorización y auditoría de administración del tráfico y los servidores virtuales de autenticación, autorización y auditoría se simplifica para utilizar mecanismos internos en lugar de enviar los datos cifrados a través de parámetros de consulta. Con esta función, se impide la repetición de solicitudes.

Configurar DNS

Para que la cookie de sesión de dominio utilizada en el proceso de autenticación funcione correctamente, debe configurar DNS para asignar tanto la autenticación como los servidores virtuales de administración de tráfico a los FQDN del mismo dominio. Para obtener información sobre cómo configurar los registros de direcciones DNS, consulte Sistema de nombres de dominio.

Verificar servidor virtual de autenticación

Después de configurar los servidores virtuales de autenticación y administración del tráfico y antes de crear cuentas de usuario, debe comprobar que ambos servidores virtuales están configurados correctamente y que están en estado UP.

Configurar una autenticación NoAuth mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

show authentication vserver <name>
<!--NeedCopy-->

Ejemplo:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

Configurar una autenticación NoAuth mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Citrix ADC AAA - Tráfico de aplicaciones > Servidores virtuales. Nota: En Citrix Gateway, vaya a Citrix Gateway > Servidores virtuales.
  2. Revise la información del panel Servidores virtuales AAA para comprobar que la configuración es correcta y que el servidor virtual de autenticación acepta tráfico. Puede seleccionar un servidor virtual específico para ver información detallada en el panel de detalles.