Citrix ADC

Cómo funciona la autenticación, la autorización y la auditoría

La autenticación, la autorización y la auditoría proporcionan seguridad para un entorno de Internet distribuido al permitir que cualquier cliente con las credenciales adecuadas se conecte de forma segura a servidores de aplicaciones protegidos desde cualquier lugar de Internet. Esta función incorpora las tres funciones de seguridad de autenticación, autorización y auditoría. La autenticación permite al Citrix ADC verificar las credenciales del cliente, ya sea localmente o con un servidor de autenticación de terceros, y permitir que solo los usuarios aprobados accedan a servidores protegidos. La autorización permite al ADC verificar el contenido de un servidor protegido al que permite acceder cada usuario. La auditoría permite al ADC mantener un registro de la actividad de cada usuario en un servidor protegido.

Para comprender cómo funciona la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:

  • Redirige al usuario a la página de inicio de sesión si el usuario accede a la intranet sin haber iniciado sesión.
  • Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio accesible a través de LDAP. Para obtener más información, consulte Determinar atributos en su directorio LDAP.

  • Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
  • Mantiene un tiempo de espera de sesión después del cual los usuarios deben autenticarse de nuevo para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
  • Registra los accesos de usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.

Configurar directivas de autorización y auditoría de autenticación

Después de configurar los usuarios y los grupos, configure las directivas de autenticación, las directivas de autorización y las directivas de auditoría para definir qué usuarios tienen permiso para acceder a la intranet, a qué recursos puede acceder a cada usuario o grupo y a qué nivel de detalle autenticación, autorización y auditoría conservará en los registros de auditoría. Una directiva de autenticación define el tipo de autenticación que se debe aplicar cuando un usuario intenta iniciar sesión. Si se utiliza la autenticación externa, la directiva también especifica el servidor de autenticación externo. Las directivas de autorización especifican los recursos de red a los que los usuarios y grupos pueden acceder después de iniciar sesión. Las directivas de auditoría definen el tipo de registro de auditoría y la ubicación.

Debe vincular cada directiva para ponerla en vigor. Las directivas de autenticación se vinculan a servidores virtuales de autenticación, directivas de autorización a una o más cuentas de usuario o grupos y directivas de auditoría tanto globalmente como a una o más cuentas de usuario o grupos.

Cuando vincula una directiva, le asigna una prioridad. La prioridad determina el orden en que se evalúan las directivas definidas. Puede establecer la prioridad en cualquier entero positivo. En el sistema operativo Citrix ADC, las prioridades de directivas funcionan en orden inverso: Cuanto mayor sea el número, menor será la prioridad. Por ejemplo, si tiene tres directivas con prioridades de 10, 100 y 1000, la directiva asignada una prioridad de 10 se ejecuta primero, la directiva asignada una prioridad de 100 y, finalmente, la directiva asignada un orden de 1000. La función de autenticación, autorización y auditoría implementa solo la primera de cada tipo de directiva que coincide con una solicitud, no las directivas adicionales de ese tipo que una solicitud también pueda coincidir, por lo que la prioridad de directiva es importante para obtener los resultados que pretende.

Puede dejar mucho espacio para agregar otras directivas en cualquier orden y configurarlas para que se evalúen en el orden que quiera, estableciendo prioridades con intervalos de 50 o 100 entre cada directiva cuando las vincule. A continuación, puede agregar directivas adicionales en cualquier momento sin tener que reasignar la prioridad de una directiva existente.

Para obtener información adicional acerca de las directivas de enlace en el dispositivo Citrix ADC, consulte Documentación del producto Citrix ADC.

Configurar la directiva No_Auth para omitir cierto tráfico

Ahora puede configurar la directiva No_Auth para omitir cierto tráfico de la autenticación cuando la autenticación basada en 401 está habilitada en el servidor virtual de administración de tráfico. Para este tráfico, debe enlazar una directiva de “No_Auth”.

Para configurar la directiva No_Auth para omitir cierto tráfico mediante la CLI

En el símbolo del sistema, escriba:

add authentication policy <name> -rule <expression> -action <string>

Ejemplo:

add authentication policy ldap -rule ldapAct1 -action No_Auth
Cómo funciona la autenticación, la autorización y la auditoría