Citrix ADC

Habilitar el inicio de sesión único para autenticación básica, resumen y NTLM

Desde Citrix ADC, versión 13.0, compilación 64.35 y superior, los siguientes tipos de SSO están inhabilitados globalmente.

  • Autentificación básica
  • Autenticación de acceso de resumen
  • NTLM sin negociar la clave NTLM2 o signo de negociación

La configuración de inicio de sesión único (SSO) en Citrix ADC y Citrix Gateway se puede habilitar a nivel global y también por nivel de tráfico. De forma predeterminada, la configuración de SSO está desactivada y un administrador puede habilitar el SSO por tráfico o globalmente. Desde el punto de vista de la seguridad, Citrix recomienda a los administradores que desactiven el SSO globalmente y habiliten por tráfico. Esta mejora tiene por objeto hacer que la configuración de SSO sea más segura mediante la inhabilitación de cierto tipo de métodos de SSO globalmente.

La configuración de SSO de StoreFront se ve afectada (inhabilitada) solo para 13.0 compilación 64.35. La configuración no se verá afectada en las futuras compilaciones 13.0.

Tipos de SSO no afectados

Los siguientes tipos de SSO no se ven afectados con esta mejora.

  • Autenticación Kerberos
  • Autenticación SAML
  • Autenticación basada en formularios
  • Autenticación al portador de OAuth
  • NTLM con Negotiate NTLM2 Clave o Signo de Negociación

Configuraciones de SSO afectadas

A continuación se presentan las configuraciones de SSO afectadas (inhabilitadas).

Configuraciones globales

establecer tmsessionparam -SSO ON
establecer vpnparameter -SSO ON
agregar tmsessionaction tm_act -SSO ON
agregar sesión vpn tm_act -SSO ON

Puede activar/inhabilitar SSO como un todo y no puede modificar tipos de SSO individuales.

Medidas de seguridad que deben aplicarse

Como parte de las medidas de seguridad, los tipos de SSO sensibles a la seguridad están inhabilitados en la configuración global, pero solo se permiten mediante una configuración de acción de tráfico. Por lo tanto, si un servidor back-end espera Basic, Digest o NTLM sin Negotiate NTLM2 Key o Negotiate Sign, el administrador solo puede permitir el inicio de sesión único mediante la siguiente configuración.

Acción de Tráfico

agregar vpn trafficaction tf_act  http -SSO ON
agregar tm trafficaction tf_act -SSO ON

Directiva de tráfico

agregar tm trafficpolicy <name> <rule> tf_act
agregar vpn trafficpolicy <name> <rule> tf-act

El administrador debe tener configurada una regla adecuada para la directiva de tráfico para asegurarse de que el SSO esté habilitado solo para el servidor back-end de confianza.

AAA-TM

Casos basados en la configuración global:

establecer tmsessionparam -SSO ON

Solución:

agregar tm trafficaction tf_act -SSO ON
agregar tm trafficpolicy tf_pol true tf_act

Enlazar la siguiente directiva de tráfico a todos los servidores virtuales LB donde se espera el SSO:

enlace lb vserver <LB VS Name> -policy tf_pol -priority 65345

Casos basados en la configuración de directiva de sesión:

agregar tmsessionaction tm_act -SSO ON
agregar directiva tmsession <name> <rule> tm_act
agregar tm trafficaction tf_act -SSO ON
agregar tm trafficpolicy tf_pol <same rule as session Policy> tf_act

Puntos de nota:

  • El usuario/grupo AAA de Citrix ADC para la directiva de sesión anterior debe reemplazarse por una directiva de tráfico.
  • Enlazar la siguiente directiva a los servidores virtuales de equilibrio de carga para la directiva de sesión anterior, bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
  • Si se configura una directiva de tráfico con otra prioridad, el comando anterior no funciona correctamente.

La siguiente sección trata de casos basados en conflictos con varias directivas de tráfico asociadas a un tráfico:

Para un tráfico de TM concreto, solo se aplica una directiva de tráfico de TM. Debido a la configuración global de los cambios en las funciones de SSO, la aplicación de una directiva de tráfico de TM adicional con baja prioridad podría no ser aplicable en caso de que ya se haya aplicado una directiva de tráfico de TM con alta prioridad (que no tenga la configuración de SSO necesaria). En la siguiente sección se describe el método para asegurarse de que tales casos se manejan.

Tenga en cuenta que las tres directivas de tráfico siguientes con mayor prioridad se aplican al servidor virtual de equilibrio de carga (LB):

agregar tm trafficaction tf_act1 <Addition config>
agregar tm trafficaction tf_act2 <Addition config>
agregar tm trafficaction tf_act3 <Addition config>

agregar tm trafficpolicy tf_pol1 <rule1> tf_act1
agregar tm trafficpolicy tf_pol2 <rule2> tf_act2
agregar tm trafficpolicy tf_pol3 <rule3> tf_act3

enlace lb vserver <LB VS Name> -policy tf_pol1 -priority 100
enlace lb vserver <LB VS Name> -policy tf_pol2 -priority 200
enlace lb vserver <LB VS Name> -policy tf_pol3 -priority 300

Método propenso a errores: para resolver la configuración de SSO global, agregue la siguiente configuración:

add tm trafficaction tf_act_default -SSO ON
agregar tm trafficpolicy tf_pol_default true tf_act_default

enlace lb vserver <LB VS Name> -policy tf_pol_default -priority 65345

Nota: La modificación anterior puede interrumpir el SSO para el tráfico que golpea <tf_pol1/tf_pol2/tf_pol3> como para este tráfico, no <tf_pol_default> se aplica la directiva de tráfico.

Método correcto: para mitigar esto, la propiedad SSO debe aplicarse individualmente para cada una de las acciones de tráfico correspondientes:

Por ejemplo, en el caso anterior, para que se produzca el SSO para el tráfico que golpea tf_pol1/tf_pol3, se debe aplicar la siguiente configuración junto con <tf_pol_default>.

add tm trafficaction tf_act1 \<Addition config> -SSO ON
agregar tm trafficaction tf_act3 \<Addition config> -SSO ON

Casos de Citrix Gateway

Casos basados en la configuración global:

establecer vpnparameter -SSO ON

Solución:

agregar VPN trafficaction vpn_tf_act http  -SSO ON
agregar vpn trafficpolicy vpn_tf_pol  verdadero vpn_tf_act

Enlazar la siguiente directiva de tráfico a todos los servidores virtuales VPN donde se espera el SSO:

enlazar vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345

Casos basados en la configuración de directiva de sesión:

agregar VPN sesión vpn_sess_act -SSO ON
agregar directiva vpnsession \<name> \<rule> vpn_sess_act

Puntos a tener en cuenta:

  • El usuario/grupo AAA de Citrix ADC para la directiva de sesión anterior debe reemplazarse por una directiva de tráfico.

  • Enlazar la siguiente directiva a los servidores virtuales LB para la directiva de sesión anterior, bind lb virtual server [LB VS Name] -policy tf_pol -priority 65345.

  • Si se configura una directiva de tráfico con otra prioridad, el comando anterior no funciona correctamente. En la siguiente sección se tratan los casos basados en conflictos con varias directivas de tráfico asociadas al tráfico.

Casos funcionales basados en conflictos con varias directivas de tráfico asociadas a un tráfico:

Para un tráfico determinado de Citrix Gateway, solo se aplica una directiva de tráfico VPN. Debido a la configuración global de los cambios en las funciones de SSO, es posible que no se aplique una directiva de tráfico VPN adicional con baja prioridad si hay otras directivas de tráfico VPN con alta prioridad que no tienen una configuración de SSO necesaria.

En la siguiente sección se describe el método para asegurarse de que se manejan estos casos:

Tenga en cuenta que hay tres directivas de tráfico con mayor prioridad aplicadas a un servidor virtual VPN:

agregar VPN trafficaction tf_act1 \<Addition config>
agregar VPN trafficaction tf_act2 \<Addition config>
agregar VPN trafficaction tf_act3 \<Addition config>

agregar VPN trafficpolicy tf_pol1 \<rule1> tf_act1
agregar VPN trafficpolicy tf_pol2 \<rule2> tf_act2
agregar VPN trafficpolicy tf_pol3 \<rule3> tf_act3

bind vpn vserver \<VPN VS Name> -policy tf_pol1 -priority 100
bind vpn vserver \<VPN VS Name> -policy tf_pol2 -priority 200
bind vpn vserver \<VPN VS Name> -policy tf_pol3 -priority 300

Método propenso a errores: para resolver la configuración de SSO global, agregue la siguiente configuración:

agregar vpn trafficaction tf_act_default -SSO ON
agregar vpn trafficpolicy tf_pol_default true tf_act_default

bind vpn vserver <VPN VS Name> -policy tf_pol_default -priority 65345

Nota: La modificación anterior puede interrumpir el SSO para el tráfico que golpea <tf_pol1/tf_pol2/tf_pol3> como para este tráfico, no <tf_pol_default> se aplica la directiva de tráfico.

Método correcto: Para mitigar esto, la propiedad SSO debe aplicarse individualmente para cada una de las acciones de tráfico correspondientes.

Por ejemplo, en el caso anterior, para que el SSO ocurra para el tráfico que llega a tf_pol1/tf_pol3, se debe aplicar la siguiente configuración junto con <tf_pol_default>.

add vpn trafficaction tf_act1 [Configuración adicional] -SSO ON

add vpn trafficaction tf_act3 [Configuración adicional] -SSO ON

Configurar el inicio de inicio de usuario mediante GUI

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Sesión, seleccione la ficha Perfiles de sesión y haga clic en Agregar.

    acción de sesión tm

  2. Escriba un nombre para el perfil de sesión, haga clic en la casilla de verificación Anular global junto al campo Inicio de sesión único en aplicaciones web y haga clic en Crear.

    acción de sesión tm

  3. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Sesión, seleccione Directivas de sesión ficha y haga clic en Agregar.

    acción de sesión tm

  4. Escriba un nombre para la directiva de sesión, escriba “True” en el campo Expresión y haga clic en Crear.

    acción de sesión tm

  5. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Tráfico, seleccione la ficha Perfiles de tráfico y haga clic en Agregar.

    acción de sesión tm

  6. Introduzca un nombre para el perfil de tráfico, seleccione ON en el menú desplegable Single Sign-on y haga clic en Crear.

    acción de sesión tm

  7. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Tráfico, seleccione la ficha Directivas de tráfico y haga clic en Agregar.

    acción de sesión tm

  8. Escriba un nombre para la directiva de tráfico, escriba “True” en el campo Expresión y haga clic en Crear.

    acción de sesión tm

  9. Vaya a Citrix Gateway > Configuración globaly haga clic en Cambiar configuración global.

    acción de sesión tm

  10. en la página Configuración global de Citrix Gateway, seleccione la ficha Experiencia del cliente y marque el campo Inicio de sesión único en aplicaciones web.

    acción de sesión tm

  11. Vaya a Citrix Gateway > Directivas> Sesión, seleccione Perfiles de sesión y haga clic en Agregar.

    acción de sesión tm

  12. En la página Crear perfil de sesión de Citrix Gateway, seleccione la ficha Experiencia del cliente y marque el campo Inicio de sesión único en aplicaciones web.

    acción de sesión tm

  13. Vaya a Citrix Gateway > Directivas > Tráfico, seleccione la ficha Perfiles de tráfico y haga clic en Agregar.

    acción de sesión tm

  14. Introduzca un nombre para el perfil de tráfico, seleccione ON en el menú desplegable Single Sign-on y haga clic en Crear.

    acción de sesión tm

  15. Vaya a Citrix Gateway > Directivas > Tráfico, seleccione la ficha Directivas de tráfico y haga clic en Agregar.

    acción de sesión tm

  16. En la página Crear directiva de tráfico de Citrix Gateway, escriba el nombre de la directiva de tráfico, escriba “True” en el campo Expresión y haga clic en Crear.

    acción de sesión tm

Habilitar el inicio de sesión único para autenticación básica, resumen y NTLM