Configuración de SSO

Configurar Citrix ADC SSO para que se autentique mediante suplantación es más simple que configurar SSO para autenticar por delegación y, por lo tanto, es preferible cuando la configuración lo permite. Usted crea una cuenta KCD. Puede usar la contraseña del usuario.

Si no tiene la contraseña del usuario, puede configurar Citrix ADC SSO para que se autentique por delegación. Aunque es más complejo que configurar el inicio de sesión único para autenticarse mediante suplantación, el método de delegación proporciona flexibilidad en cuanto a que las credenciales de un usuario pueden no estar disponibles para el dispositivo Citrix ADC en todas las circunstancias.

Para suplantación o delegación, también debe habilitar la autenticación integrada en el servidor de aplicaciones web.

Habilitar la autenticación integrada en el servidor de aplicaciones web

Para configurar el SSO de Citrix ADC Kerberos en cada servidor de aplicaciones web administrado por Kerberos SSO, utilice la interfaz de configuración de ese servidor para configurar el servidor para que requiera autenticación. Seleccione Autenticación Kerberos (negociar) por preferencia, la cual recurre a NTLM para clientes que no admiten Kerberos.

Las siguientes son las instrucciones para configurar Microsoft Internet Information Server (IIS) para que requiera autenticación. Si el servidor de aplicaciones web utiliza software distinto de IIS, consulte la documentación de ese software de servidor web para obtener instrucciones.

Para configurar Microsoft IIS para utilizar la autenticación integrada

1. Inicie sesión en el servidor IIS y abra el Administrador de servicios de Internet Information Server.
2. Seleccione el sitio web para el que quiere habilitar la autenticación integrada. Para habilitar la autenticación integrada para todos los servidores web de IIS administrados por IISM, configure las opciones de autenticación para el sitio web predeterminado. Para habilitar la autenticación integrada para servicios individuales (como Exchange, Exadmin, ExchWeb y Public), configure estas opciones de autenticación para cada servicio individualmente.
3. Abra el cuadro de diálogo Propiedades para el sitio web predeterminado o para el servicio individual y haga clic en la ficha Seguridad de directorio.
4. Junto a Autenticación y Control de acceso, seleccione Modificar.
5. Inhabilite el acceso anónimo.
6. Habilite la autenticación integrada de Windows (solo). Habilitar la autenticación integrada de Windows debe establecer automáticamente la negociación de protocolos para el servidor web en Negotiate, NTLM, que especifica la autenticación Kerberos con NTLM como reserva para dispositivos que no son compatibles con Kerberos. Si esta opción no se selecciona automáticamente, configure manualmente la negociación de protocolo en Negotiate, NTLM.

Configurar SSO mediante suplantación

Puede configurar la cuenta KCD para Citrix ADC SSO mediante suplantación. En esta configuración, el dispositivo Citrix ADC obtiene el nombre de usuario y la contraseña del usuario cuando el usuario se autentica en el servidor de autenticación y utiliza esas credenciales para suplantar al usuario y obtener un vale de concesión de tíquets (TGT). Si el nombre del usuario está en formato UPN, el dispositivo obtiene el dominio del usuario del UPN. De lo contrario, obtiene el nombre y el dominio del usuario extrayéndolo del dominio SSO utilizado durante la autenticación inicial o del perfil de sesión.

Nota

No puede agregar un nombre de usuario con dominio si el nombre de usuario ya se ha agregado sin dominio. Si el nombre de usuario con dominio se agrega primero seguido del mismo nombre de usuario sin dominio, el dispositivo Citrix ADC agrega el nombre de usuario a la lista de usuarios.

Al configurar la cuenta de KCD, debe establecer el parámetro de dominio en el dominio del servicio al que el usuario está accediendo. El mismo dominio también se utiliza como dominio del usuario si el dominio del usuario no se puede obtener de la autenticación con el dispositivo Citrix ADC o desde el perfil de sesión.

Para crear la cuenta KCD para SSO suplantando una contraseña

En el símbolo del sistema, escriba el siguiente comando:

add aaa kcdaccount <accountname> -realmStr <realm>

Para las variables, sustituya los siguientes valores:

• nombre de cuenta. El nombre de la cuenta KCD.
• dominio. El dominio asignado al SSO de Citrix ADC.

Ejemplo

Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba el siguiente comando:

add aaa kcdAccount kcdaccount1 -keytab kcdvserver.keytab

Para obtener información sobre cómo configurar la suplantación de Kerberos a través de la GUI de Citrix ADC, consulte Citrix Support.

Configurar SSO por delegación

Para configurar SSO por delegación, debe realizar las siguientes tareas:

• Si está configurando la delegación por certificado de usuario delegado, instale los certificados de CA coincidentes en el dispositivo Citrix ADC y agréguelos a la configuración de Citrix ADC.
• Cree la cuenta de KCD en el dispositivo. El dispositivo utiliza esta cuenta para obtener tíquets de servicio para las aplicaciones protegidas.
• Configure el servidor de Active Directory.

Nota

Para obtener más información sobre cómo crear una cuenta KCD y configurar en el dispositivo NetScaler, consulte los siguientes temas:

• Gestión de la autenticación, autorización y auditoría con Kerberos/NTLM

• Cómo Citrix ADC implementa Kerberos para la autenticación de clientes

• Configuración de la autenticación kerberos en el dispositivo Citrix ADC

Instalación del certificado de CA de cliente en el dispositivo Citrix ADC

Si está configurando Citrix ADC SSO con un certificado de cliente, debe copiar el certificado de CA coincidente para el dominio de certificado de cliente (el certificado de CA de cliente) en el dispositivo Citrix ADC y, a continuación, instalar el certificado de CA. Para copiar el certificado de CA cliente, utilice el programa de transferencia de archivos que elija para transferir el certificado y el archivo de clave privada al dispositivo Citrix ADC y almacene los archivos en /nsconfig/ssl.

Para instalar el certificado de CA cliente en el dispositivo Citrix ADC

En el símbolo del sistema, escriba el siguiente comando:

add ssl certKey <certkeyName> -cert <cert> [(-key <key> [-password]) | -fipsKey <fipsKey>][-inform ( DER | PEM )][-expiryMonitor ( ENABLED | DISABLED | UNSET ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

Para las variables, sustituya los siguientes valores:

• CertKeyName. Un nombre para el certificado de CA del cliente. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe constar de uno a treinta y un caracteres. Los caracteres permitidos incluyen los caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), at (@), igual (=) y guión (-). No se puede cambiar después de crear el par de claves de certificado. Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi certificado” o “mi certificado”).
• certificado. Nombre de ruta completa y nombre de archivo del archivo de certificado X509 utilizado para formar el par de claves de certificado. El archivo de certificado debe almacenarse en el dispositivo Citrix ADC, en el directorio /nsconfig/ssl/.
• clave. Nombre de ruta completa y nombre de archivo del archivo que contiene la clave privada del archivo de certificado X509. El archivo de clave debe almacenarse en el dispositivo Citrix ADC en el directorio /nsconfig/ssl/.
• contraseña. Si se especifica una clave privada, la frase de contraseña utilizada para cifrar la clave privada. Utilice esta opción para cargar claves privadas cifradas en formato PEM.
• FIPSKey. Nombre de la clave FIPS creada dentro del módulo de seguridad de hardware (HSM) de un dispositivo FIPS, o una clave importada en el HSM.

  Nota

  Puede especificar una clave o una FIPSKey, pero no ambas.

• informar. Formato del certificado y los archivos de clave privada, ya sea PEM o DER.
• La llanura de paso. Frase de paso utilizada para cifrar la clave privada. Necesario al agregar una clave privada cifrada en formato PEM.
• ExpiryMonitor. Configure el dispositivo Citrix ADC para que emita una alerta cuando el certificado esté a punto de caducar. Valores posibles: ENABLED, DISABLED, UNSET.
• Periodo de notificación. Si ExpiryMonitor está habilitado, número de días antes de que caduque el certificado para emitir una alerta.
• paquete. Analice la cadena de certificados como un único archivo después de vincular el certificado de servidor al certificado de su emisor dentro del archivo. Valores posibles: SÍ, NO.

Ejemplo

En el ejemplo siguiente se agrega el certificado de usuario delegado especificado customer-cert.pem a la configuración de Citrix ADC junto con la clave customer-key.pem, y se establece la contraseña, el formato del certificado, el monitor de caducidad y el período de notificación.

Para agregar el certificado de usuario delegado, escriba los siguientes comandos:

add ssl certKey customer -cert "/nsconfig/ssl/customer-cert.pem"
-key "/nsconfig/ssl/customer-key.pem" -password "dontUseDefaultPWs!"
-inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]

Creación de la cuenta KCD

Si configura Citrix ADC SSO por delegación, puede configurar la cuenta KCD para que utilice el nombre de inicio de sesión y la contraseña del usuario, para que utilice el nombre de inicio de sesión y la ficha clave del usuario, o para que utilice el certificado de cliente del usuario. Si configura SSO con nombre de usuario y contraseña, el dispositivo Citrix ADC utiliza la cuenta de usuario delegada para obtener un Tíquet de concesión de tíquets (TGT) y, a continuación, utiliza el TGT para obtener tíquets de servicio para los servicios específicos que solicita cada usuario. Si configura SSO con el archivo keytab, el dispositivo Citrix ADC utiliza la información de la cuenta de usuario delegada y la ficha keytab. Si configura SSO con un certificado de usuario delegado, el dispositivo Citrix ADC utiliza el certificado de usuario delegado.

Para crear la cuenta KCD para SSO por delegación con una contraseña

En el símbolo del sistema, escriba los siguientes comandos:

add aaa kcdAccount <kcdAccount> {-keytab <string>} {-realmStr <string>} {-delegatedUser <string>} {-kcdPassword } {-usercert <string>} {-cacert <string>} [-userRealm <string>]
[-enterpriseRealm <string>] [-serviceSPN <string>]

Para las variables, sustituya los siguientes valores:

• KCDAccount - Un nombre para la cuenta KCD. Este es un argumento obligatorio. Longitud máxima: 31
• keytab - Ruta de acceso al archivo keytab. Si se especifican otros parámetros en este comando no necesitan ser dados. Longitud máxima: 127
• RealmStr - El reino de Kerberos. Longitud máxima: 255
• DelegatedUser - Nombre de usuario que puede realizar la delegación restringida kerberos. Longitud máxima: 255
• KCDPassword - Contraseña para usuario delegado. Longitud máxima: 31

• usercert - Cert SSL (incluida la clave privada) para usuario delegado. Longitud máxima: 255

• cacert - Cert CA para UserCert o al hacer backchannel PKINIT. Longitud máxima: 255

• UserRealm - Dominio del usuario. Longitud máxima: 255

• EnterpriseRealm - Reino empresarial del usuario. Esto debe darse solo en ciertas implementaciones de KDC donde KDC espera nombre de usuario de empresa en lugar de Nombre principal. Longitud máxima: 255

• ServiceSpn - Service SPN. Cuando se especifica, esto se usará para obtener tickets kerberos. Si no se especifica, Citrix ADC construirá SPN mediante el servicio fqdn. Longitud máxima: 255

Ejemplo (formato UPN)

Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato UPN (como root), escriba los siguientes comandos:

add aaa kcdaccount kcdaccount1 –delegatedUser root
-kcdPassword password1 -realmStr EXAMPLE.COM

Ejemplo (formato SPN)

Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato SPN, escriba los siguientes comandos:

add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -kcdPassword password1

Crear la cuenta de KCD para SSO por delegación con una ficha clave

Si planea utilizar un archivo keytab para la autenticación, cree primero la keytab. Puede crear el archivo keytab manualmente iniciando sesión en el servidor de AD y mediante la utilidad ktpass, o bien puede utilizar la utilidad de configuración de Citrix ADC para crear un script por lotes y, a continuación, ejecutar ese script en el servidor de AD para generar el archivo keytab. A continuación, utilice FTP u otro programa de transferencia de archivos para transferir el archivo keytab al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb. Por último, configure la cuenta KCD para Citrix ADC SSO por delegación y proporcione la ruta de acceso y el nombre de archivo del archivo keytab al dispositivo Citrix ADC.

Para crear manualmente el archivo keytab

Inicie sesión en la línea de comandos del servidor AD y, en el símbolo del sistema, escriba el comando siguiente:

ktpass princ <SPN> ptype KRB5_NT_PRINCIPAL mapuser <DOMAIN><username> pass <password> -out <File_Path>

Para las variables, sustituya los siguientes valores:

• SPN. El nombre principal de servicio para la cuenta de servicio de KCD.
• DOMINIO. El dominio del servidor de Active Directory.
• nombre de usuario. El nombre de usuario de la cuenta KSA.
• contraseña. La contraseña de la cuenta de KSA.
• ruta. Nombre completo de la ruta de acceso del directorio en el que almacenar el archivo keytab una vez generado.

Para utilizar la utilidad de configuración de Citrix ADC para crear un script que genere el archivo keytab

1. Vaya a Seguridad > AAA: Tráfico de aplicaciones.
2. En el panel de datos, en Delegación restringida de Kerberos, haga clic en Archivo por lotespara generar Keytab.
3. En el cuadro de diálogo Generar KCD (Delegación restringida de Kerberos) Keytab Script, establezca los siguientes parámetros:
   • Nombrede usuario del dominio. El nombre de usuario de la cuenta KSA.
   • Contraseña de dominio. La contraseña de la cuenta de KSA.
   • Director de Servicio. El nombre principal de servicio para el KSA.
   • Nombre de archivo de salida. Ruta de acceso completa y nombre de archivo en el que se va a guardar el archivo keytab en el servidor de AD.
4. Desactive la casilla de verificación Crear cuenta de usuario de dominio.
5. Haga clic en Generar script.
6. Inicie sesión en el servidor de Active Directory y abra una ventana de línea de comandos.
7. Copie el script desde la ventana Script generado y péguelo directamente en la ventana de línea de comandos del servidor de Active Directory. La keytab se genera y almacena en el directorio bajo el nombre de archivo especificado como Nombre de archivo de salida.
8. Utilice la utilidad de transferencia de archivos que elija para copiar el archivo keytab del servidor de Active Directory al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb.

Para crear la cuenta de KCD

En el símbolo del sistema, escriba el siguiente comando:

add aaa kcdaccount <accountname> –keytab <keytab>

Ejemplo

Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba los siguientes comandos:

add aaa kcdaccount kcdaccount1 –keytab kcdvserver.keytab

Para crear la cuenta de KCD para SSO por delegación con un certificado de usuario delegado

En el símbolo del sistema, escriba el siguiente comando:

add aaa kcdaccount <accountname> -realmStr <realm> -delegatedUser <user_nameSPN> -usercert <cert> -cacert <cacert>

Para las variables, sustituya los siguientes valores:

• nombre de cuenta. Nombre de la cuenta de KCD.
• Realmstr. Dominio de la cuenta de KCD, normalmente el dominio para el que está configurado el inicio de sesión único.
• Usuario delegado. Nombre de usuario delegado, en formato SPN.
• cert de usuario. Ruta de acceso completa y nombre del archivo de certificado de usuario delegado en el dispositivo Citrix ADC. El certificado de usuario delegado debe contener tanto el certificado de cliente como la clave privada, y debe estar en formato PEM. Si utiliza la autenticación con tarjeta inteligente, es posible que deba crear una plantilla de certificado de tarjeta inteligente para permitir la importación de certificados con la clave privada.
• Cacert. Ruta de acceso completa y nombre del archivo de certificado de CA en el dispositivo Citrix ADC.

Ejemplo

Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba el siguiente comando:

add aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM
     -delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert
     -cacert /cacerts/cacert

Configuración de Active Directory para Citrix ADC SSO

Al configurar el inicio de sesión único por delegación, además de crear la cuenta KCDAccount en el dispositivo Citrix ADC, también debe crear una cuenta de servicio Kerberos (KSA) coincidente en el servidor de directorio activo LDAP y configurar el servidor para el inicio de sesión único. Para crear el KSA, utilice el proceso de creación de cuentas en el servidor de Active Directory. Para configurar SSO en el servidor de Active Directory, abra la ventana de propiedades del KSA. En la ficha Delegación, habilite las siguientes opciones: Confiar en este usuario para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación. (La opción solo Kerberos no funciona porque no habilita la transición de protocolo ni la delegación restringida.) Por último, agregue los servicios que Citrix ADC SSO administra.

Nota

Si la ficha Delegación no está visible en el cuadro de diálogo Propiedades de cuenta de KSA, antes de poder configurar el KSA como se describe, debe utilizar la herramienta de línea de comandos de Microsoft setspn para configurar el servidor de Active Directory de modo que la ficha esté visible.

Para configurar la delegación de la cuenta de servicio Kerberos

1. En el cuadro de diálogo Configuración de cuenta LDAP para la cuenta de servicio Kerberos que creó, haga clic en la ficha Delegación.
2. Elija “Confiar en este usuario solo para la delegación a los servicios especificados”.
3. En “Confiar en este usuario solo para la delegación a los servicios especificados”, seleccione “Usar cualquier protocolo de autenticación”.
4. En “Servicios a los que esta cuenta puede presentar credenciales delegadas”, haga clic en Agregar.

5. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos, elija el servidor que aloja los recursos que se asignarán a la cuenta de servicio y, a continuación, haga clic en Aceptar.

   Nota

   • La delegación restringida no admite servicios alojados en dominios distintos del dominio asignado a la cuenta, aunque Kerberos pueda tener una relación de confianza con otros dominios.
   • Utilice el siguiente comando para crear setspn si se crea un nuevo usuario en Active Directory: Setspn -A host/kcdvserver.example.com examplekcdtest

6. En el cuadro de diálogo Agregar servicios, en la lista Servicios disponibles, selecciona los servicios asignados a la cuenta de servicio. Citrix ADC SSO admite los servicios HTTP y MSSQLSVC.
7. Haga clic en Aceptar.

Puntos a tener en cuenta cuando se utilizan cifrados avanzados para configurar la cuenta KCD

• Ejemplo de configuración cuando se utiliza keytab: add kcdaccount lbvs_keytab_aes256 -keytab «/nsconfig/krb/kcd2_aes256.keytab»
• Utilice el siguiente comando cuando keytab tenga varios tipos de cifrado. El comando captura adicionalmente los parámetros de usuario del dominio: add kcdaccount lbvs_keytab_aes256 -keytab «/nsconfig/krb/kcd2_aes256.keytab» —DomainUser «HTTP/LBVS.AAA.local»
• Utilice los siguientes comandos cuando se utilicen credenciales de usuario: add kcdaccount kslb2_user -RealmStr AAA.LOCAL -delegatedUser lbvs -kcdPassword <password>
• Asegúrese de que se proporciona la información correcta del usuario del dominio. Puede buscar el nombre de inicio de sesión del usuario en AD.