-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
Gracias por sus comentarios.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Configuración de SSO
Configurar Citrix ADC SSO para que se autentique mediante suplantación es más simple que configurar SSO para autenticar por delegación y, por lo tanto, es preferible cuando la configuración lo permite. Usted crea una cuenta KCD. Puede usar la contraseña del usuario.
Si no tiene la contraseña del usuario, puede configurar Citrix ADC SSO para que se autentique por delegación. Aunque es más complejo que configurar el inicio de sesión único para autenticarse mediante suplantación, el método de delegación proporciona flexibilidad en cuanto a que las credenciales de un usuario pueden no estar disponibles para el dispositivo Citrix ADC en todas las circunstancias.
Para suplantación o delegación, también debe habilitar la autenticación integrada en el servidor de aplicaciones web.
Habilitar la autenticación integrada en el servidor de aplicaciones web
Para configurar el SSO de Citrix ADC Kerberos en cada servidor de aplicaciones web administrado por Kerberos SSO, utilice la interfaz de configuración de ese servidor para configurar el servidor para que requiera autenticación. Seleccione Autenticación Kerberos (negociar) por preferencia, la cual recurre a NTLM para clientes que no admiten Kerberos.
Las siguientes son las instrucciones para configurar Microsoft Internet Information Server (IIS) para que requiera autenticación. Si el servidor de aplicaciones web utiliza software distinto de IIS, consulte la documentación de ese software de servidor web para obtener instrucciones.
Para configurar Microsoft IIS para utilizar la autenticación integrada
- Inicie sesión en el servidor IIS y abra el Administrador de servicios de Internet Information Server.
- Seleccione el sitio web para el que quiere habilitar la autenticación integrada. Para habilitar la autenticación integrada para todos los servidores web de IIS administrados por IISM, configure las opciones de autenticación para el sitio web predeterminado. Para habilitar la autenticación integrada para servicios individuales (como Exchange, Exadmin, ExchWeb y Public), configure estas opciones de autenticación para cada servicio individualmente.
- Abra el cuadro de diálogo Propiedades para el sitio web predeterminado o para el servicio individual y haga clic en la ficha Seguridad de directorio.
- Junto a Autenticación y Control de acceso, seleccione Modificar.
- Inhabilite el acceso anónimo.
- Habilite la autenticación integrada de Windows (solo). Habilitar la autenticación integrada de Windows debe establecer automáticamente la negociación de protocolos para el servidor web en Negotiate, NTLM, que especifica la autenticación Kerberos con NTLM como reserva para dispositivos que no son compatibles con Kerberos. Si esta opción no se selecciona automáticamente, configure manualmente la negociación de protocolo en Negotiate, NTLM.
Configurar SSO mediante suplantación
Puede configurar la cuenta KCD para Citrix ADC SSO mediante suplantación. En esta configuración, el dispositivo Citrix ADC obtiene el nombre de usuario y la contraseña del usuario cuando el usuario se autentica en el servidor de autenticación y utiliza esas credenciales para suplantar al usuario y obtener un vale de concesión de tíquets (TGT). Si el nombre del usuario está en formato UPN, el dispositivo obtiene el dominio del usuario del UPN. De lo contrario, obtiene el nombre y el dominio del usuario extrayéndolo del dominio SSO utilizado durante la autenticación inicial o del perfil de sesión.
Nota
No puede agregar un nombre de usuario con dominio si el nombre de usuario ya se ha agregado sin dominio. Si el nombre de usuario con dominio se agrega primero seguido del mismo nombre de usuario sin dominio, el dispositivo Citrix ADC agrega el nombre de usuario a la lista de usuarios.
Al configurar la cuenta de KCD, debe establecer el parámetro de dominio en el dominio del servicio al que el usuario está accediendo. El mismo dominio también se utiliza como dominio del usuario si el dominio del usuario no se puede obtener de la autenticación con el dispositivo Citrix ADC o desde el perfil de sesión.
Para crear la cuenta KCD para SSO suplantando una contraseña
En el símbolo del sistema, escriba el siguiente comando:
add aaa kcdaccount <accountname> -realmStr <realm>
Para las variables, sustituya los siguientes valores:
- nombre de cuenta. El nombre de la cuenta KCD.
- dominio. El dominio asignado al SSO de Citrix ADC.
Ejemplo
Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba el siguiente comando:
add aaa kcdAccount kcdaccount1 -keytab kcdvserver.keytab
Para obtener información sobre cómo configurar la suplantación de Kerberos a través de la GUI de Citrix ADC, consulte Citrix Support.
Configurar SSO por delegación
Para configurar SSO por delegación, debe realizar las siguientes tareas:
- Si está configurando la delegación por certificado de usuario delegado, instale los certificados de CA coincidentes en el dispositivo Citrix ADC y agréguelos a la configuración de Citrix ADC.
- Cree la cuenta de KCD en el dispositivo. El dispositivo utiliza esta cuenta para obtener tíquets de servicio para las aplicaciones protegidas.
- Configure el servidor de Active Directory.
Nota
Para obtener más información sobre cómo crear una cuenta KCD y configurar en el dispositivo NetScaler, consulte los siguientes temas:
Instalación del certificado de CA de cliente en el dispositivo Citrix ADC
Si está configurando Citrix ADC SSO con un certificado de cliente, debe copiar el certificado de CA coincidente para el dominio de certificado de cliente (el certificado de CA de cliente) en el dispositivo Citrix ADC y, a continuación, instalar el certificado de CA. Para copiar el certificado de CA cliente, utilice el programa de transferencia de archivos que elija para transferir el certificado y el archivo de clave privada al dispositivo Citrix ADC y almacene los archivos en /nsconfig/ssl.
Para instalar el certificado de CA cliente en el dispositivo Citrix ADC
En el símbolo del sistema, escriba el siguiente comando:
add ssl certKey <certkeyName> -cert <cert> [(-key <key> [-password]) | -fipsKey <fipsKey>][-inform ( DER | PEM )][-expiryMonitor ( ENABLED | DISABLED | UNSET ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]
Para las variables, sustituya los siguientes valores:
- CertKeyName. Un nombre para el certificado de CA del cliente. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe constar de uno a treinta y un caracteres. Los caracteres permitidos incluyen los caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), at (@), igual (=) y guión (-). No se puede cambiar después de crear el par de claves de certificado. Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi certificado” o “mi certificado”).
- certificado. Nombre de ruta completa y nombre de archivo del archivo de certificado X509 utilizado para formar el par de claves de certificado. El archivo de certificado debe almacenarse en el dispositivo Citrix ADC, en el directorio /nsconfig/ssl/.
- clave. Nombre de ruta completa y nombre de archivo del archivo que contiene la clave privada del archivo de certificado X509. El archivo de clave debe almacenarse en el dispositivo Citrix ADC en el directorio /nsconfig/ssl/.
- contraseña. Si se especifica una clave privada, la frase de contraseña utilizada para cifrar la clave privada. Utilice esta opción para cargar claves privadas cifradas en formato PEM.
-
FIPSKey. Nombre de la clave FIPS creada dentro del módulo de seguridad de hardware (HSM) de un dispositivo FIPS, o una clave importada en el HSM.
Nota
Puede especificar una clave o una FIPSKey, pero no ambas.
- informar. Formato del certificado y los archivos de clave privada, ya sea PEM o DER.
- La llanura de paso. Frase de paso utilizada para cifrar la clave privada. Necesario al agregar una clave privada cifrada en formato PEM.
- ExpiryMonitor. Configure el dispositivo Citrix ADC para que emita una alerta cuando el certificado esté a punto de caducar. Valores posibles: ENABLED, DISABLED, UNSET.
- Periodo de notificación. Si ExpiryMonitor está habilitado, número de días antes de que caduque el certificado para emitir una alerta.
- paquete. Analice la cadena de certificados como un único archivo después de vincular el certificado de servidor al certificado de su emisor dentro del archivo. Valores posibles: SÍ, NO.
Ejemplo
En el ejemplo siguiente se agrega el certificado de usuario delegado especificado customer-cert.pem a la configuración de Citrix ADC junto con la clave customer-key.pem, y se establece la contraseña, el formato del certificado, el monitor de caducidad y el período de notificación.
Para agregar el certificado de usuario delegado, escriba los siguientes comandos:
add ssl certKey customer -cert "/nsconfig/ssl/customer-cert.pem"
-key "/nsconfig/ssl/customer-key.pem" -password "dontUseDefaultPWs!"
-inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]
Creación de la cuenta KCD
Si configura Citrix ADC SSO por delegación, puede configurar la cuenta KCD para que utilice el nombre de inicio de sesión y la contraseña del usuario, para que utilice el nombre de inicio de sesión y la ficha clave del usuario, o para que utilice el certificado de cliente del usuario. Si configura SSO con nombre de usuario y contraseña, el dispositivo Citrix ADC utiliza la cuenta de usuario delegada para obtener un Tíquet de concesión de tíquets (TGT) y, a continuación, utiliza el TGT para obtener tíquets de servicio para los servicios específicos que solicita cada usuario. Si configura SSO con el archivo keytab, el dispositivo Citrix ADC utiliza la información de la cuenta de usuario delegada y la ficha keytab. Si configura SSO con un certificado de usuario delegado, el dispositivo Citrix ADC utiliza el certificado de usuario delegado.
Para crear la cuenta KCD para SSO por delegación con una contraseña
En el símbolo del sistema, escriba los siguientes comandos:
add aaa kcdAccount <kcdAccount> {-keytab <string>} {-realmStr <string>} {-delegatedUser <string>} {-kcdPassword } {-usercert <string>} {-cacert <string>} [-userRealm <string>]
[-enterpriseRealm <string>] [-serviceSPN <string>]
Para las variables, sustituya los siguientes valores:
- KCDAccount - Un nombre para la cuenta KCD. Este es un argumento obligatorio. Longitud máxima: 31
- keytab - Ruta de acceso al archivo keytab. Si se especifican otros parámetros en este comando no necesitan ser dados. Longitud máxima: 127
- RealmStr - El reino de Kerberos. Longitud máxima: 255
- DelegatedUser - Nombre de usuario que puede realizar la delegación restringida kerberos. Longitud máxima: 255
- KCDPassword - Contraseña para usuario delegado. Longitud máxima: 31
-
usercert - Cert SSL (incluida la clave privada) para usuario delegado. Longitud máxima: 255
-
cacert - Cert CA para UserCert o al hacer backchannel PKINIT. Longitud máxima: 255
-
UserRealm - Dominio del usuario. Longitud máxima: 255
-
EnterpriseRealm - Reino empresarial del usuario. Esto debe darse solo en ciertas implementaciones de KDC donde KDC espera nombre de usuario de empresa en lugar de Nombre principal. Longitud máxima: 255
- ServiceSpn - Service SPN. Cuando se especifica, esto se usará para obtener tickets kerberos. Si no se especifica, Citrix ADC construirá SPN mediante el servicio fqdn. Longitud máxima: 255
Ejemplo (formato UPN)
Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato UPN (como root), escriba los siguientes comandos:
add aaa kcdaccount kcdaccount1 –delegatedUser root
-kcdPassword password1 -realmStr EXAMPLE.COM
Ejemplo (formato SPN)
Para agregar una cuenta KCD denominada kcdaccount1 a la configuración del dispositivo Citrix ADC con una contraseña de contraseña1 y un dominio de EJEMPLO.COM, especificando la cuenta de usuario delegada en formato SPN, escriba los siguientes comandos:
add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -kcdPassword password1
Crear la cuenta de KCD para SSO por delegación con una ficha clave
Si planea utilizar un archivo keytab para la autenticación, cree primero la keytab. Puede crear el archivo keytab manualmente iniciando sesión en el servidor de AD y mediante la utilidad ktpass, o bien puede utilizar la utilidad de configuración de Citrix ADC para crear un script por lotes y, a continuación, ejecutar ese script en el servidor de AD para generar el archivo keytab. A continuación, utilice FTP u otro programa de transferencia de archivos para transferir el archivo keytab al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb. Por último, configure la cuenta KCD para Citrix ADC SSO por delegación y proporcione la ruta de acceso y el nombre de archivo del archivo keytab al dispositivo Citrix ADC.
Para crear manualmente el archivo keytab
Inicie sesión en la línea de comandos del servidor AD y, en el símbolo del sistema, escriba el comando siguiente:
ktpass princ <SPN> ptype KRB5_NT_PRINCIPAL mapuser <DOMAIN><username> pass <password> -out <File_Path>
Para las variables, sustituya los siguientes valores:
- SPN. El nombre principal de servicio para la cuenta de servicio de KCD.
- DOMINIO. El dominio del servidor de Active Directory.
- nombre de usuario. El nombre de usuario de la cuenta KSA.
- contraseña. La contraseña de la cuenta de KSA.
- ruta. Nombre completo de la ruta de acceso del directorio en el que almacenar el archivo keytab una vez generado.
Para utilizar la utilidad de configuración de Citrix ADC para crear un script que genere el archivo keytab
- Vaya a Seguridad > AAA: Tráfico de aplicaciones.
- En el panel de datos, en Delegación restringida de Kerberos, haga clic en Archivo por lotespara generar Keytab.
- En el cuadro de diálogo Generar KCD (Delegación restringida de Kerberos) Keytab Script, establezca los siguientes parámetros:
- Nombrede usuario del dominio. El nombre de usuario de la cuenta KSA.
- Contraseña de dominio. La contraseña de la cuenta de KSA.
- Director de Servicio. El nombre principal de servicio para el KSA.
- Nombre de archivo de salida. Ruta de acceso completa y nombre de archivo en el que se va a guardar el archivo keytab en el servidor de AD.
- Desactive la casilla de verificación Crear cuenta de usuario de dominio.
- Haga clic en Generar script.
- Inicie sesión en el servidor de Active Directory y abra una ventana de línea de comandos.
- Copie el script desde la ventana Script generado y péguelo directamente en la ventana de línea de comandos del servidor de Active Directory. La keytab se genera y almacena en el directorio bajo el nombre de archivo especificado como Nombre de archivo de salida.
- Utilice la utilidad de transferencia de archivos que elija para copiar el archivo keytab del servidor de Active Directory al dispositivo Citrix ADC y colocarlo en el directorio /nsconfig/krb.
Para crear la cuenta de KCD
En el símbolo del sistema, escriba el siguiente comando:
add aaa kcdaccount <accountname> –keytab <keytab>
Ejemplo
Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba los siguientes comandos:
add aaa kcdaccount kcdaccount1 –keytab kcdvserver.keytab
Para crear la cuenta de KCD para SSO por delegación con un certificado de usuario delegado
En el símbolo del sistema, escriba el siguiente comando:
add aaa kcdaccount <accountname> -realmStr <realm> -delegatedUser <user_nameSPN> -usercert <cert> -cacert <cacert>
Para las variables, sustituya los siguientes valores:
- nombre de cuenta. Nombre de la cuenta de KCD.
- Realmstr. Dominio de la cuenta de KCD, normalmente el dominio para el que está configurado el inicio de sesión único.
- Usuario delegado. Nombre de usuario delegado, en formato SPN.
- cert de usuario. Ruta de acceso completa y nombre del archivo de certificado de usuario delegado en el dispositivo Citrix ADC. El certificado de usuario delegado debe contener tanto el certificado de cliente como la clave privada, y debe estar en formato PEM. Si utiliza la autenticación con tarjeta inteligente, es posible que deba crear una plantilla de certificado de tarjeta inteligente para permitir la importación de certificados con la clave privada.
- Cacert. Ruta de acceso completa y nombre del archivo de certificado de CA en el dispositivo Citrix ADC.
Ejemplo
Para agregar una cuenta KCD denominada kcdccount1 y utilizar la ficha keytab denominada kcdvserver.keytab, escriba el siguiente comando:
add aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert
-cacert /cacerts/cacert
Configuración de Active Directory para Citrix ADC SSO
Al configurar el inicio de sesión único por delegación, además de crear la cuenta KCDAccount en el dispositivo Citrix ADC, también debe crear una cuenta de servicio Kerberos (KSA) coincidente en el servidor de directorio activo LDAP y configurar el servidor para el inicio de sesión único. Para crear el KSA, utilice el proceso de creación de cuentas en el servidor de Active Directory. Para configurar SSO en el servidor de Active Directory, abra la ventana de propiedades del KSA. En la ficha Delegación, habilite las siguientes opciones: Confiar en este usuario para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación. (La opción solo Kerberos no funciona porque no habilita la transición de protocolo ni la delegación restringida.) Por último, agregue los servicios que Citrix ADC SSO administra.
Nota
Si la ficha Delegación no está visible en el cuadro de diálogo Propiedades de cuenta de KSA, antes de poder configurar el KSA como se describe, debe utilizar la herramienta de línea de comandos de Microsoft setspn para configurar el servidor de Active Directory de modo que la ficha esté visible.
Para configurar la delegación de la cuenta de servicio Kerberos
- En el cuadro de diálogo Configuración de cuenta LDAP para la cuenta de servicio Kerberos que creó, haga clic en la ficha Delegación.
- Elija “Confiar en este usuario solo para la delegación a los servicios especificados”.
- En “Confiar en este usuario solo para la delegación a los servicios especificados”, seleccione “Usar cualquier protocolo de autenticación”.
- En “Servicios a los que esta cuenta puede presentar credenciales delegadas”, haga clic en Agregar.
-
En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos, elija el servidor que aloja los recursos que se asignarán a la cuenta de servicio y, a continuación, haga clic en Aceptar.
Nota
- La delegación restringida no admite servicios alojados en dominios distintos del dominio asignado a la cuenta, aunque Kerberos pueda tener una relación de confianza con otros dominios.
- Utilice el siguiente comando para crear setspn si se crea un nuevo usuario en Active Directory: Setspn -A host/kcdvserver.example.com examplekcdtest
- En el cuadro de diálogo Agregar servicios, en la lista Servicios disponibles, selecciona los servicios asignados a la cuenta de servicio. Citrix ADC SSO admite los servicios HTTP y MSSQLSVC.
- Haga clic en Aceptar.
Puntos a tener en cuenta cuando se utilizan cifrados avanzados para configurar la cuenta KCD
- Ejemplo de configuración cuando se utiliza keytab: add kcdaccount lbvs_keytab_aes256 -keytab «/nsconfig/krb/kcd2_aes256.keytab»
- Utilice el siguiente comando cuando keytab tenga varios tipos de cifrado. El comando captura adicionalmente los parámetros de usuario del dominio: add kcdaccount lbvs_keytab_aes256 -keytab «/nsconfig/krb/kcd2_aes256.keytab» —DomainUser «HTTP/LBVS.AAA.local»
- Utilice los siguientes comandos cuando se utilicen credenciales de usuario: add kcdaccount kslb2_user -RealmStr AAA.LOCAL -delegatedUser lbvs -kcdPassword
<password>- Asegúrese de que se proporciona la información correcta del usuario del dominio. Puede buscar el nombre de inicio de sesión del usuario en AD.
Gracias por sus comentarios.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.