Citrix ADC

Partición de administrador

Un dispositivo Citrix ADC se puede dividir en entidades lógicas denominadas particiones de administración. Cada partición se puede configurar y utilizar como dispositivo Citrix ADC independiente. En la siguiente ilustración se muestran las particiones de un dispositivo Citrix ADC que utilizan diferentes clientes y departamentos:

Partición de administrador

Un dispositivo Citrix ADC particionado tiene una única partición predeterminada y una o más particiones de administración. En la siguiente tabla se proporcionan más detalles sobre los dos tipos de particiones:

Nota

En un dispositivo particionado, el modo BridgeBPDU se puede habilitar solo en la partición predeterminada y no en las particiones administrativas.

Disponibilidad:

El dispositivo Citrix ADC se suministra con una única partición, que se denomina partición predeterminada. La partición predeterminada se conserva incluso después de particionar el dispositivo Citrix ADC.

Debe crearse explícitamente como se describe en Configurar particiones de administración.

Número de particiones:

Uno

Un dispositivo Citrix ADC puede tener una o más particiones de administración (un máximo de 512).

Acceso de usuario y roles:

Todos los usuarios de Citrix ADC, que no están asociados a una directiva de comandos específica de una partición, pueden acceder a la partición predeterminada y configurarla. Como siempre, la política de comandos asociada restringe las operaciones que un usuario puede realizar.

Los superusuarios de Citrix ADC crean el acceso de usuario y los roles, que también especifican los usuarios de esa partición. Solo los superusuarios y los usuarios asociados de la partición pueden acceder a la partición de administrador y configurarla.

Nota

Los usuarios de particiones no tienen acceso de shell.

Estructura de archivos:

Todos los archivos de una partición predeterminada se almacenan en la estructura de archivos predeterminada de Citrix ADC.

Por ejemplo, el directorio /nsconfig almacena el archivo de configuración de Citrix ADC y el directorio /var/log/ almacena los registros de Citrix ADC.

Todos los archivos de una partición de administrador se almacenan en rutas de directorio que tienen el nombre de la partición de administrador.

Por ejemplo, el archivo de configuración de Citrix ADC (ns.conf) se almacena en el /nsconfig/partitions/<partitionName> directorio. Otros archivos específicos de particiones se almacenan en los /var/partitions/<partitionName> directorios.

Otras rutas de una partición de administrador:

  • Archivos descargados: /var/partitions/<partitionName>/download/
  • Archivos de registro: /var/partitions/<partitionName>/log/

Nota

En la actualidad, el registro no se admite a nivel de partición. Por lo tanto, este directorio está vacío y todos los registros se almacenan en el /var/log/ directorio.

  • Archivos relacionados con el certificado SSL CRL: /var/partitions/<partitionName>/netscaler/ssl

Recursos disponibles:

Todos los recursos de Citrix ADC.

Recursos de Citrix ADC asignados explícitamente a la partición de administración.

Acceso de usuarios y roles

Al autenticar y autorizar un dispositivo Citrix ADC particionado, un administrador raíz puede asignar un administrador de particiones a una o más particiones. El administrador de particiones puede autorizar a los usuarios a esa partición sin afectar a otras particiones. Los usuarios de la partición están autorizados a acceder solo a esa partición utilizando la dirección SNIP. Tanto el administrador raíz como el administrador de particiones pueden configurar el acceso basado en roles (RBA) autorizando a los usuarios a acceder a diferentes aplicaciones.

Los roles de administrador y de usuario se pueden describir de la siguiente manera:

Administrador raíz. Accede al dispositivo particionado a través de su dirección NSIP y puede otorgar acceso al usuario a una o más particiones. El administrador también puede asignar administradores de particiones a una o más particiones. El administrador puede crear un administrador de particiones a partir de la partición predeterminada mediante una dirección NSIP o cambiar a una partición y, a continuación, crear un usuario y asignar acceso de administrador de particiones mediante una dirección SNIP.

Administrador de particiones. Accede a la partición especificada a través de una dirección NSIP asignada por el administrador raíz. El administrador puede asignar acceso basado en roles al acceso de usuario de particiones a esa partición y también configurar la autenticación de servidor externo mediante la configuración específica de la partición.

Usuario del sistema. Accede a las particiones a través de la dirección NSIP. Tiene acceso a las particiones y recursos especificados por el administrador raíz.

Usuario de partición. Accede a una partición a través de una dirección SNIP. El administrador de particiones crea la cuenta de usuario y el usuario tiene acceso a los recursos, solo dentro de la partición.

Puntos que tener en cuenta

A continuación se presentan algunos puntos que debe recordar al proporcionar acceso basado en roles en una partición.

  1. Los usuarios de Citrix ADC que acceden a la GUI a través de la dirección NSIP utilizan la configuración de autenticación de partición predeterminada para iniciar sesión en el dispositivo.
  2. Los usuarios del sistema de particiones que acceden a la GUI a través de una dirección SNIP de partición utilizan la configuración de autenticación específica de la partición para iniciar sesión en el dispositivo.
  3. El usuario de partición creado en una partición no puede iniciar sesión con la dirección NSIP.
  4. El usuario de Citrix ADC vinculado a una partición no puede iniciar sesión mediante la dirección SNIP de la partición.
  5. Los usuarios del sistema que se autentican a través de un servidor de autenticación externo (por ejemplo, LDAP, RADIUS, TACACS) deben acceder a una partición a través de una dirección SNIP.

Caso de uso para administrar el acceso basado en roles en una configuración particionada

Considere un escenario en el que una organización empresarial, www.example.com tiene varias unidades de negocio y un administrador centralizado que administra todas las instancias de su red. Sin embargo, desean proporcionar privilegios de usuario y entorno exclusivos para cada unidad de negocio.

A continuación se presentan los administradores y usuarios administrados por configuración predeterminada de autenticación de particiones y configuración específica de particiones en un dispositivo particionado.

John: Administrador raíz

George: Administrador de particiones

Adam: Usuario del sistema

Jane: Usuario de particiones

John, es el administrador raíz de un dispositivo Citrix ADC particionado. John administra todas las cuentas de usuario y cuentas de usuario administrativas en todas las particiones (por ejemplo, P1, P2, P3, P4 y P5) dentro del dispositivo. John proporciona acceso detallado basado en roles a las entidades desde la partición predeterminada del dispositivo. John crea cuentas de usuario y asigna acceso a particiones a cada cuenta. George, como ingeniero de redes dentro de la organización, prefiere tener acceso basado en roles a pocas aplicaciones que se ejecutan en la partición P2. Según la administración de usuarios, John crea un rol de administrador de particiones para George y asocia su cuenta de usuario a una política de comandos partition-admin en la partición P2. Adam es otro ingeniero de redes prefiere acceder a una aplicación que se ejecuta en P2. John crea una cuenta de usuario del sistema para Adam y asocia su cuenta de usuario a una partición P2. Una vez creada la cuenta, Adam puede iniciar sesión en el dispositivo para acceder a la interfaz de administración de Citrix ADC a través de la dirección NSIP y cambiar a la partición P2 según el enlace de usuario/grupo.

Supongamos que Jane, que es otro ingeniero de redes, quiere acceder directamente a una aplicación que se ejecuta solo en la partición P2, George (administrador de particiones) puede crear una cuenta de usuario de partición para ella y asociar su cuenta con políticas de comandos para obtener privilegios de autorización. La cuenta de usuario de Jane creada dentro de la partición ahora está directamente asociada a P2. Ahora Jane puede acceder a la interfaz de administración de Citrix ADC a través de la dirección SNIP y no puede cambiar a ninguna otra partición.

Nota

Si un administrador de particiones crea la cuenta de usuario de Jane en la partición P2, el administrador solo puede acceder a la interfaz de administración de Citrix ADC a través de la dirección SNIP (creada dentro de la partición). El administrador no puede acceder a la interfaz a través de la dirección NSIP. Del mismo modo, si la cuenta de usuario de Adam la crea un administrador raíz en la partición predeterminada y está enlazada a una partición P2. El administrador puede acceder a la interfaz de administración de Citrix ADC solo a través de la dirección NSIP o la dirección SNIP creada en la partición predeterminada (con el acceso de administración habilitado). Y no se permite acceder a la interfaz de partición a través de la dirección SNIP creada en la partición administrativa.

Configurar roles y responsabilidades para los administradores de particiones

A continuación se presentan las configuraciones que realiza un administrador raíz en una partición predeterminada.

Creación de particiones administrativas y usuarios del sistema: un administrador raíz crea particiones administrativas y usuarios del sistema en la partición predeterminada del dispositivo. A continuación, el administrador asocia a los usuarios a distintas particiones. Si está vinculado a una o más particiones, puede cambiar de una partición a otra según los enlaces de usuario. Además, el acceso a una o más particiones enlazadas solo está autorizado por el administrador raíz.

Autorización del usuario del sistema como administrador de particiones para una partición específica: una vez creada una cuenta de usuario, el administrador raíz cambia a una partición específica y autoriza al usuario como administrador de particiones. Se realiza asignando la política de comandos partition-admin a la cuenta de usuario. Ahora, el usuario puede acceder a la partición como administrador de particiones y administrar entidades dentro de la partición.

A continuación se presentan las configuraciones que realiza un administrador de particiones en una partición administrativa.

Configuración de la dirección SNIP en una partición administrativa: el administrador de la partición inicia sesión en la partición y crea una dirección SNIP y proporciona acceso de administración a la dirección.

Creación y vinculación de un usuario del sistema de particiones con la directiva de comandos de partición: el administrador de particiones crea usuarios de particiones y define el alcance del acceso de los usuarios. Se realiza vinculando la cuenta de usuario a las directivas de comandos de partición.

Creación y vinculación de grupos de usuarios del sistema de particiones con la directiva de comandos de partición: el administrador de particiones crea grupos de usuarios de particiones y define el ámbito del acceso a grupos de usuarios. Se realiza vinculando la cuenta de grupo de usuarios a las directivas de comandos de partición.

Configuración de la autenticación del servidor externo para usuarios externos (opcional): esta configuración se realiza para autenticar a los usuarios TACACS externos que acceden a la partición mediante la dirección SNIP.

A continuación se presentan las tareas que se realizan en la configuración del acceso basado en roles para los usuarios de particiones en una partición administrativa.

  1. Creación de una partición administrativa: antes de crear usuarios de particiones en una partición administrativa, primero debe crear la partición. Como administrador raíz, puede crear una partición a partir de la partición predeterminada mediante la utilidad de configuración o una interfaz de línea de comandos.
  2. Cambio del acceso de usuario de la partición predeterminada a la partición P2: si es administrador de particiones que accede al dispositivo desde la partición predeterminada, puede cambiar de la partición predeterminada a una partición específica. Por ejemplo, la partición P2 basada en el enlace de usuario.
  3. Agregar una dirección SNIP a la cuenta de usuario de partición con acceso de administración habilitado, una vez que haya cambiado el acceso a una partición de administración. Crea una dirección SNIP y proporciona acceso de administración a la dirección.
  4. Creación y vinculación de un usuario del sistema de particiones con directiva de comandos de partición: si es administrador de particiones, puede crear usuarios de particiones y definir el alcance del acceso de los usuarios. Se realiza vinculando la cuenta de usuario a las directivas de comandos de partición.
  5. Creación y enlace de grupos de usuarios de particiones con la directiva de comandos de partición: si es administrador de particiones, puede crear grupos de usuarios de particiones y definir el ámbito del control de acceso de usuarios. Se realiza vinculando la cuenta de grupo de usuarios a las directivas de comandos de partición.

Configuración de la autenticación del servidor externo para usuarios externos (opcional): esta configuración se realiza para autenticar a los usuarios TACACS externos que acceden a la partición mediante una dirección SNIP.

Beneficios del uso de particiones de administración

Puede aprovechar las siguientes ventajas utilizando particiones de administración para su implementación:

  • Permite la delegación de la propiedad administrativa de una aplicación al cliente.
  • Reduce el coste de propiedad de ADC sin comprometer el rendimiento y la facilidad de uso.
  • Protege contra cambios de configuración injustificados. En un dispositivo Citrix ADC sin particiones, los usuarios autorizados de la otra aplicación pueden cambiar intencionadamente o no intencionalmente las configuraciones necesarias para la aplicación. Puede llevar a comportamientos indeseables. Esta posibilidad se reduce en un dispositivo Citrix ADC particionado.
  • Aísla el tráfico entre diferentes aplicaciones mediante el uso de VLAN dedicadas para cada partición.
  • Acelera y permite escalar las implementaciones de aplicaciones.
  • Permite la administración y la generación de informes a nivel de aplicación o localizadas.

Analicemos un par de casos para comprender los escenarios en los que se pueden utilizar las particiones de administración.

Caso de usuario 1: Cómo se utiliza la partición de administrador en una red empresarial

Consideremos un escenario al que se enfrenta una empresa llamada Foo.com.

  • Foo.com tiene un solo Citrix ADC.
  • Hay cinco departamentos y cada departamento tiene una aplicación que requiere implementarse con Citrix ADC.
  • Cada aplicación debe ser administrada de forma independiente por un conjunto diferente de usuarios o administradores.
  • Debe restringirse a otros usuarios el acceso a las configuraciones.
  • La aplicación o el back-end deben poder compartir recursos como direcciones IP.
  • El departamento de TI global debe poder controlar la configuración a nivel de Citrix ADC, que debe ser común a todas las particiones.
  • Las solicitudes deben ser independientes entre sí. Un error en la configuración de una aplicación no debe afectar a la otra.

Un Citrix ADC sin particiones no podría cumplir estos requisitos. Sin embargo, puede cumplir todos estos requisitos mediante la partición de un Citrix ADC.

Simplemente cree una partición para cada una de las aplicaciones, asigne los usuarios necesarios a las particiones, especifique una VLAN para cada partición y defina la configuración global en la partición predeterminada.

Caso de uso 2: Cómo utiliza un proveedor de servicios una partición de administrador

Consideremos un escenario al que se enfrenta un proveedor de servicios llamado BigProvider:

  • BigProvider tiene 5 clientes: 3 pequeñas empresas y 2 grandes empresas.
  • SmallBiz, SmallerBizy StartupBiz solo necesitan la funcionalidad más básica de Citrix ADC.
  • BigBiz y LargeBiz son empresas más grandes y tienen aplicaciones que atraen mucho tráfico. Les gustaría utilizar algunas de las funciones más complejas de Citrix ADC.

En un enfoque sin particiones, el administrador de Citrix ADC suele utilizar un dispositivo Citrix ADC SDX y aprovisionar una instancia de Citrix ADC para cada cliente.

La solución se adapta a BigBizy LargeBizporque sus aplicaciones necesitan la potencia sin disminuir de todo el dispositivo Citrix ADC sin particiones. Sin embargo, esta solución podría no ser tan rentable para el mantenimiento deSmallBiz,SmallerBizyStartupBiz.

Por lo tanto, BigProvider decide la siguiente solución:

  • Uso de un dispositivo Citrix ADC SDX para abrir instancias Citrix ADC dedicadas para BigBiz y LargeBiz.
  • Utilizando un solo Citrix ADC que se divide en tres particiones, una para SmallBiz, SmallerBizy StartupBiz.

El administrador de Citrix ADC (superusuario) crea una partición de administración para cada uno de estos clientes y especifica los usuarios de las particiones. También especifica los recursos de Citrix ADC para las particiones y especifica la VLAN que utilizará el tráfico destinado a cada una de las particiones.