Citrix Application Delivery Management

Autenticación

24 de mayo de 2018

Los usuarios pueden ser autenticados internamente mediante Citrix Application Delivery Management (ADM), externamente mediante un servidor de autenticación o ambos. Si se utiliza la autenticación local, el usuario debe estar en la base de datos de seguridad Citrix ADM. Si el usuario se autentica externamente, el «nombre externo» del usuario debe coincidir con la identidad de usuario externo registrada en el servidor de autenticación, dependiendo del protocolo de autenticación seleccionado.

Citrix ADM admite la autenticación externa mediante protocolos RADIUS, LDAP y TACACS. Este soporte unificado proporciona una interfaz común para autenticar y autorizar todos los usuarios del servidor de autenticación, autorización y contabilidad (AAA) locales y externos que acceden al sistema. Citrix ADM puede autenticar a los usuarios independientemente de los protocolos reales que utilicen para comunicarse con el sistema. Cuando un usuario intenta acceder a una implementación de Citrix ADM configurada para autenticación externa, el servidor de aplicaciones solicitado envía el nombre de usuario y la contraseña al servidor RADIUS, LDAP o TACACS para su autenticación. Si la autenticación es correcta, se utiliza el protocolo correspondiente para identificar al usuario en Citrix ADM.

Puede autenticar a sus usuarios en Citrix ADM de dos maneras:

  • Mediante el uso de servidores locales de Citrix ADM
  • Mediante el uso de servidores de autenticación externos

El siguiente diagrama de flujo muestra el flujo de trabajo que se debe seguir cuando se autentican usuarios locales o externos:

Imagen localizada

Configurar servidores de autenticación externos

Citrix ADM admite varios protocolos para proporcionar servicios externos de autenticación, autorización y contabilidad (AAA).

Citrix ADM envía todas las solicitudes de servicio de autenticación, autorización y contabilidad (AAA) al servidor remoto RADIUS, LDAP o TACACS+. El servidor AAA remoto recibe la solicitud, valida la solicitud y envía una respuesta a Citrix ADM. Cuando se configura para utilizar un servidor RADIUS, TACACS+ o LDAP remoto para la autenticación, Citrix ADM se convierte en un cliente RADIUS, TACACS+ o LDAP. En cualquiera de estas configuraciones, los registros de autenticación se almacenan en la base de datos del servidor host remoto. El nombre de cuenta de inicio de sesión y cierre de sesión, los permisos asignados y los registros de contabilidad de tiempo también se almacenan en el servidor AAA para cada usuario.

Además, puede utilizar la base de datos interna de Citrix ADM para autenticar usuarios localmente. Crear entradas en la base de datos para los usuarios y sus contraseñas y roles predeterminados. También puede crear grupos de servidores para tipos específicos de autenticación. La lista de servidores de un grupo de servidores es una lista ordenada. El primer servidor de la lista siempre se utiliza a menos que no esté disponible, en cuyo caso se utiliza el siguiente servidor de la lista. Puede configurar servidores de diferentes tipos en un grupo y también puede incluir la base de datos interna como copia de seguridad de autenticación de reserva en la lista configurada de servidores AAA.

Configurar un servidor de autenticación RADIUS

Puede configurar Citrix ADM para autenticar el acceso de usuario con uno o más servidores RADIUS. Su configuración puede requerir el uso de una dirección IP del servidor de acceso a la red (IP del NAS) o un identificador de servidor de acceso a la red (ID de NAS). Al configurar Citrix ADM para utilizar un servidor de autenticación RADIUS, utilice las siguientes directivas:Si habilita el uso de la dirección IP del NAS, el dispositivo envía su dirección IP configurada al servidor RADIUS, en lugar de enviar la dirección IP de origen utilizada para establecer la conexión RADIUS.

  • Si configura el ID del NAS, el dispositivo envía el identificador al servidor RADIUS. Si no configura el ID del NAS, el dispositivo envía su nombre de host al servidor RADIUS.
  • Si habilita la dirección IP del NAS, el dispositivo ignorará cualquier ID de NAS configurado y utiliza la IP del NAS para comunicarse con el servidor RADIUS.

Para configurar un servidor de autenticación RADIUS:

  1. En Citrix ADM, vaya a Sistema > Autenticación > RADIUS.

  2. En la página RADIUS, haga clic en Agregar.

  3. En la página Crear Servidor RADIUS, defina los parámetros y haga clic en Crear para agregar el servidor a la lista de servidores de autenticación RADIUS. Los siguientes parámetros son obligatorios:

    1. Nombre. Nombre del servidor RADIUS.

    2. Nombre del servidor/Dirección IP. Nombre del servidor o dirección IP del servidor RADIUS.

    3. Puerto. De forma predeterminada, el puerto 1812 se utiliza para la autenticación RADIUS. Puede especificar un número de puerto diferente si es necesario.

    4. Tiempo de espera (segundos). Tiempo, en segundos, que el sistema Citrix ADM espera una respuesta del servidor RADIUS.

    5. Llave Secreta. Cualquier expresión alfanumérica. Esta es la clave que se comparte entre Citrix ADM y el servidor RADIUS para habilitar la comunicación.

  4. Haga clic en Detalles para expandir la sección y establecer los parámetros adicionales y, a continuación, haga clic en Crear.

Para obtener más información sobre cómo agregar servidores RADIUS, consulte Cómo agregar servidores de autenticación RADIUS.

Configurar un servidor de autenticación LDAP

Puede configurar Citrix ADM para autenticar el acceso de usuario con uno o varios servidores LDAP. La autorización LDAP requiere nombres de grupo idénticos en Active Directory, en el servidor LDAP y en Citrix ADM. Los caracteres y mayúsculas también deben coincidir.

Para configurar un servidor de autenticación LDAP:

  1. En Citrix ADM, vaya a Sistema > Autenticación > LDAP.

  2. En la página LDAP, haga clic en Agregar.

  3. En la página Crear Servidor LDAP, establezca los parámetros y haga clic en Crear para agregar el servidor a la lista de servidores de autenticación LDAP. Los siguientes parámetros son obligatorios:

    1. Nombre. Nombre del servidor LDAP.

    2. Nombre del servidor/Dirección IP. Nombre del servidor o dirección IP del servidor LDAP.

    3. Tipo de seguridad. Tipo de comunicación requerida entre el sistema y el servidor LDAP. Seleccione en la lista desplegable. Si la comunicación de texto sin formato es inadecuada, puede elegir la comunicación cifrada seleccionando Seguridad de capa de transporte (TLS) o SSL.

    4. Puerto. De forma predeterminada, el puerto 389 se utiliza para la autenticación LDAP. Puede especificar un número de puerto diferente si es necesario.

    5. Tipo de servidor. Seleccione Active Directory (AD) o Novell Directory Service (NDS) como el tipo de servidor LDAP.

    6. Tiempo de espera (segundos). Tiempo, en segundos para el que el sistema Citrix ADM espera una respuesta del servidor LDAP.

Puede proporcionar detalles adicionales. También puede validar el certificado LDAP activando la casilla de verificación Validar certificado LDAP y especificando el nombre de host que se especificará en el certificado. Algunos de los parámetros adicionales que puede agregar son los detalles del servidor de nombres de dominio (DN) para consultas en un servicio de directorio, grupo de autenticación predeterminado, atributos de grupo y otros atributos.

El DN base se deriva normalmente del DN de enlace eliminando el nombre de usuario y especificando el grupo al que pertenecen los usuarios. En el cuadro de texto Administrador Enlazar DN, escriba el administrador enlazar DN para consultas al directorio LDAP.

Ejemplos de sintaxis para el DN base son:

  • ou=usuarios, dc=ace, dc=com

  • CN=Usuarios, dc=ace, dc=com

Ejemplos de sintaxis para bind DN son:

  • Dominio/nombre de usuario

  • ou=administrador, dc=ace, dc=com

  • user@domain.name (para Active Directory)

  • CN=Administrador, CN=Usuarios, dc=ace, dc=com

El nombre del grupo y el nombre de los usuarios que defina en Citrix ADM deben ser similares a los configurados en el servidor LDAP.

Nota

Al configurar un servidor RADIUS o LDAP, en la sección Detalles, puede introducir el nombre de un grupo de autenticación predeterminado. Este grupo predeterminado se elige para autorizar al usuario cuando la autenticación se realiza correctamente, independientemente del hecho de que el usuario esté vinculado a un grupo o no. A continuación, el usuario recibe una combinación de permisos configurados en este grupo predeterminado y los demás grupos independientemente de si el usuario está asignado al grupo o no.

Para obtener más información sobre cómo agregar servidores LDAP, consulte Cómo agregar servidores de autenticación LDAP.

Para obtener más información sobre cómo conectar servidores de autenticación externos en cascada, consulte Cómo conectar en cascada servidores de autenticación externos.

Configurar un servidor de autenticación TACACS

TACACS, como RADIUS y LDAP, gestiona los servicios de autenticación remota para el acceso a la red.

Configurar un servidor de autenticación TACACS:

  1. En Citrix ADM, vaya a Sistema > Autenticación > TACACS.

  2. En la página TACACS, haga clic en Agregar.

  3. En la página Crear Servidor TACACS, introduzca los siguientes detalles:

    1. Nombre del servidor TACACS

    2. Dirección IP del servidor TACACS

    3. Puerto y tiempo de espera (en segundos)

    4. La clave que comparten el sistema y el servidor TACACS para la comunicación.

    5. Seleccione Contabilidad si quiere que el dispositivo registre la información de auditoría con el servidor TACACS.

  4. Haga clic en Crear.

Para obtener más información sobre cómo agregar servidores TACACS, consulte Cómo agregar servidores de autenticación TACACS.

Nota

Para buscar servidores de autenticación agregados en Citrix ADM, haga clic en la barra de búsqueda y seleccione los criterios de búsqueda necesarios.

Imagen localizada

Configurar una autenticación local de usuarios en Citrix ADM

Si utiliza la autenticación local, cree usuarios y, a continuación, agréguelos a grupos que cree en Citrix ADM. Después de configurar usuarios y grupos, puede aplicar directivas de autorización y sesión, crear marcadores, especificar aplicaciones y especificar la dirección IP de los recursos compartidos de archivos y servidores a los que tienen acceso los usuarios.

Para configurar una autenticación local en Citrix ADM:

  1. En Citrix ADM, vaya a Sistema > Autenticación y haga clic en Configuración de autenticación.

  2. En la página Configuración de autenticación, seleccione LOCAL en el cuadro desplegable Tipo de servidor y haga clic en Aceptar.

Configurar una autenticación externa en Citrix ADM

Al configurar servidores de autenticación externos en Citrix ADM, los grupos de usuarios autenticados en esos servidores externos se importan a Citrix ADM. No es necesario crear usuarios en Citrix ADM. Los usuarios se administran en los servidores externos de Citrix ADM. Sin embargo, debe asegurarse de que los niveles de permisos que tienen los grupos de usuarios en los servidores de autenticación externos se mantienen en Citrix ADM. Citrix ADM realiza la autorización de los usuarios asignando permisos de grupo para acceder a servidores virtuales de equilibrio de carga específicos y a aplicaciones específicas del sistema. Si posteriormente se quita un servidor de autenticación del sistema, los grupos y usuarios se eliminarán automáticamente del sistema.

Para configurar una autenticación externa en Citrix ADM:

  1. En Citrix ADM, vaya a Sistema > Autenticacióny haga clic en Configuración de autenticación.

  2. En la página Configuración de autenticación, seleccione EXTERNA en la lista desplegable Tipo de servidor.

  3. Pulse Insertar.

  4. En la página Servidores externos, seleccione un servidor de autenticación. Opcionalmente, puede seleccionar varios servidores de autenticación para cascada.

    Nota

    Sólo los servidores externos pueden ser conectados en cascada.

  5. Seleccione Habilitar autenticación local de reserva si desea que la autenticación local asume el control si falla la autenticación externa.

  6. Haga clic en Aceptar para cerrar la página.

    Los servidores seleccionados se muestran en la página Servidores de autenticación.

    También puede especificar el orden de autenticación mediante el icono situado junto a los nombres de servidor para mover los servidores hacia arriba o hacia abajo en la lista.

Configurar grupos en Citrix ADM

Citrix ADM le permite autenticar y autorizar a sus usuarios mediante la creación de grupos y la adición de usuarios a los grupos. Un grupo puede tener permisos de «administrador» o de «sólo lectura» y todos los usuarios de ese grupo recibirán los mismos permisos.

En Citrix ADM, un grupo se define como una colección de usuarios que tienen permisos similares. Un grupo puede tener uno o varios roles. Un usuario se define como una entidad que puede tener acceso en función de los permisos asignados. Un usuario puede pertenecer a uno o varios grupos.

Puede crear grupos locales en Citrix ADM y utilizar la autenticación local para los usuarios de los grupos. Si utiliza servidores externos para la autenticación, configure los grupos en Citrix ADM para que coincidan con los grupos configurados en los servidores de autenticación de la red interna. Cuando un usuario inicia sesión y se autentica, si un nombre de grupo coincide con un grupo de un servidor de autenticación, el usuario hereda la configuración del grupo en Citrix ADM.

Después de configurar grupos, puede aplicar directivas de autorización y sesión, crear marcadores, especificar aplicaciones y especificar las direcciones IP de recursos compartidos de archivos y servidores a los que tiene acceso el usuario.

Si utiliza la autenticación local, cree usuarios y agréguelos a grupos configurados en Citrix ADM. A continuación, los usuarios heredan la configuración de esos grupos.

Nota

Si los usuarios son miembros de un grupo de Active Directory, el nombre del grupo y los nombres de los usuarios de Citrix ADM deben ser los mismos que en el grupo de Active Directory.

Para configurar grupos de usuarios en Citrix ADM:

  1. En Citrix ADM, vaya a Sistema > Administración de usuarios > Grupos.

  2. En la página Grupos, haga clic en Agregar para crear un grupo. De forma predeterminada, se crean dos grupos en Citrix ADM, con permisos establecidos en admin y sólo lectura. Puede agregar usuarios a estos grupos o crear otros grupos para sus usuarios.

  3. En la ficha Configuración de grupo de la página Crear grupo del sistema, escriba el nombre del grupo y defina Roles como administrador o de sólo lectura. Puede seleccionar Configurar tiempo de espera de sesión de usuario para establecer un límite de tiempo de espera para las sesiones de usuario iniciadas para ese grupo.

    Nota

    Asegúrese de que el nombre del grupo de usuarios creado en Citrix ADM sea el mismo que en los servidores de autenticación externos. De lo contrario, el sistema no reconocerá el grupo y los miembros del grupo no se extraerán en el sistema.

  4. En la ficha Configuración de autorización, seleccione los grupos requeridos. Haga clic en Crear grupo.

  5. En la ficha Asignar usuarios, seleccione los usuarios que desea agregar al grupo. Los usuarios se agregan a esta tabla al configurar usuarios en Configurar usuarios en Citrix ADM.

  6. Haga clic en Finalizar.

Cuando termine de crear un grupo en el sistema, todos los usuarios del servidor de autenticación externo se extraen en el sistema. Si el nombre del grupo coincide con el nombre del grupo en el servidor de autenticación externo, el usuario hereda todas las definiciones de autorización cuando inicia sesión en el sistema.

Configurar usuarios en Citrix ADM

Puede crear cuentas de usuario localmente en Citrix ADM para complementar los usuarios de los servidores de autenticación. Por ejemplo, puede que quiera crear cuentas de usuario locales para usuarios temporales, como consultores o visitantes, sin crear una entrada para esos usuarios en el servidor de autenticación. Si está autenticando localmente usuarios que están presentes en servidores de autenticación externos, asegúrese de que los mismos usuarios estén presentes tanto en los servidores de autenticación como en Citrix ADM.

Para configurar usuarios en Citrix ADM:

  1. En Citrix ADM, vaya a Sistema > Administración de usuarios > Usuarios.

  2. En la página Usuarios, haga clic en Agregar para agregar usuarios a Citrix ADM.

  3. En la página Crear Usuario del Sistema, defina los siguientes parámetros:

    1. Nombre de usuario. Nombre del usuario

    2. Contraseña. Contraseña que utilizará el usuario para iniciar sesión en Citrix ADM

    3. Habilitar autenticación externa. Si esto no está habilitado, el usuario se autenticará como usuario local.

    4. Configurar el tiempo de espera de sesión de usuario. Tiempo durante el cual un usuario puede permanecer activo. Este período de tiempo se puede establecer en minutos u horas.

  4. En la tabla Grupos, seleccione el grupo al que desea agregar el usuario. Los miembros del grupo se agregan a esta tabla al configurar grupos en Configuración de grupos de usuarios en Citrix ADM.

  5. Haga clic en Crear.

Nota

Si los usuarios están en Active Directory, asegúrese de que el nombre del grupo en Citrix ADM es el mismo que el del grupo de Active Directory en el servidor externo.