Configurar la autenticación LDAP

Puede configurar Citrix Gateway para autenticar el acceso de los usuarios con uno o más servidores LDAP.

La autorización LDAP requiere nombres de grupo idénticos en Active Directory, en el servidor LDAP y en Citrix Gateway. Los caracteres y mayúsculas también deben coincidir.

De forma predeterminada, la autenticación LDAP es segura mediante el uso de Secure Sockets Layer (SSL) o Transport Layer Security (TLS). Existen dos tipos de conexiones LDAP seguras. Con un tipo, el servidor LDAP acepta las conexiones SSL o TLS en un puerto independiente del puerto que utiliza el servidor LDAP para aceptar conexiones LDAP claras. Después de que los usuarios establezcan las conexiones SSL o TLS, el tráfico LDAP se puede enviar a través de la conexión.

Los números de puerto para las conexiones LDAP son:

  • 389 para conexiones LDAP no seguras
  • 636 para conexiones LDAP seguras
  • 3268 para conexiones LDAP no seguras de Microsoft
  • 3269 para conexiones LDAP seguras de Microsoft

El segundo tipo de conexiones LDAP seguras utiliza el comando StartTLS y utiliza el número de puerto 389. Si configura los números de puerto 389 o 3268 en Citrix Gateway, el servidor intenta usar StartTLS para realizar la conexión. Si utiliza cualquier otro número de puerto, el servidor intenta realizar conexiones mediante SSL o TLS. Si el servidor no puede utilizar StartTLS, SSL o TLS, se produce un error en la conexión.

Si especifica el directorio raíz del servidor LDAP, Citrix Gateway busca en todos los subdirectorios el atributo de usuario. En directorios grandes, este enfoque puede afectar el rendimiento. Por este motivo, Citrix recomienda utilizar una unidad organizativa (OU) específica.

La tabla siguiente contiene ejemplos de campos de atributo de usuario para servidores LDAP:

Servidor LDAP Atributo de usuario Distingue mayúsculas y minúsculas
Servidor de Active Directory de Microsoft sAMAccountName No
Directorio electrónico de Novell - ¿Sí
IBM Directory Server uid
Lotus Domino CN
Sun ONE Directory (anteriormente iPlanet) uid o cn

Esta tabla contiene ejemplos del DN base:

Servidor LDAP Base DN
Servidor de Active Directory de Microsoft DC=Citrix, DC=local
Directorio electrónico de Novell ou=usuarios, ou=dev
IBM Directory Server cn=users
Lotus Domino OU=Ciudad, O=Citrix, C=US
Sun ONE Directory (anteriormente iPlanet) ou=personas, dc=citrix, dc=com

La siguiente tabla contiene ejemplos de DN de enlace:

Servidor LDAP Bind DN
Servidor de Active Directory de Microsoft CN=Administrator, CN=Users, DC=citrix, DC=local
Directorio electrónico de Novell cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anteriormente iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Nota: Para obtener más información sobre la configuración del servidor LDAP, consulte Determinar atributos en su directorio LDAP.

Configurar la autenticación LDAP