Gestión de la identidad del usuario
Un número cada vez mayor de infracciones de seguridad y la creciente popularidad de los dispositivos móviles han puesto de relieve la necesidad de garantizar que el uso de Internet externo se ajuste a las directivas corporativas y que solo los usuarios autorizados accedan a los recursos externos proporcionados por el personal corporativo. Identity Management lo hace posible verificando la identidad de una persona o un dispositivo. No determina qué tareas puede realizar el individuo ni qué archivos puede ver el individuo.
Una implementación Secure Web Gateway (SWG) identifica al usuario antes de permitir el acceso a Internet. Todas las solicitudes y respuestas del usuario son inspeccionadas. Se registra la actividad del usuario y los registros se exportan a Citrix Application Delivery Management (ADM) para generar informes. En Citrix ADM, puede ver las estadísticas sobre las actividades del usuario, las transacciones y el consumo de ancho de banda.
De forma predeterminada, solo se guarda la dirección IP del usuario, pero puede configurar el dispositivo Citrix SWG para que registre más detalles sobre el usuario y utilice esta información de identidad para crear directivas de uso de Internet más ricas para usuarios específicos.
El dispositivo Citrix ADC admite los siguientes modos de autenticación para una configuración de proxy explícito.
- Protocolo ligero de acceso a directorios (LDAP). Autentica al usuario a través de un servidor de autenticación LDAP externo. Para obtener más información, consulte Directivas de autenticación LDAP.
- RADIO. Autentica al usuario a través de un servidor RADIUS externo. Para obtener más información, consulte Directivas de autenticación RADIUS.
- TACACS+ Autentica al usuario a través de un servidor externo de autenticación del sistema de control de acceso de controlador de acceso de Terminal Access Controller (TACACS). Para obtener más información, consulte Directivas de autenticación.
- Negociar. Autentica al usuario a través de un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, el dispositivo utiliza la autenticación NTLM. Para obtener más información, consulte Negociar directivas de autenticación.
En el caso de proxy transparente, solo se admite actualmente la autenticación LDAP basada en IP. Cuando se recibe una solicitud de cliente, el proxy autentica al usuario comprobando una entrada para la dirección IP del cliente en el directorio activo y crea una sesión basada en la dirección IP del usuario. Sin embargo, si configura el atributo ssonameAttribute en una acción LDAP, se crea una sesión mediante el nombre de usuario en lugar de la dirección IP. Las directivas clásicas no se admiten para la autenticación en una configuración de proxy transparente.
Nota
Para proxy explícito, debe establecer el nombre de inicio de sesión LDAP en
sAMAccountName. Para proxy transparente, debe establecer el nombre de inicio de sesión LDAP ennetworkAddressyattribute1ensAMAccountName.
Ejemplo de proxy explícito:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
Ejemplo de proxy transparente:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
Configurar la autenticación de usuario mediante la CLI de Citrix SWG
En el símbolo del sistema, escriba:
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
Argumentos:
Nombre del servidor virtual:
Nombre del servidor virtual de autenticación al que se va a enlazar la directiva.
Longitud máxima: 127
Tipo de servicio:
Tipo de protocolo del servidor virtual de autenticación. Siempre SSL.
Valores posibles: SSL
Valor predeterminado: SSL
Nombre de acción:
Nombre de la nueva acción LDAP. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de agregar la acción LDAP. El siguiente requisito solo se aplica a la CLI:
Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi acción de autenticación” o “mi acción de autenticación”).
Longitud máxima: 127
ServerIP:
Dirección IP asignada al servidor LDAP.
LdapBase:
Base (nodo) desde el que iniciar las búsquedas LDAP. Si el servidor LDAP se está ejecutando localmente, el valor predeterminado de base es dc=netscaler, dc=com. Longitud máxima: 127
LDAPBindDN:
Nombre completo (DN) que se utiliza para enlazar al servidor LDAP.
Valor predeterminado: cn=Manager,dc=netscaler,dc=com
Longitud máxima: 127
ldapBinddnPassword:
Contraseña utilizada para enlazar al servidor LDAP.
Longitud máxima: 127
ldaploginName:
Atributo de nombre de inicio de sesión LDAP. El dispositivo Citrix ADC utiliza el nombre de inicio de sesión LDAP para consultar servidores LDAP externos o Active Directories. Longitud máxima: 127
Nombre de la directiva:
Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTICACIÓN. El siguiente requisito solo se aplica a la CLI:
Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).
Longitud máxima: 127
regla:
Nombre de la regla, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTENTICACIÓN.
Longitud máxima: 1499
acción:
Nombre de la acción de autenticación que se va a realizar si la directiva coincide.
Longitud máxima: 127
prioridad:
Entero positivo que especifica la prioridad de la directiva. Un número inferior especifica una prioridad más alta. Las directivas se evalúan en el orden de sus prioridades y se aplica la primera directiva que coincide con la solicitud. Debe ser único dentro de la lista de directivas enlazadas al servidor virtual de autenticación.
Valor mínimo: 0
Valor máximo: 4294967295
Ejemplo:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
Habilitar el registro de nombres de usuario mediante la CLI de Citrix SWG
En el símbolo del sistema, escriba:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Argumentos:
AAAUserName
Habilitar el registro de nombres de usuario de AppFlow AAA.
Valores posibles:ENABLED, DISABLED
Valor predeterminado: DISABLED
Ejemplo:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->