Gestión de la identidad del usuario

Un número cada vez mayor de infracciones de seguridad y la creciente popularidad de los dispositivos móviles han puesto de relieve la necesidad de garantizar que el uso de Internet externo se ajuste a las políticas corporativas y que sólo los usuarios autorizados accedan a los recursos externos proporcionados por el personal corporativo. Identity Management lo hace posible mediante la verificación de la identidad de una persona o un dispositivo. No determina qué tareas puede realizar el individuo o qué archivos puede ver el individuo.

Una implementación de Secure Web Gateway (SWG) identifica al usuario antes de permitir el acceso a Internet. Se inspeccionan todas las solicitudes y respuestas del usuario. Se registra la actividad del usuario y los registros se exportan a Citrix Application Delivery Management (ADM) para generar informes. En Citrix ADM, puede ver las estadísticas sobre las actividades del usuario, las transacciones y el consumo de ancho de banda.

De forma predeterminada, sólo se guarda la dirección IP del usuario, pero puede configurar el dispositivo Citrix SWG para registrar más detalles sobre el usuario y utilizar esta información de identidad para crear políticas de uso de Internet más ricas para usuarios específicos.

El dispositivo Citrix ADC admite los siguientes modos de autenticación para una configuración de proxy explícito.

  • Protocolo ligero de acceso a directorios (LDAP). Autentica al usuario a través de un servidor de autenticación LDAP externo. Para obtener más información, consulte Directivas de autenticación LDAP.
  • RADIUS. Autentica al usuario a través de un servidor RADIUS externo. Para obtener más información, consulte Directivas de autenticación RADIUS.
  • TACACS +. Autentica al usuario a través de un servidor de autenticación del Sistema de control de acceso de controlador de acceso de Terminal Server (TACACS) externo. Para obtener más información, consulte Directivas de autenticación.
  • Negociar. Autentica al usuario a través de un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, el dispositivo utiliza la autenticación NTLM. Para obtener más información, consulte Negociar directivas de autenticación.

Para proxy transparente, solo se admite la autenticación LDAP basada en IP. Cuando se recibe una solicitud de cliente, el proxy autentica al usuario comprobando una entrada para la dirección IP del cliente en el directorio activo y crea una sesión basada en la dirección IP del usuario. Sin embargo, si configura SsonameAttribute en una acción LDAP, se crea una sesión utilizando el nombre de usuario en lugar de la dirección IP. Las directivas clásicas no se admiten para la autenticación en una configuración de proxy transparente.

Nota

Para proxy explícito, debe establecer el nombre de inicio de sesión LDAP ensAMAccountName. Para proxy transparente, debe establecer el nombre de inicio de sesión LDAP ennetworkAddress yattribute1 ensAMAccountName.

Ejemplo de proxy explícito:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName

Ejemplo de proxy transparente:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

Configurar la autenticación de usuario mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>

Argumentos:

Nombre del servidor virtual:

          Nombre del servidor virtual de autenticación al que se va a enlazar la directiva.

Longitud          máxima: 127

Tipo de servicio:

Tipo de          protocolo del servidor virtual de autenticación. Siempre SSL.

Valores          posibles: SSL

Valor          predeterminado: SSL

Nombre de la acción:

          Nombre de la nueva acción LDAP. Debe comenzar con una letra, un número o el carácter de subrayado (_), y debe contener sólo letras, números y los caracteres de guión (-), punto (.) libra (#), espacio (), at (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar después de agregar la acción LDAP. El siguiente requisito sólo se aplica a la CLI:

Si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi acción de autenticación” o ‘mi acción de autenticación’).

Longitud máxima: 127

ServerIP:

Dirección          IP asignada al servidor LDAP.

LdapBase:

          Base (nodo) desde la que iniciar las búsquedas LDAP. Si el servidor LDAP se ejecuta localmente, el valor predeterminado de base es dc = netscaler, dc = com. Longitud máxima: 127

IDAPBindDN:

Nombre          completo (DN) que se utiliza para enlazar con el servidor LDAP.

          Predeterminado: cn = Manager, dc = netscaler, dc = com

Longitud máxima: 127

LDAPBindDNContraseña:

          Contraseña utilizada para enlazar con el servidor LDAP.

Longitud máxima: 127

Nombre@@LDAPLoginName:

Atributo de nombre de inicio de sesión          LDAP. El dispositivo Citrix ADC utiliza el nombre de inicio de sesión LDAP para consultar servidores LDAP externos o Active Directories. Longitud máxima: 127

Nombre de la directiva:

          Nombre de la directiva de autenticación anticipada. Debe comenzar con una letra, un número o el carácter de subrayado (_), y debe contener sólo letras, números y los caracteres de guión (-), punto (.) libra (#), espacio (), at (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar después de crear la directiva de autenticación. El siguiente requisito sólo se aplica a la CLI:

          Si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi política de autenticación” o 'mi política de autenticación').

Longitud máxima: 127

regla:

          Nombre de la  regla, o expresión de sintaxis predeterminada, que utiliza la directiva para determinar si se intenta autenticar al usuario con el servidor de autenticación.

Longitud máxima: 1499

acción:

          Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

Longitud máxima: 127

prioridad:

Entero          positivo que especifica la prioridad de la política. Un número inferior especifica una prioridad más alta. Las políticas se evalúan en el orden de sus prioridades y se aplica la primera política que coincide con la solicitud. Debe ser único dentro de la lista de directivas enlazadas al servidor virtual de autenticación.

Valor mínimo: 0

Valor máximo: 4294967295

Ejemplo:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit                                                                                   Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done

Habilitar el registro de nombres de usuario mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set appflow param -AAAUserName ENABLED

Argumentos:

Nombre AAAUSERName

          Habilite el registro de nombres de usuario AAA de AppFlow.

Valores          posibles: ENABLED, DISABLED

Valor          predeterminado: DISABLED

Ejemplo:

set appflow param -AAAUserName ENABLED