Citrix ADC SDX 13.0

Configurar los parámetros de autenticación y autorización

La autenticación con Citrix ADC SDX Management Service puede ser local o externa. Con la autenticación externa, Management Service concede acceso al usuario sobre la base de la respuesta de un servidor externo. Management Service admite los siguientes protocolos de autenticación externa:

  • Servicio de usuario de marcado de autenticación remota (RADIUS)
  • Sistema de control de acceso a controladores de acceso a terminales (TACACS)
  • Protocolo ligero de acceso a directorios (LDAP)

Management Service también admite solicitudes de autenticación de SSH. La autenticación SSH solo admite solicitudes de autenticación interactiva de teclado. La autorización de los usuarios de SSH se limita únicamente a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.

Para configurar la autenticación, especifique el tipo de autenticación y configure un servidor de autenticación.

La autorización a través de Management Service es local. Management Service admite dos niveles de autorización. Los usuarios con privilegios de administrador pueden realizar cualquier acción en Management Service. Los usuarios con privilegios de solo lectura pueden realizar solo operaciones de lectura. La autorización de los usuarios de SSH se limita únicamente a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.

La autorización para RADIUS y LDAP es compatible con la extracción de grupos. Puede establecer los atributos de extracción de grupo durante la configuración de los servidores RADIUS o LDAP en Management Service. El nombre del grupo extraído coincide con los nombres de grupo en Management Service para determinar los privilegios otorgados al usuario. Un usuario puede pertenecer a varios grupos. En ese caso, si algún grupo al que pertenece el usuario tiene privilegios de administrador, el usuario tiene privilegios de administrador. Se puede establecer un atributo de grupo Autenticación predeterminada durante la configuración. Este grupo se considera junto con los grupos extraídos para su autorización.

En el caso de la autorización TACACS, el administrador del servidor TACACS debe permitir un comando especial, admin para un usuario que tenga privilegios de administrador y denegar este comando para usuarios con privilegios de solo lectura. Cuando un usuario inicia sesión en el dispositivo SDX, Management Service comprueba si el usuario tiene permiso para ejecutar este comando y si el usuario tiene permiso, se le asignan los privilegios de administrador, de lo contrario, se le asignan privilegios de solo lectura.

Adición de un grupo de usuarios

Los grupos son conjuntos lógicos de usuarios que necesitan acceder a información común o realizar tipos similares de tareas. Puede organizar los usuarios en grupos definidos por un conjunto de operaciones comunes. Al proporcionar permisos específicos a grupos en lugar de a usuarios individuales, puede ahorrar tiempo al crear nuevos usuarios.

Si utiliza servidores de autenticación externos para la autenticación, los grupos en SDX se pueden configurar para que coincidan con los grupos configurados en servidores de autenticación. Cuando un usuario que pertenece a un grupo cuyo nombre coincide con un grupo en un servidor de autenticación, inicia sesión y se autentica, el usuario hereda la configuración del grupo en el dispositivo SDX.

Para agregar un grupo de usuarios

  1. En la ficha Configuración, en Sistema, expanda Administración y, a continuación, haga clic en Grupos.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear grupo de sistemas, defina los siguientes parámetros:
    • Nombre: Nombre del grupo. Longitud máxima: 128
    • Permiso: Acciones que este grupo está autorizado a realizar. Valores posibles: Admin y readonly.
    • Usuarios: Usuarios de bases de datos pertenecientes al grupo. Seleccione los usuarios que quiere agregar al grupo.
  4. Haga clic en Crear y cerrar.

Configuración de cuentas de usuario

Un usuario inicia sesión en el dispositivo SDX para realizar tareas de administración del dispositivo. Para permitir que un usuario acceda al dispositivo, debe crear una cuenta de usuario en el dispositivo SDX para ese usuario. Los usuarios se autentican localmente en el dispositivo.

Importante: La contraseña se aplica al dispositivo SDX, Management Service y XenServer. No cambie la contraseña directamente en XenServer.

Para configurar una cuenta de usuario

  1. En la ficha Configuración, en Sistema, expanda Administración y, a continuación, haga clic en Usuarios. El panel Usuarios muestra una lista de cuentas de usuario existentes, con sus permisos.

  2. En el panel Usuarios, realice una de las acciones siguientes:

    • Para crear una cuenta de usuario, haga clic en Agregar.
    • Para modificar una cuenta de usuario, seleccione el usuario y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear usuario del sistema o Modificar usuario del sistema, defina los siguientes parámetros:

    • Nombre *: El nombre de usuario de la cuenta. Se permiten los siguientes caracteres en el nombre: Letras de la a a la z y de la A a la Z, números del 0 al 9, punto (.), espacio y guión bajo (_). Longitud máxima: 128. No se puede cambiar el nombre.
    • Contraseña *: La contraseña para iniciar sesión en el dispositivo. Longitud máxima: 128
    • Confirmar contraseña *: La contraseña.
    • Permiso *: Privilegios del usuario en el dispositivo. Valores posibles:
      • admin: El usuario puede realizar todas las tareas de administración relacionadas con Management Service.
      • readonly: El usuario solo puede supervisar el sistema y cambiar la contraseña de la cuenta. Predeterminado: Admin.
    • Habilitar autenticación externa: Habilita la autenticación externa para este usuario. Management Service intenta la autenticación externa antes de la autenticación del usuario de la base de datos. Si este parámetro está inhabilitado, el usuario no se autentica con el servidor de autenticación externo.
    • Configurar tiempo de espera de sesión: Permite configurar el período de tiempo durante el tiempo que un usuario puede permanecer activo. Especifique los siguientes detalles:
      • Tiempo de espera de sesión: Período de tiempo durante cuánto tiempo puede permanecer activa una sesión de usuario.
      • Unidad de tiempo de espera de sesión: La unidad de tiempo de espera, en minutos u horas.
    • Grupos: Asigna los grupos al usuario.

    * Un parámetro requerido

  4. Haga clic en Crear u Aceptar y, a continuación, haga clic en Cerrar. El usuario que creó aparece en el panel Usuarios.

Para quitar una cuenta de usuario

  1. En la ficha Configuración, en el panel de navegación, expanda Sistema, expanda Administracióny, a continuación, haga clic en Usuarios.
  2. En el panel Usuarios, seleccione la cuenta de usuario y, a continuación, haga clic en Eliminar.
  3. En el cuadro Confirmar mensaje, haga clic en Aceptar.

Configuración del tipo de autenticación

Desde la interfaz de Management Service, puede especificar la autenticación local o externa. La autenticación externa está inhabilitada para los usuarios locales de forma predeterminada. Puede activarse marcando la opción Habilitar autenticación externa al agregar el usuario local o modificar la configuración del usuario.

Importante: La autenticación externa solo se admite después de configurar un servidor de autenticación RADIUS, LDAP o TACACS.

Para establecer el tipo de autenticación

  1. En la ficha Configuración, en Sistema, haga clic en Autenticación.
  2. En el panel de detalles, haga clic en Configuración de autenticación.
  3. Defina los siguientes parámetros:
    • Tipo de servidor: Tipo de servidor de autenticación configurado para la autenticación de usuario. Valores posibles: LDAP, RADIUS, TACACS y Local.
    • Nombre del servidor: Nombre del servidor de autenticación configurado en Management Service. El menú muestra todos los servidores configurados para el tipo de autenticación seleccionado.
    • Habilitar autenticación local de reserva: También puede elegir autenticar a un usuario con la autenticación local cuando se produce un error en la autenticación externa. Esta opción está habilitada de forma predeterminada.
  4. Haga clic en Aceptar.

Habilitar o inhabilitar la autenticación básica

Puede autenticarse en la interfaz NITRO de Management Service mediante la autenticación básica. De forma predeterminada, la autenticación básica está habilitada en el dispositivo SDX.Realice lo siguiente para inhabilitar la autenticación básica mediante la interfaz de Management Service.

Para inhabilitar la autenticación básica

  1. En la ficha Configuración, haga clic en Sistema.
  2. En el grupo Configuración del sistema, haga clic en Cambiar configuración del sistema.
  3. En el cuadro de diálogo Configurar configuración del sistema, desactive la casilla de verificación Permitir autenticación básica.
  4. Haga clic en Aceptar.
Configurar los parámetros de autenticación y autorización