NetScaler SDX

Configurar los ajustes de autenticación y autorización

La autenticación con el Servicio de administración SDX de NetScaler puede ser local o externa. Con la autenticación externa, el Servicio de administración concede acceso a los usuarios en función de la respuesta de un servidor externo. Management Service admite los siguientes protocolos de autenticación externa:

  • Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)
  • Sistema de control de acceso de controlador de acceso de terminal (TACACS)
  • Protocolo ligero de acceso a directorios (LDAP)

Management Service también admite solicitudes de autenticación de SSH. La autenticación SSH solo admite solicitudes de autenticación interactiva de teclado. La autorización de los usuarios de SSH se limita solo a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.

Para configurar la autenticación, especifique el tipo de autenticación y configure un servidor de autenticación.

La autorización a través del Servicio de administración es local. Management Service admite dos niveles de autorización. Los usuarios con privilegios de administrador pueden realizar cualquier acción en Management Service. Los usuarios con privilegios de solo lectura solo pueden realizar operaciones de lectura. La autorización de los usuarios de SSH se limita solo a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.

La autorización para RADIUS y LDAP es compatible con la extracción de grupos. Puede establecer los atributos de extracción de grupo durante la configuración de los servidores RADIUS o LDAP en Management Service. El nombre del grupo extraído coincide con los nombres de grupo en Management Service para determinar los privilegios otorgados al usuario. Un usuario puede pertenecer a varios grupos. En ese caso, si algún grupo al que pertenece el usuario tiene privilegios de administrador, el usuario tiene privilegios de administrador. Se puede establecer un atributo de grupo Autenticación predeterminada durante la configuración. Este grupo se considera junto con los grupos extraídos para su autorización.

En la autorización TACACS, el administrador del servidor TACACS debe permitir un comando especial, admin para un usuario con privilegios de administrador y denegar este comando para los usuarios con privilegios de solo lectura. Cuando un usuario inicia sesión en un dispositivo SDX, el Servicio de administración comprueba si el usuario tiene permiso para ejecutar este comando. Si el usuario tiene permiso, se le asignan los privilegios de administrador; de lo contrario, se le asignan privilegios de solo lectura.

Agregar un grupo de usuarios

Los grupos son conjuntos lógicos de usuarios que necesitan acceder a información común o realizar tareas similares. Puede organizar a los usuarios en grupos definidos por un conjunto de operaciones comunes. Al proporcionar permisos específicos a grupos en lugar de a usuarios individuales, puede ahorrar tiempo al crear usuarios.

Si utiliza servidores de autenticación externos para la autenticación, los grupos de SDX se pueden configurar para que coincidan con los grupos configurados en los servidores de autenticación. Cuando un usuario que pertenece a un grupo cuyo nombre coincide con un grupo en un servidor de autenticación, inicia sesión y se autentica, el usuario hereda la configuración del grupo.

Para agregar un grupo de usuarios

  1. En la ficha Configuración, en Sistema, expanda Administración de usuariosy, a continuación, haga clic en Grupos.
  2. En el panel de detalles, haga clic en Agregar.

    add-group

  3. En la página Crear grupo de sistemas, defina los siguientes parámetros:
    • Nombre del grupo
    • Descripción del grupo
    • Acceso al sistema: seleccione esta casilla para dar acceso a todo el dispositivo SDX y a las instancias que se ejecutan en él. Como alternativa, para el acceso a nivel de instancia, especifique las instancias en Instances.
    • Permiso
    • Configurar tiempo de espera de sesión de usuario
    • Usuarios: usuarios de la base de datos que pertenecen al grupo. Seleccione los usuarios que quiere agregar al grupo.
  4. Haga clic en Crear y Cerrar.

Nota: Para crear un grupo con función de administrador en un dispositivo SDX que se actualice de la versión 10.5 a la versión 11.1, seleccione la casilla de verificación “permiso de lectura y escritura” y “Acceso al sistema”. En SDX 10.5, esta casilla de verificación no está disponible y los valores de Permiso son “administrador” y “solo lectura”.

Configurar cuentas de usuario

Un usuario inicia sesión en el dispositivo SDX para realizar tareas de administración del dispositivo. Para permitir que un usuario acceda al dispositivo, debe crear una cuenta de usuario en el dispositivo SDX para ese usuario. Los usuarios se autentican localmente, en el dispositivo.

Importante: La contraseña se aplica al dispositivo SDX, Management Service y Citrix Hypervisor. No cambie la contraseña directamente en Citrix Hypervisor.

Para configurar una cuenta de usuario

  1. En la ficha Configuración, en Sistema, expanda Administración y, a continuación, haga clic en Usuarios. El panel Usuarios muestra una lista de las cuentas de usuario existentes, con sus permisos.

  2. En el panel Usuarios, lleve a cabo una de las siguientes acciones:

    • Para crear una cuenta de usuario, haga clic en Agregar.
    • Para modificar una cuenta de usuario, seleccione el usuario y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear usuariodel sistema o Modificar usuario del sistema, defina los siguientes parámetros:

    • Nombre *: El nombre de usuario de la cuenta. Se permiten los siguientes caracteres en el nombre: Letras de la a a la z y de la A a la Z, números del 0 al 9, punto (.), espacio y guión bajo (_). Longitud máxima: 128. No se le puede cambiar el nombre.
    • Contraseña *: La contraseña para iniciar sesión en el dispositivo. Longitud máxima: 128
    • Confirmar contraseña *: La contraseña.
    • Permiso *: Privilegios del usuario en el dispositivo. Valores posibles:
      • admin: El usuario puede realizar todas las tareas de administración relacionadas con Management Service.
      • Solo lectura: El usuario solo puede supervisar el sistema y cambiar la contraseña de la cuenta. Predeterminado: Admin.
    • Habilitar autenticación externa: Habilita la autenticación externa para este usuario. Management Service intenta la autenticación externa antes de la autenticación del usuario de la base de datos. Si este parámetro está inhabilitado, el usuario no se autentica con el servidor de autenticación externo. Nota: Si no se puede acceder al servidor de autenticación remota, es posible que el usuario pierda el acceso al dispositivo. En tales casos, la autenticación recurre al usuario administrador predeterminado (nsroot).
    • Configurar tiempo de espera de sesión: Permite configurar el período de tiempo durante el tiempo que un usuario puede permanecer activo. Especifique los siguientes detalles:
      • Tiempo de espera de sesión: Período de tiempo durante cuánto tiempo puede permanecer activa una sesión de usuario.
      • Unidad de tiempo de espera de sesión: La unidad de tiempo de espera, en minutos u horas.
    • Grupos: Asigna los grupos al usuario.

    *Un parámetro requerido

  4. Haga clic en Crear o en Aceptar y, a continuación, en Cerrar. El usuario que creó aparece en el panel Usuarios.

Para eliminar una cuenta de usuario

  1. En la ficha Configuración, en el panel de navegación, expanda Sistema, expanda Administracióny, a continuación, haga clic en Usuarios.
  2. En el panel Usuarios, seleccione la cuenta de usuario y, a continuación, haga clic en Eliminar.
  3. En el cuadro Confirmar mensaje, haga clic en Aceptar.

Establecer el tipo de autenticación

Desde la interfaz del Servicio de administración, puede especificar la autenticación local o externa. La autenticación externa está inhabilitada para los usuarios locales de forma predeterminada. Se puede habilitar marcando la opción Habilitar autenticación externa al agregar el usuario local o al modificar la configuración del usuario.

Importante: La autenticación externa solo se admite después de configurar un servidor de autenticación RADIUS, LDAP o TACACS.

Para establecer el tipo de autenticación

  1. En la ficha Configuración, en Sistema, haga clic en Autenticación.
  2. En el panel de detalles, haga clic en Configuración de autenticación.
  3. Defina los siguientes parámetros:
    • Tipo de servidor: Tipo de servidor de autenticación configurado para la autenticación de usuario. Valores posibles: LDAP, RADIUS, TACACS y Local.
    • Nombre del servidor: Nombre del servidor de autenticación configurado en Management Service. El menú enumera todos los servidores configurados para el tipo de autenticación seleccionado.

    • Habilitar autenticación local de reserva: También puede elegir autenticar a un usuario con la autenticación local cuando se produce un error en la autenticación externa. Esta opción está habilitada de forma predeterminada.
  4. Haga clic en Aceptar.

Habilitar o inhabilitar la autenticación básica

Puede autenticarse en la interfaz NITRO del Servicio de administración mediante la autenticación básica. De forma predeterminada, la autenticación básica está habilitada en el dispositivo SDX. Realice lo siguiente para inhabilitar la autenticación básica mediante la interfaz del Servicio de administración.

Para inhabilitar la autenticación básica

  1. En la ficha Configuración, haga clic en Sistema.
  2. En el grupo Configuración del sistema, haga clic en Cambiar configuración del sistema.
  3. En el cuadro de diálogo Configurar configuración del sistema, desactive la casilla de verificación Permitir autenticación básica.
  4. Haga clic en Aceptar.
Configurar los ajustes de autenticación y autorización