Citrix ADC SDX 13.0

Configurar el servidor de autenticación externa

Citrix ADC SDX Management Service puede autenticar usuarios con cuentas de usuario locales o mediante un servidor de autenticación externo. El dispositivo admite los siguientes tipos de autenticación:

  • Local: Se autentica en Management Service mediante una contraseña, sin hacer referencia a un servidor de autenticación externo. Los datos de usuario se almacenan localmente en Management Service.
  • RADIUS: Se autentica en un servidor de autenticación RADIUS externo.
  • LDAP: Se autentica en un servidor de autenticación LDAP externo.
  • TACACS: Se autentica en un servidor de autenticación del Sistema de control de acceso de controlador de acceso de terminal externo (TACACS).

Para configurar una autenticación externa, especifique el tipo de autenticación y configure un servidor de autenticación.

Adición de un servidor RADIUS

Para configurar la autenticación RADIUS, especifique el tipo de autenticación como RADIUS y configure el servidor de autenticación RADIUS.

Management Service admite la autenticación de respuesta por desafío RADIUS según las especificaciones de RADIUS. Los usuarios de RADIUS se pueden configurar con una contraseña única en el servidor RADIUS. Cuando el usuario inicia sesión en el dispositivo SDX, se le pide al usuario que especifique esta contraseña única.

Para agregar un servidor RADIUS

  1. En la ficha Configuración, en Sistema, expanda Autenticación y, a continuación, haga clic en Radio.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servidor Radius, escriba o seleccione valores para los parámetros:
    • Nombre *: Nombre del servidor.
    • Nombre del servidor / Dirección IP *: FQDN o dirección IP del servidor.
      Nota: DNS debe poder resolver el nombre de dominio completo (FQDN) especificado en una dirección IP, y solo se utiliza el DNS principal para resolver el FQDN. Para establecer manualmente el DNS principal, consulte la sección “Agregar un DNS principal para la resolución de nombres de FQDN”.
    • *Puerto **: Puerto en el que se ejecuta el servidor RADIUS. Valor predeterminado: 1812.
    • Tiempo de espera *: Número de segundos que el sistema esperará para recibir una respuesta del servidor RADIUS. Valor predeterminado: 3.
    • Clave secreta *: Clave compartida entre el cliente y el servidor. Esta información es necesaria para la comunicación entre el sistema y el servidor RADIUS.
    • Habilitar extracción de direcciones IP del NAS: Si está habilitada, la dirección IP del sistema (Management Service IP) se envía al servidor como “nasip” de acuerdo con el protocolo RADIUS.
    • NASID: Si se configura, esta cadena se envía al servidor RADIUS como “nasid” de acuerdo con el protocolo RADIUS.
    • Prefijo de grupo: Cadena de prefijo que precede a los nombres de grupo en un atributo RADIUS para la extracción de grupos RADIUS.
    • ID de proveedor de grupo: ID de proveedor para utilizar la extracción de grupos RADIUS.
    • Tipo de atributo de grupo: Tipo de atributo para la extracción de grupos RADIUS.
    • Separador de grupos: Cadena de separación de grupos que delimita los nombres de grupo dentro de un atributo RADIUS para la extracción de grupos RADIUS.
    • Identificador de proveedor de dirección IP: Id. de proveedor del atributo en el RADIUS que denota la IP de la intranet. Un valor de 0 indica que el atributo no está codificado por proveedor.
    • Tipo de atributo de dirección IP: Tipo de atributo del atributo de dirección IP remota en una respuesta RADIUS.
    • Identificador de proveedor de contraseña: ID de proveedor de la contraseña en la respuesta RADIUS. Se utiliza para extraer la contraseña de usuario.
    • Tipo de atributo de contraseña: Tipo de atributo del atributo de contraseña en una respuesta RADIUS.
    • Codificación de contraseñas: Cómo deben codificarse las contraseñas en los paquetes RADIUS que viajan del sistema al servidor RADIUS. Valores posibles: Pap, cap, mschapv1 y mschapv2.
    • Grupo de autenticación predeterminado: Grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.
    • Contabilidad: Habilite Management Service para registrar la información de auditoría con el servidor RADIUS.
  4. Haga clic en Crear y, a continuación, haga clic en Cerrar.

Adición de un servidor de autenticación LDAP

Para configurar la autenticación LDAP, especifique el tipo de autenticación como LDAP y configure el servidor de autenticación LDAP.

Para agregar un servidor LDAP

  1. En la ficha Configuración, en Sistema, expanda Autenticación y, a continuación, haga clic en LDAP.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servidor LDAP, escriba o seleccione valores para los parámetros:
    • Nombre *: Nombre del servidor.

    • Nombre del servidor / Dirección IP *: FQDN o dirección IP del servidor.
      Nota: DNS debe poder resolver el FQDN especificado en una dirección IP, y solo se utiliza el DNS principal para resolver el FQDN. Para establecer manualmente el DNS principal, consulte la sección “Agregar un DNS principal para la resolución de nombres de FQDN”.

    • *Puerto **: Puerto en el que se ejecuta el servidor LDAP. Valor predeterminado: 389.

    • Tiempo de espera *: Número de segundos que el sistema esperará para recibir una respuesta del servidor LDAP.

    • DN base: Base o nodo en el que debe iniciarse la búsqueda LDAP.

    • Tipo: Tipo de servidor LDAP. Valores posibles: Active Directory (AD) y Novell Directory Service (NDS).

    • DN de enlace administrativo: Nombre completo que se utiliza para enlazar con el servidor LDAP.

    • Contraseña administrativa: Contraseña que se utiliza para enlazar con el servidor LDAP.

    • Validar certificado LDAP: Marque esta opción para validar el certificado recibido del servidor LDAP.

    • Nombre de host LDAP: Nombre de host para el servidor LDAP. Si el parámetro ValidateServerCert está habilitado, este parámetro especifica el nombre de host en el certificado del servidor LDAP. Una falta de coincidencia de nombre de host causa un error de conexión.

    • Atributo de nombre de inicio de sesión de servidor: Atributo de nombre utilizado por el sistema para consultar el servidor LDAP externo o un Active Directory.

    • Filtro de búsqueda: Cadena que se va a combinar con la cadena de búsqueda de usuario LDAP predeterminada para formar el valor. Por ejemplo, vpnallowed = true con ldaploginame samaccount y el nombre de usuario bob proporcionado por el usuario produciría una cadena de búsqueda LDAP de: (& (vpnallowed = true) (samaccount = bob).

    • Atributo de grupo: Nombre de atributo para la extracción de grupo desde el servidor LDAP.

    • Nombre de subatributo: Nombre de subatributo para la extracción de grupos desde el servidor LDAP.

    • Tipo de seguridad: Tipo de cifrado para la comunicación entre el dispositivo y el servidor de autenticación. Valores posibles:

      PLAINTEXT: No se requiere cifrado.

      TLS: Se comunica con el protocolo TLS.

      SSL: Se comunica con el protocolo SSL

    • Grupo de autenticación predeterminado: Grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.

    • Referencias: Habilite el siguiente de las referencias LDAP recibidas desde el servidor LDAP.

    • Número máximo de referencias LDAP: Número máximo de referencias LDAP a seguir.

    • Habilitar cambio de contraseña: Permite al usuario modificar la contraseña si la contraseña caduca. Puede cambiar la contraseña solo cuando el tipo de seguridad configurado es TLS o SSL.

    • Habilitar extracción de grupos anidados: Permite habilitar la función de extracción de grupos anidados.

    • Nivel máximo de anidamiento: Número de niveles en los que se permite la extracción de grupos.

    • Identificador de nombre de grupo: Nombre que identifica de forma exclusiva un grupo en el servidor LDAP.

    • Atributo de búsqueda de grupos: Atributo de búsqueda de grupos LDAP. Se utiliza para determinar a qué grupos pertenece un grupo.

    • Subatributo de búsqueda de grupos: Subatributo de búsqueda de grupos LDAP. Se utiliza para determinar a qué grupos pertenece un grupo.

    • Filtro de búsqueda de grupos: Cadena que se va a combinar con la cadena de búsqueda de grupos LDAP predeterminada para formar el valor de búsqueda.

  4. Haga clic en Crear y, a continuación, haga clic en Cerrar.

Compatibilidad con autenticación de clave pública SSH para usuarios LDAP

El dispositivo SDX ahora puede autenticar a los usuarios LDAP a través de la autenticación de clave pública SSH para el inicio de sesión. La lista de claves públicas se almacena en el objeto de usuario en el servidor LDAP. Durante la autenticación, SSH extrae las claves públicas SSH del servidor LDAP. El inicio de sesión se realiza correctamente si alguna de las claves públicas recuperadas funciona con SSH.

El mismo nombre de atributo de la clave pública extraída debe estar presente tanto en el servidor LDAP como en el dispositivo Citrix ADC SDX.

Importante

Para la autenticación basada en claves, debe especificar una ubicación de las claves públicas estableciendo el valor de Authorizedkeysfile en el archivo**/etc/sshd_config en el siguiente aspecto:

AuthorizedKeysFile .ssh/authorized_keys

Usuario del sistema. Puede especificar la ubicación de las claves públicas para cualquier usuario del sistema estableciendo el valor de Authorizedkeysfile en el archivo**/etc/sshd_config.

Usuarios LDAP. La clave pública recuperada se almacena en /var/pubkey/<user_name>/tmp_authorized_keys-<pid>. <pid> es el número único agregado para diferenciar entre las solicitudes SSH simultáneas del mismo usuario. Esta es la ubicación temporal para mantener la clave pública durante el proceso de autenticación. La clave pública se elimina del sistema una vez completada la autenticación.

Para iniciar sesión con el usuario, ejecute el siguiente comando desde el símbolo del sistema de shell:

$ ssh –i <private key> <username>@<IPAddress>

Para configurar el servidor LDAP mediante la GUI:

  1. Vaya a Sistema > Autenticación > LDAP.
  2. En la página LDAP, haga clic en la ficha **Servidores**.
  3. Haga clic en cualquiera de los servidores LDAP disponibles.
  4. En la página Configurar servidor LDAP de autenticación, marque la casilla de verificación Autenticación para fines de autenticación.

Clave pública SSH-LDAP-

Nota

Desmarque la casilla de verificación Autenticación para usar “SSHPublicKeys” para la autenticación de usuarios LDAP.

Agregar un DNS principal para la resolución de nombres de FQDN

Si define un servidor RADIUS o LDAP mediante el FQDN del servidor en lugar de su dirección IP, debe establecer manualmente el DNS principal para resolver el nombre del servidor, ya sea mediante la GUI o la CLI.

Para establecer el DNS principal mediante la GUI, vaya a Sistema > Configuración de red > DNS.

Para establecer el DNS principal mediante la CLI, siga estos pasos.

  1. Abra una consola de Secure Shell (SSH).
  2. Inicie sesión en el dispositivo Citrix ADC SDX mediante las credenciales nsroot/nsroot.
  3. Ejecute el comando networkconfig.
  4. Seleccione el menú apropiado y actualice la dirección IPv4 DNS y guarde los cambios.

Si vuelve a ejecutar el comando networkconfig, verá el complemento DNS actualizado.

Agregar un servidor TACACS

Para configurar la autenticación TACACS, especifique el tipo de autenticación como TACACS y configure el servidor de autenticación TACACS.

Para agregar un servidor TACACS

  1. En la ficha Configuración, en Sistema, expanda Autenticación y, a continuación, haga clic en TACACS.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servidor TACACS, escriba o seleccione valores para los parámetros:
    • Nombre: Nombre del servidor TACA
    • Dirección IP: Dirección IP del servidor TACACS
    • Puerto: Puerto en el que se ejecuta el servidor TACACS. Valor predeterminado: 49
    • Tiempo de espera: Número máximo de segundos que el sistema esperará por una respuesta del servidor TACACS
    • Clave TACACS: Clave compartida entre el cliente y el servidor. Esta información es necesaria para que el sistema se comunique con el servidor TACACS
    • Contabilidad: Permite a Management Service registrar la información de auditoría con el servidor TACACAS.
    • Grupo de autenticación predeterminado: Grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.
  4. Haga clic en Crear y, a continuación, haga clic en Cerrar.
Configurar el servidor de autenticación externa