Documento técnico: Mejores prácticas para las implementaciones de Citrix ADC

Información general

Este documento técnico tiene como objetivo transmitir lo que un experto en ADC configuraría como una implementación genérica.

Nota: Es poco probable que haya una configuración única que se adapte a todos. Un consultor o administrador que comprenda mejor sus necesidades puede desviarse de estos valores predeterminados y documentar los motivos de dichos cambios.

Configuración de administración de energía y luces apagadas

Si ha adquirido un dispositivo Citrix ADC, debe asegurarse de que:

  1. Los Citrix ADC se implementan en ubicaciones lo suficientemente separadas como para cumplir con sus requisitos de alta disponibilidad.

  2. Las fuentes de alimentación redundantes de cada ADC (si las ha adquirido) están conectadas a fuentes de alimentación independientes.

  3. La tarjeta de administración de luces apagadas (si ha comprado aparatos con dicha tarjeta) está configurada.

Puede encontrar más información sobre la configuración de tarjetas de administración de luces apagadas aquí.

Cableado de red física, VLAN y conectividad

1. Todas las interfaces físicas que conectan el Citrix ADC a las redes son redundantes

Para garantizar el flujo de datos durante una falla de cable, switch o interfaz, conecte el ADC a cada red con cables redundantes.

Para combinar las interfaces que conectan cada red en un solo enlace (conocido como canal), debe configurar la agregación de enlaces en el ADC. Cuando sea posible, es preferible utilizar el protocolo LACP (LACP). Sin embargo, los enlaces agregados manuales también son posibles si los conmutadores de red no admiten LACP.

Puede encontrar instrucciones para configurar la agregación de enlaces en su Citrix ADC aquí.

En un entorno virtualizado o de nube, su proveedor se encarga de la redundancia de la interfaz, y este paso no es obligatorio.

2. Las interfaces físicas no utilizadas están desactivadas

Desactive las interfaces físicas que no esté utilizando. La desactivación de las interfaces no utilizadas evita que se conecten a otras redes o dispositivos de forma accidental o malintencionada.

Puede inhabilitar una interfaz física seleccionando Sistema, Red, Interfaces. Luego, marcando la casilla junto a la interfaz, haga clic en “Seleccionar acción”, seguido de”Desactivar”.

3. Configure todas las interfaces físicas redundantes para que no se supervisen para HA dentro del sistema, la red y las interfaces

Como cada red tiene conexiones redundantes, no es deseable que el ADC inicie una conmutación por error de HA cuando falla un solo enlace. En cambio, el ADC debe basarse en el enlace restante y solo activar una conmutación por error si todos los enlaces fallan.

Para evitar una conmutación por error de HA cuando falla una sola interfaz en un canal redundante, marque las interfaces de los componentes como no supervisadas.

Para marcar una interfaz como no supervisada, seleccione Sistema, Red, Interfaces. A continuación, seleccione cada interfaz que forme parte de cada canal redundante y configure el botón de opción “Supervisión de HA” en “OFF”.

En un entorno virtualizado o en la nube, tiene interfaces virtuales y no necesita realizar este paso, ya que su proveedor se encarga de la redundancia de la interfaz.

4. Todos los canales que comprenden interfaces físicas redundantes deben supervisarse para detectar HA dentro del sistema, la red y los canales

El fallo de todos los enlaces agregados que conectan el ADC a una red en particular hace que el canal que representa esos enlaces entre en un estado de falla/inactivo.

Verifique que se haya habilitado la supervisión para el canal y que el ADC realice una conmutación por error si fallan todos los enlaces redundantes.

Para marcar un canal como supervisado, selecciona Sistema, Red, Canales. A continuación, seleccione cada canal y coloque el botón de opción “Monitorización de HAen “ON”.

5. Todos los canales están enlazados a una VLAN independiente y se ha ocupado de que no haya canales sin etiquetar accidentalmente en VLAN 1

Cada canal redundante representa normalmente los enlaces físicos agregados que conectan el ADC a una red lógica particular.

En un entorno virtualizado o en la nube, es probable que cada interfaz represente enlaces físicos agregados con el proveedor que ha completado el trabajo de agregación por usted.

De forma predeterminada, el ADC considera que todas las interfaces, canales y direcciones IP son VLAN 1 y la misma red lógica. Por lo tanto, si se pasa por alto la configuración de VLAN, todas las direcciones IP asignadas al ADC estarán disponibles en todas las redes conectadas directamente.

Para evitar este comportamiento, configure las VLAN en el ADC para que representen sus redes lógicas y aísle el tráfico de manera adecuada.

Puede encontrar instrucciones para crear VLAN aquí.

6. Cree un par de alta disponibilidad entre sus ADC dentro del sistema, alta disponibilidad

Citrix considera que es una práctica recomendada implementar ADC de forma redundante. Puede lograr la redundancia mediante la implementación de un par de alta disponibilidad, la creación de un clúster o el uso de una tecnología como GSLB para dividir las solicitudes entre instancias. Los pares de HA comprenden dos nodos ADC y los clústeres pueden tener hasta 32 nodos. Para una implementación genérica, Citrix recomienda la creación de un par de alta disponibilidad de dos nodos.

Puede encontrar instrucciones para configurar un par de alta disponibilidad aquí

7. Crear y vincular un SNIP a cada VLAN, asegurándose de que cada SNIP esté en la subred de la red conectada

Citrix ADC inicia la comunicación desde una IP de subred (llamada SNIP) con excepciones limitadas.

Cree una IP/SNIP de subred para cada red lógica conectada directamente. Como ya aisló cada red mediante VLAN, debe vincular cada SNIP a su VLAN respectiva. Asegúrese de que a ninguna VLAN le falte un SNIP.

El ADC identifica en qué VLAN debe colocarse cada IP virtual (VIP) en función de las subredes del SNIP. A continuación, la configuración de VLAN aísla los servidores virtuales dentro de la red prevista.

Puede encontrar instrucciones para configurar SNIP aquí.

Nota: Los servicios de administración de host SNIP de forma predeterminada. Para crear SNIP sin el servicio de administración habilitado, agregue el parámetro “-mgmtAccess DISABLED” al comando “add ns IP”.

8. Configurar las rutas que el ADC requiere dentro del sistema, la red y las rutas

Si ha conectado varias redes lógicas, es probable que tenga enrutadores en cada una de ellas. Por lo tanto, ahora debe configurar todas las rutas que el ADC requiere para llegar a sus clientes y servidores back-end.

Puede encontrar instrucciones para configurar rutas aquí.

Nota: El ADC tiene una sola tabla de enrutamiento que se aplica a todas las interfaces.

9. Cree las rutas basadas en políticas necesarias

Ocasionalmente, es imposible configurar una ruta estática para proporcionar el comportamiento deseado.

Un ADC con distintas redes de entrada, egreso y administración dedicadas, así como clientes de administración en la red de egreso, es el ejemplo más frecuente.

Las reglas estáticas no bastarían en este caso. En cambio, se requeriría una ruta basada en políticas (PBR). Al usar un PBR, puede forzar que el tráfico de la IP de administración del ADC viaje a través del enrutador de administración. El uso de un PBR evitará la tabla de enrutamiento estático, que de lo contrario enviaría datos a la red de salida.

Puede encontrar instrucciones para configurar rutas basadas en políticas aquí.

Sin embargo, si tiene el escenario descrito en nuestro ejemplo, necesita el siguiente PBR:

add ns pbr Management ALLOW -srcIP = <NSIP_of_first_HA_node>-<NSIP_of_second_HA_node> -destIP "!=" <first_IP_management_subnet>–<last_IP_management_subnet> -nextHop <management_subnet_router> - priority 1
apply pbrs
<!--NeedCopy-->

10. Asegúrese de poder hacer ping a cada SNIP con el reenvío basado en Mac (MBF) inhabilitado o que entiende por qué no puede

Citrix ADC tiene un modo llamado Reenvío basado en Mac (MBF). MBF hace que el ADC ignore la tabla de enrutamiento y envíe respuestas a la dirección MAC desde la que recibió el tráfico.

MBF es de gran utilidad cuando no puede definir sus rutas. Supongamos que el ADC tiene varias conexiones a Internet y debe responder mediante el router de Internet a través del cual llegó el tráfico. En este caso, MBF haría que el ADC registrara la dirección MAC de origen de cada conexión y la usaría como MAC de destino en su respuesta.

Sin embargo, hacer que MBF anule la tabla de enrutamiento puede hacer más compleja la resolución de problemas. Con MBF, no puede comprender los flujos de tráfico del archivo de configuración del ADC solo, ya que MBF anula la tabla de enrutamiento y es posible que el tráfico no fluya según lo previsto. El resultado es que MBF, si bien es crucial para algunas implementaciones, también puede provocar que las configuraciones incorrectas en la red de soporte no se detecten.

Desactive MBF para asegurarse de que la tabla de enrutamiento y los PBRs sean correctos. Después de inhabilitar MBF, verifique que cada SNIP siga siendo accesible o que entiende por qué no lo hace.

El comando para inhabilitar MBF es

disable ns mode mbf
<!--NeedCopy-->

El comando para habilitar MBF es

enable ns mode mbf
<!--NeedCopy-->

Si no necesita MBF, déjelo desactivado.

Puede encontrar más información sobre el reenvío basado en Mac aquí.

11. Ha instalado un nuevo certificado SSL y una clave para la GUI de administración en Traffic Management, SSL, Certificates


Los navegadores web no confían en el certificado SSL predeterminado de Citrix ADC. La falta de confianza hace que los navegadores muestren un mensaje de advertencia al acceder a los servicios de administración del ADC.

Las advertencias del navegador para los certificados están destinadas a alertar a los usuarios cuando la conexión no es segura. Citrix recomienda reemplazar el certificado SSL predeterminado para que los usuarios de administración no se acostumbren a aceptar mensajes de advertencia.

Puede encontrar información sobre cómo reemplazar el certificado SSL de administración aquí.

Nota: Como Citrix ADC comparte el certificado SSL de administración entre los nodos de alta disponibilidad, se debe confiar en el certificado de reemplazo para todos los FQDN utilizados con fines de administración. Citrix recomienda usar un certificado de SAN para incluir el FQDN de ambos nodos de alta disponibilidad.

Valores de configuración base

1. Establecer la zona horaria y habilitar NTP

Tener marcas de tiempo precisas y fáciles de entender en los archivos de registro es vital a la hora de solucionar problemas o gestionar un problema de seguridad.

Primero, establece la zona horaria en algo que tenga sentido para ti. Por ejemplo, si tiene dispositivos que inician sesión en un servidor syslog central y necesita hacer referencias cruzadas de los datos de cada uno, utilice la misma zona horaria que los servidores existentes.

El comando para establecer la zona horaria es:

set ns param -timezone CoordinatedUniversalTime
<!--NeedCopy-->

En segundo lugar, agregue servidores NTP y habilite la sincronización horaria con los comandos:

add ntp server pool.ntp.org
enable ntp sync
<!--NeedCopy-->

Después de habilitar la sincronización horaria, consulte el estado de NTP para verificar el comportamiento correcto mediante el siguiente comando:

nsroot@StevensADC-Primary> show ntp status

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*any.time.nl     85.199.214.99    2 u  113 1024  377   21.138   +0.762   0.654
 Done
 nsroot@StevensADC-Primary>
<!--NeedCopy-->

Puede encontrar detalles sobre cómo llegar a la zona horaria mediante la GUI del ADC aquí.

Puede encontrar información sobre cómo agregar servidores NTP aquí.

2. Crear una clave de cifrado de claves

Se utiliza una clave de cifrado de clave (comúnmente conocida como KEK) para cifrar y descifrar las credenciales que el ADC debe almacenar de forma reversible. Por ejemplo, el ADC debe mantener su contraseña de enlace LDAP reversible para recuperarla en el momento de la autenticación.

Desde el firmware 13.0—76.31 de Citrix ADC, el ADC crea automáticamente una KEK. En el firmware posterior, el comando devuelve un mensaje de error que puede ignorar sin peligro.

En versiones anteriores, puede crear una KEK con el comando:

create kek <RANDOMSTRING>
<!--NeedCopy-->

3. Establecer una contraseña nsroot no predeterminada

Las versiones recientes del firmware de Citrix ADC le piden que cambie la contraseña predeterminada de la cuenta “nsroot” cuando inicie sesión por primera vez. Las compilaciones de firmware recientes solicitan el cambio de contraseña cuando el parámetro del sistema “-forcePasswordChange” está habilitado.

Para versiones anteriores, debe cambiar la contraseña “nsroot” con el comando:

set system user nsroot -password <NSROOTPASSWORD>
<!--NeedCopy-->

4. Agregar una cuenta para ADM con la autenticación externa inhabilitada


Lo ideal es conectar todos sus ADC de Citrix a ADM para obtener licencias y administración centralizadas. La conexión a ADM requiere un nombre de usuario y una contraseña que se pueden crear con los siguientes comandos:

add system user admuser <ADMPASSWORD> -externalAuth DISABLED -timeout 900
bind system user admuser superuser 100
set system user admuser -externalAuth DISABLED
<!--NeedCopy-->

Puede encontrar más información sobre ADM aquí.

5. Restringir el acceso de las aplicaciones no administrativas al NSIP y solo al acceso HTTPS

Evite que los servicios que no son de administración accedan a la IP de administración y configure la IP de administración para que requiera un acceso de comunicación seguro (HTTPS en lugar de HTTP).

set ns ip NSIP -restrictAccess enabled -gui SECUREONLY
<!--NeedCopy-->

Puede encontrar más información sobre cómo restringir el acceso al NSIP aquí.

6. Establecer una contraseña de nodo RPC no predeterminada

Configure la comunicación RPC (utilizada para HA y GSLB) para que utilice una contraseña que no sea la predeterminada.

set rpcNode <NSIP_OF_SECONDARY_NODE> -password <RPC_SECONDARY_PASSWORD> -secure YES

set rpcNode <NSIP_OF_PRIMARY_NODE> -password <RPC_PRIMARY_PASSWORD> -secure YES
<!--NeedCopy-->

7. El modo a prueba de fallos de alta disponibilidad está habilitado para garantizar que el último nodo en buen estado siga prestando servicio

Si las interfaces o rutas de alta disponibilidad supervisadas de un ADC indican un error, el ADC entra en un estado de mal estado y activa una conmutación por error de alta disponibilidad. Si el segundo nodo de alta disponibilidad entra en un estado de mal estado, ambos dejan de prestar servicio.

El modo a prueba de fallos de alta disponibilidad garantiza que el último nodo superviviente de un par siga intentando proporcionar servicios empresariales.

set HA node -failSafe ON
<!--NeedCopy-->

Puede encontrar más información sobre el modo a prueba de fallos de alta disponibilidad aquí.

8. Restringir los failovers de HA a 3 en 1200 segundos

En el improbable caso de que se produzcan conmutaciones por error de HA de forma repetida, llega el punto en el que desea que se detengan e intenten prestar el servicio.

Aquí definimos un límite de tres conmutaciones por error de HA en un período de 1200 segundos (20 minutos).

set ha node -maxFlips 3
set ha node -maxFlipTime 1200
<!--NeedCopy-->

9. Inhabilitar SSLv3 para los servicios de administración

La GUI de administración de Citrix ADC tiene habilitados SSLv3 y TLS1.0 de forma predeterminada. Para garantizar una comunicación segura, desactivaremos SSLv3.

set ssl service nshttps-::1l-443 -ssl3 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled
<!--NeedCopy-->

Según la política de seguridad interna de su empresa, puede inhabilitar TLS1.0 de forma opcional.

set ssl service nshttps-::1l-443 -ssl3 disabled -tls1 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled -tls1 disabled
<!--NeedCopy-->

10. Definir modos y funciones genéricos

Citrix ADC tiene el modo de capa 3 habilitado de forma predeterminada. El modo de capa 3 hace que el ADC actúe como un router y normalmente se puede inhabilitar de forma segura. El modo perimetral hace que el ADC aprenda dinámicamente los detalles sobre los servidores back-end cuando se utilizan en una configuración como el balanceo de carga de enlaces.

disable ns mode l3 edge
<!--NeedCopy-->

Puede encontrar más información sobre el modo Capa 3 aquí.

Los modos y funciones específicos que necesita dependen de su caso de uso. Sin embargo, podemos seleccionar una lista de opciones que se aplicarían a la mayoría de las instalaciones.

enable ns feature lb ssl rewrite responder cmp
<!--NeedCopy-->

Puede encontrar más información sobre los modos y las funciones aquí.

11. Configurar uno o más servidores de nombres DNS

El Citrix ADC necesita tener acceso a uno o más servidores de nombres para la resolución de DNS. Citrix ADC comprueba si los servidores DNS están en línea mediante un monitor ICMP. Para utilizar la supervisión basada en DNS y distribuir la carga, es habitual implementar un servidor virtual de equilibrio de carga de DNS local.

Como DNS puede usar UDP o TCP, creamos un servidor virtual de equilibrio de carga para cada protocolo.

Configure los servidores de nombres con los siguientes comandos:

add lb virtual server DNS_UDP DNS 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_UDP_SVG DNS -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_UDP DNS_UDP_SVG

add lb monitor DNS_UDP_monitor DNS -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_UDP_SVG -monitorName DNS_UDP_monitor

bind serviceGroup DNS_UDP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_UDP_SVG <DNSSERVERIP2> 53


add lb virtual server DNS_TCP DNS_TCP 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_TCP_SVG DNS_TCP -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_TCP DNS_TCP_SVG

add lb monitor DNS_TCP_monitor DNS-TCP -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_TCP_SVG -monitorName DNS_TCP_monitor

bind serviceGroup DNS_TCP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_TCP_SVG <DNSSERVERIP2> 53

add dns nameServer DNS_UDP -type UDP
add dns nameServer DNS_TCP -type TCP
<!--NeedCopy-->

12. Establecer los parámetros TCP y HTTP

Mientras que el escalado de ventana (WS) y el acuse de recibo selectivo (SACK) ahora están habilitados de forma predeterminada en el firmware ADC 13.0, debe habilitar esta configuración de TCP en versiones de firmware anteriores.

set ns tcpparam -WS ENABLED
set ns tcpparam -SACK ENABLED
<!--NeedCopy-->

Nagle hace que Citrix ADC combine datos para enviar una cantidad menor de paquetes más grandes y se puede habilitar con el siguiente comando.

set ns tcpparam -nagle ENABLED
<!--NeedCopy-->

De forma predeterminada, Citrix ADC reenvía las solicitudes HTTP que llegan a un equilibrador de carga pero que no cumplen con el estándar RFC. Configure el ADC para descartar solicitudes no válidas de forma predeterminada.

Para permitir excepciones al valor predeterminado, puede cambiar las opciones de HTTP en un servidor virtual individual después de hablar con su equipo de seguridad.

Desactive la compatibilidad con el protocolo HTTP/0.9, que ha estado obsoleto durante más de 20 años. Como referencia, Mosaic 2.0 en Windows 3.1 incluye soporte para HTTP/1.0.

set ns httpparam -dropInvalReqs ENABLED -markHttp09Inval ON
<!--NeedCopy-->

La versión 0 de la cookie incluye marcas de tiempo absolutas, mientras que las cookies de la versión 1 tienen una hora relativa. Las cookies con una marca de tiempo absoluta no caducan a la hora prevista si el cliente y el reloj de ADC difieren. Sin embargo, las cookies con un tiempo relativo de +X minutos hasta la caducidad sí lo harán.

Internet Explorer 2 incluyó compatibilidad con las cookies de la versión 1 en 1995 y es poco probable que experimente problemas al habilitar esta opción.

set ns param -cookieversion 1
<!--NeedCopy-->

13. Restringir las consultas SNMP a servidores seleccionados

Es una buena práctica que el ADC solo responda a las consultas SNMP de los hosts que se supone que deben realizar dichas consultas. Limite los hosts en los que el ADC permite consultas SNMP mediante el comando:

set snmp manager SNMPMANAGERIP
<!--NeedCopy-->

Puede encontrar más información sobre la configuración de SNMP aquí.

14. Establecer alarmas y capturas SNMP

Es útil que el ADC genere alertas cuando se producen condiciones de uso elevado de la CPU o la memoria. Puede enviar alertas a través de la configuración de capturas a su servidor SNMP. Es posible que también desee activar alertas cuando se produzcan conmutaciones por error de alta disponibilidad. Puede implementar dicha configuración con los siguientes comandos:

set snmp alarm CPU-USAGE -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Informational
set snmp alarm MEMORY -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Critical
set snmp alarm HA-STATE-CHANGE -severity Critical

add snmp trap generic SNMPTRAPDSTIP -communityName public
<!--NeedCopy-->

Nota: Citrix recomienda que considere la posibilidad de revisar periódicamente los valores de umbral para asegurarse de que el ADC alerta sobre el comportamiento anormal que desea investigar.

15 Configurar un servidor syslog remoto

El registro de auditoría debe configurarse en un ADC y los registros de auditoría deben almacenarse y analizarse en un servidor remoto.

Puede configurar Citrix ADC para enviar registros de auditoría a un servidor Syslog remoto mediante los siguientes comandos:

add audit syslogAction RemoteSyslogServerAction SYSLOGSERVERIP -loglevel ALL
add audit syslogpolicy RemoteSyslogServerPolicy true RemoteSyslogServerAction
bind audit syslogGlobal -policyName RemoteSyslogServerPolicy -priority 100
<!--NeedCopy-->

[Puede encontrar más información sobre el registro de auditoría aquí] (/es-es/citrix-adc/current-release/system/audit-logging.html)

16. Establecer un tiempo de espera y solicitar sesiones de gestión

Citrix ADC 13.0 permite un valor predeterminado de 900 segundos (15 minutos) antes de desconectar las sesiones de administración inactivas. En las versiones de firmware anteriores, debe asegurarse de haber configurado un tiempo de espera adecuado.

set system parameter -timeout 900
<!--NeedCopy-->

Un administrador puede abrir sesiones SSH en varios ADC al mismo tiempo. Cambiar el indicador de la CLI del ADC ayuda a aclarar el nodo al que está conectada una sesión.

Los siguientes comandos hacen que el indicador de la CLI muestre su nombre de usuario, el nombre de host del ADC y el estado de alta disponibilidad de la instancia.

set system parameter -promptString %u@%h-%s
<!--NeedCopy-->

Después de ejecutar el comando, el indicador se mostrará como:

nsroot@hostname-Primary>
<!--NeedCopy-->

17. Autenticación centralizada para cuentas administrativas

Por lo general, los equipos de seguridad consideran que es mejor controlar las cuentas de administración desde una plataforma central, como Active Directory, que crear cuentas en cada dispositivo. Por lo general, estas cuentas centralizadas reciben permisos en función de la pertenencia al grupo.

La razón fundamental para la autenticación y autorización centralizadas suele ser que la administración de cuentas en cada dispositivo lleva mucho tiempo y es propensa a errores. Además, existe el riesgo de que los usuarios de administración no cambien sus contraseñas con frecuencia y que el departamento de TI se olvide de eliminar las cuentas de los exempleados.

Utilice los siguientes comandos para configurar la autenticación centralizada, teniendo en cuenta que el filtro LDAP controla quién puede iniciar sesión.

add authentication ldapAction LDAP_mgmt_auth -serverIP <LDAPMANAGEMENTSERVERIP> -serverPort 636 -ldapBase "<dc=mycoolcompany,dc=local>" -ldapBindDn "<serviceaccount@mycoolcompany.local>" -ldapBindDnPassword <LDAPPASSWORD> -ldapLoginName <sAMAccountName> -searchFilter "&(|(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-FullAccess,ou=groups,dn=mycoolcompany,dc=local>)(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-ReadOnly,ou=groups,dn=mycoolcompany,dc=local>))" -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED -nestedGroupExtraction ON -maxNestingLevel 5 -groupNameIdentifier samAccountName -groupSearchAttribute memberOf -groupSearchSubAttribute CN

add authentication Policy LDAP_mgmt_pol -rule true -action LDAP_mgmt_auth
bind system global LDAP_mgmt_pol -priority 100
<!--NeedCopy-->

Si bien estos comandos implementan la autenticación, no controlan la autorización y, de forma predeterminada, los usuarios autenticados no pueden realizar ninguna acción.

Para otorgar al usuario (o más exactamente, al grupo del que el usuario es miembro) el derecho a realizar acciones en el ADC, debe usar los siguientes comandos:

add system group Citrix-ADC-FullAccess -timeout 900
add system group Citrix-ADC-ReadOnly -timeout 900
bind system group Citrix-ADC-FullAccess -policyName superuser 100
bind system group Citrix-ADC-ReadOnly -policyName read-only 110
<!--NeedCopy-->

Puede encontrar más información sobre la autenticación y autorización centralizadas aquí.

También puede encontrar información sobre la cadena de filtro LDAP utilizada anteriormente aquí.

Además, a partir de la versión 12.1.51.16 del firmware de ADC, puede configurar la autenticación multifactor para los usuarios de administración siguiendo los pasos que se indican aquí.

18. Inhabilitar la autenticación LDAP para el usuario nsroot

Como Citrix ADC procesa la autenticación y la autorización por separado, los usuarios pueden autenticarse mediante LDAP y el ADC concede permisos en función de su pertenencia al grupo.

Aunque no es una buena idea, también puede crear cuentas de usuario con permisos de autorización en el ADC. Se podría usar una contraseña asociada a un usuario de Active Directory con el mismo nombre para autenticar estas cuentas.

Para evitar que un administrador de Active Directory cree un usuario “nsroot” y pueda autenticarse, debe inhabilitar la autenticación externa para la cuenta de usuario “nsroot”.

set system user nsroot -externalAuth DISABLED
<!--NeedCopy-->

19. Mejores prácticas de TLS/SSL

Ahora puede seguir el documento de prácticas recomendadas de TLS/SSL para definir un conjunto de cifrado seguro que se pueda utilizar para proteger sus servidores virtuales.

Puede encontrar el documento de mejores prácticas de TLS/SSL aquí.

Documento técnico: Mejores prácticas para las implementaciones de Citrix ADC

En este artículo