Citrix ADC

Authentification basée sur 401

Avec l’authentification basée sur 401, l’appliance Citrix ADC présente une boîte de dialogue contextuelle à l’utilisateur final.

AAA-TM basé sur 401

AAA-TM basé sur un formulaire fonctionne sur les messages de redirection. Toutefois, certaines applications ne prennent pas en charge les redirections. Dans de telles applications, l’authentification 401 AAA-TM activée est utilisée.

Assurez-vous que les points suivants pour que l’authentification 401 activée AAA-TM fonctionne :

  • La valeur du paramètre « AuthNvsName » du serveur virtuel d’équilibrage de charge doit être le nom du serveur virtuel d’authentification à utiliser pour authentifier les utilisateurs.

  • Le paramètre « authn401 » doit être activé. La commande pour configurer la même chose est la suivante :

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

Les étapes suivantes expliquant le fonctionnement de l’authentification 401 :

  1. L’utilisateur essaie d’accéder à une URL particulière à l’aide du serveur virtuel d’équilibrage de charge.

  2. Le serveur virtuel d’équilibrage de charge renvoie une réponse HTTP 401 à l’utilisateur indiquant que l’authentification est requise pour l’accès.
  3. L’utilisateur envoie ses informations d’identification au serveur virtuel d’équilibrage de charge dans l’en-tête d’autorisation.
  4. Le serveur virtuel d’équilibrage de charge authentifie l’utilisateur, puis connecte l’utilisateur aux serveurs principaux.

    Diagramme de flux AAA-TM basé sur 401

Important :

Pour un serveur virtuel d’équilibrage de charge dont l’authentification 401 est activée, plusieurs sessions d’authentification et d’autorisation peuvent être créées pour le même utilisateur en peu de temps. Cela pourrait entraîner un pic de mémoire. Dans ce cas, vous pouvez appliquer la configuration suivante sur l’appliance Citrix ADC pour déboguer et identifier l’application cliente finale.


>set syslogparams -userDefinedAuditlog yes
>
>add audit messageaction 401_log_act InFORMATIONAL '"LB-401 accessed: User: <" + AAA.USER.NAME + "> SessionID <"+ AAA.USER.SESSIONID + "> Client :<" + CLIENT.IP.SRC + "> accessed URL: <" + HTTP.REQ.URL + ">"'
>
>add rewritepolicy rewrite_401_log true NOREWRITE -logAction 401_log_act
>
>bind lb vserver <lb_name> -policyName rewrite_401_log -priority 100 -type reqUEST

<!--NeedCopy-->
Authentification basée sur 401