Citrix ADC

Configuration du serveur virtuel d’authentification

Pour configurer l’authentification, l’autorisation et l’audit, configurez d’abord un serveur virtuel d’authentification pour gérer le trafic d’authentification. Ensuite, liez une paire de clés de certificat SSL au serveur virtuel pour lui permettre de gérer les connexions SSL. Pour plus d’informations sur la configuration de SSL et la création d’une paire de clés de certificat, reportez-vous à la section Certificats SSL.

Pour configurer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande

Pour configurer un serveur virtuel d’authentification et vérifier la configuration, à l’invite de commandes, tapez les commandes suivantes dans l’ordre indiqué :

  • add authentication vserver <name> ssl <ipaddress>

  • show authentication vserver <name>

  • bind ssl certkey <certkeyName>

  • show authentication vserver <name>

  • set authentication vserver <name>

  • show authentication vserver <name>

    Exemple

  • add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
  • bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

Remarque

Le paramètre Authentication Domain est obsolète. Utilisez le profil d’authentification pour définir les cookies à l’échelle du domaine.

Pour configurer un serveur virtuel d’authentification à l’aide de l’utilitaire de configuration

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :

    • Pour créer un serveur virtuel d’authentification, cliquez sur Ajouter.
    • Pour modifier un serveur virtuel d’authentification existant, sélectionnez le serveur virtuel, puis cliquez sur Modifier. La boîte de dialogue Configuration s’ouvre avec la zone Paramètres de base développée.
  3. Spécifiez les valeurs des paramètres comme suit (l’astérisque indique un paramètre obligatoire) :

    • nom*—name (Impossible de changer pour un serveur virtuel créé précédemment)
    • Type d’adresse IP*
    • Adresse IP*—adresse IP du serveur virtuel d’authentification
    • port*—port TCP sur lequel le serveur virtuel accepte les connexions.
    • Délai d’expiration de la connexion échoué—failedLoginTimeout (secondes autorisées avant l’échec de la connexion et l’utilisateur doit recommencer le processus de connexion.)
    • Nombre maximal de tentatives de connexion—maxLoginAttempts (Nombre de tentatives de connexion autorisées avant le verrouillage de l’utilisateur)

    Remarque

    Le serveur virtuel d’authentification utilise uniquement le protocole SSL et le port 443, de sorte que ces options sont grisées. Toutes les options qui ne sont pas mentionnées ne sont pas pertinentes et doivent être ignorées.

  4. Cliquez sur Continuer pour afficher la zone Certificats.
  5. Dans la zone Certificats, configurez tous les certificats SSL que vous souhaitez utiliser avec ce serveur virtuel.

    • Pour configurer un certificat d’autorité de certification, cliquez sur la flèche située à droite de Certificat d’autorité de certification pour afficher la boîte de dialogue Clé de certification, sélectionnez le certificat que vous souhaitez lier à ce serveur virtuel, puis cliquez sur Enregistrer.
    • Pour configurer un certificat de serveur, cliquez sur la flèche située à droite du certificat de serveur et suivez le même processus que pour le certificat d’autorité de certification.
  6. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification avancées .
  7. Si vous souhaitez lier une stratégie d’authentification avancée au serveur virtuel, cliquez sur la flèche située à droite de la ligne pour afficher la boîte de dialogue Stratégie d’authentification, choisissez la stratégie que vous souhaitez lier au serveur, définissez la priorité, puis cliquez sur OK.
  8. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification de base .
  9. Si vous souhaitez créer une stratégie d’authentification de base et la lier au serveur virtuel, cliquez sur le signe plus pour afficher la boîte de dialogue Stratégies, puis suivez les invites pour configurer la stratégie et la lier à ce serveur virtuel.
  10. Cliquez sur Continuer pour afficher la zone Serveurs virtuels basés sur 401.
  11. Dans la zone Serveurs virtuels basés sur 401, configurez tous les serveurs virtuels d’équilibrage de charge ou de commutation de contenu que vous souhaitez lier à ce serveur virtuel.

    • Pour lier un serveur virtuel d’équilibrage de charge, cliquez sur la flèche située à droite du serveur virtuel LB pour afficher la boîte de dialogue Serveurs virtuels LB et suivez les invites.
    • Pour lier un serveur virtuel de commutation de contenu, cliquez sur la flèche située à droite du serveur virtuel CS pour afficher la boîte de dialogue Serveurs virtuels CS et suivez le même processus que pour lier un serveur virtuel LB.
  12. Si vous souhaitez créer ou configurer un groupe, dans la zone Groupes, cliquez sur la flèche pour afficher la boîte de dialogue Groupes et suivez les invites.
  13. Vérifiez vos paramètres et lorsque vous avez terminé, cliquez sur Terminé. La boîte de dialogue se ferme. Si vous avez créé un nouveau serveur virtuel d’authentification, il apparaît maintenant dans la liste de la fenêtre Configuration .

Configuration d’une authentification NoAuth

L’appliance Citrix ADC prend désormais en charge la fonctionnalité d’authentification noAuth qui permet au client de configurer un paramètre defaultAuthenticationGroup dans la commande noAuthAction, lorsqu’un utilisateur exécute cette stratégie. L’administrateur peut vérifier la présence de ce groupe dans le groupe de l’utilisateur pour déterminer la navigation de l’utilisateur via la stratégie NoAuth.

Pour configurer une authentification NoAuth à l’aide de l’interface de ligne de commande

add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]

Exemple

add authentication noAuthAction noauthact —defaultAuthenticationGroup mynoauthgroup