Stratégies d’authentification

Remarque

L’appliance Citrix ADC code uniquement les caractères UTF-8 pour l’authentification et n’est pas compatible avec les serveurs qui utilisent des caractères ISO-8859-1.

Citrix ADC peut authentifier les utilisateurs avec des comptes d’utilisateurs locaux ou à l’aide d’un serveur d’authentification externe. L’appliance prend en charge les types d’authentification suivants :

  • LOCAL

    S’authentifie auprès de l’appliance Citrix ADC à l’aide d’un mot de passe, sans référence à un serveur d’authentification externe. Les données utilisateur sont stockées localement sur l’appliance Citrix ADC.

  • RADIUS

    Authentification auprès d’un serveur RADIUS externe.

  • LDAP

    S’authentifie auprès d’un serveur d’authentification LDAP externe.

  • TACACS

    S’authentifie auprès d’un serveur d’authentification TACACS (Terminal Access Controller Access-Control System) externe.

    Une fois qu’un utilisateur s’authentifie auprès d’un serveur TACACS, Citrix ADC se connecte au même serveur TACACS pour toutes les autorisations ultérieures. Lorsqu’un serveur TACACS principal n’est pas disponible, cette fonctionnalité empêche les retards pendant que l’ADC attend que le premier serveur TACACS arrive à expiration avant de renvoyer la demande d’autorisation au deuxième serveur TACACS.

    Remarque

    Lors de l’authentification via un serveur TACACS, l’authentification, l’autorisation et l’audit des journaux de gestion du trafic ont uniquement exécuté avec succès les commandes TACACS, afin d’empêcher les journaux d’afficher les commandes TACACS entrées par des utilisateurs qui n’étaient pas autorisés à les exécuter.

À partir de NetScaler 12.0 Build 57.x, le Terminal Access Controller Access-Control System (TACACS) ne bloque pas le processus d’authentification, d’autorisation et d’audit lors de l’envoi de la demande TACACS. Le démon d’authentification, d’autorisation et d’audit permet à l’authentification LDAP et RADIUS de poursuivre la demande. La demande d’authentification TACACS reprend une fois que le serveur TACACS a accusé réception de la demande TACACS.

  • CERT

    S’authentifie auprès de l’appliance Citrix ADC à l’aide d’un certificat client, sans référence à un serveur d’authentification externe.

  • NEGOTIATE

    S’authentifie auprès d’un serveur d’authentification Kerberos. S’il y a une erreur dans l’authentification Kerberos, Citrix ADC utilise l’authentification NTLM.

  • SAML

    S’authentifie auprès d’un serveur qui prend en charge le langage SAML (Security Assertion Markup Language).

  • SAML IDP

    Configure Citrix ADC pour qu’il serve de fournisseur d’identité (IdP) SAML (Security Assertion Markup Language).

  • WEB

    S’authentifie auprès d’un serveur Web, en fournissant les informations d’identification dont le serveur Web a besoin dans une requête HTTP et en analysant la réponse du serveur Web pour déterminer si l’authentification utilisateur a réussi.

Une stratégie d’authentification se compose d’une expression et d’une action. Les stratégies d’authentification utilisent des expressions Citrix ADC.

Après avoir créé une action d’authentification et une stratégie d’authentification, liez-la à un serveur virtuel d’authentification et attribuez-lui une priorité. Lorsque vous la liez, désignez-la également comme une stratégie primaire ou secondaire. Les stratégies primaires sont évaluées avant les stratégies secondaires. Dans les configurations qui utilisent les deux types de stratégie, les stratégies principales sont généralement des stratégies plus spécifiques, tandis que les stratégies secondaires sont généralement des stratégies plus générales destinées à gérer l’authentification pour les comptes d’utilisateurs qui ne répondent pas aux critères plus spécifiques.

Prise en charge des attributs nom-valeur pour l’authentification TACACS

Vous pouvez désormais configurer les attributs d’authentification TACACS avec un nom unique ainsi que des valeurs. Les noms sont configurés dans le paramètre d’action TACACS et les valeurs sont obtenues en interrogeant les noms. En spécifiant la valeur de l’attribut name, les administrateurs peuvent facilement rechercher la valeur d’attribut associée au nom de l’attribut. De plus, les administrateurs n’ont plus à se souvenir de l’attribut par sa seule valeur.

Important

  • Dans la commande TacacsAction, vous pouvez configurer un maximum de 64 attributs séparés par une virgule avec une taille totale inférieure à 2048 octets.

Pour configurer les attributs nom-valeur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication tacacsAction <name> [-Attributes <string>]

Exemple :

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”

Pour ajouter une action d’authentification à l’aide de l’interface de ligne de commande

Si vous n’utilisez pas l’authentification LOCAL, vous devez ajouter une action d’authentification explicite. Pour ce faire, à l’invite de commandes, tapez la commande suivante :

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Exemple


> add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

Pour configurer une action d’authentification à l’aide de l’interface de ligne de commande

Pour configurer une action d’authentification existante, à l’invite de commandes, tapez la commande suivante :

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]

Exemple

> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
Done

Pour supprimer une action d’authentification à l’aide de l’interface de ligne de commande

Pour supprimer une action RADIUS existante, à l’invite de commandes, tapez la commande suivante :

rm authentication radiusAction <name>

Exemple


> rm authentication tacacsaction Authn-Act-1
Done

Pour configurer un serveur d’authentification à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé à la place de l’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification.
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Pour créer un nouveau serveur d’authentification, cliquez sur Ajouter.
    • Pour modifier un serveur d’authentification existant, sélectionnez le serveur, puis cliquez sur Ouvrir.
  3. Dans la boîte de dialogue Créer un serveurd’authentification ou Configurer un serveur d’authentification, tapez ou sélectionnez des valeurs pour les paramètres.

    • name*—radiusActionName (Impossible de changer pour une action configurée précédemment)
    • Type d’authentification*: authtype (défini sur RADIUS, ne peut pas être modifié)
    • Adresse IP*—ServeurIP</IP>
    • IPv6* : cochez la case si l’adresse IP du serveur est une adresse IP IPv6. (Pas d’équivalent en ligne de commande.)
    • Port*—serverPort
    • Délai d’expiration (secondes)*—AuthTimeout
  4. Cliquez sur Créer ou OK, puis cliquez sur Fermer. La stratégie que vous avez créée apparaît dans la page Stratégies d’authentification et serveurs.

Pour créer et lier une stratégie d’authentification à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes dans l’ordre indiqué pour créer et lier une stratégie d’authentification et vérifiez la configuration :

  • add authentication negotiatePolicy <name> <rule> <reqAction>
  • show authentication localPolicy <name>
  • bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
  • show authentication vserver <name>

Exemple


  > add authentication localPolicy Authn-Pol-1 ns_true   Done
  > show authentication localPolicy
  1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done
  > bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
  Done
  > show authentication vserver Auth-Vserver-2          Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED          Disable Primary Vserver On Down : DISABLED          Authentication : ON          Current AAA Users: 0          Authentication Domain: myCompany.employee.com
  1)  Primary authentication policy name: Authn-Pol-1 Priority: 0
  Done

Pour modifier une stratégie d’authentification existante à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour modifier une stratégie d’authentification existante :

set authentication localPolicy <name> <rule> [-reqaction <action>]

Exemple


> set authentication localPolicy Authn-Pol-1 'ns_true'  Done

Pour supprimer une stratégie d’authentification à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante pour supprimer une stratégie d’authentification :

rm authentication localPolicy <name>

Exemple


> rm authentication localPolicy Authn-Pol-1
Done

Pour configurer et lier des stratégies d’authentification à l’aide de l’utilitaire de configuration

  1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification, puis sélectionnez le type de stratégie que vous souhaitez créer.
  2. Dans le volet d’informations, sous l’onglet Stratégies, effectuez l’une des opérations suivantes :

    • Pour créer une stratégie, cliquez sur Ajouter.
    • Pour modifier une stratégie existante, sélectionnez l’action, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Créer une stratégie d’authentification ou Configurer une stratégie d’authentification, tapez ou sélectionnez des valeurs pour les paramètres.

    • Nom — nom de la stratégie (Impossible de changer pour une action configurée précédemment)
    • Type d’authentification — authtype
    • Serveur — NomAuthVS
    • Expression — règle (vous entrez des expressions en choisissant d’abord le type d’expression dans la liste déroulante la plus à gauche sous la fenêtre Expression, puis en tapant votre expression directement dans la zone de texte de l’expression, ou en cliquant sur Ajouter pour ouvrir la boîte de dialogue Ajouter une expression et en utilisant le menu déroulant pour construire votre expression.)
  4. Cliquez sur Créer ou sur OK. La stratégie que vous avez créée apparaît dans la page Stratégies.
  5. Cliquez sur l’onglet Serveurs et, dans le volet d’informations, effectuez l’une des opérations suivantes :

    • Pour utiliser un serveur existant, sélectionnez-le, puis cliquez sur.
    • Pour créer un nouveau serveur, cliquez sur Ajouter et suivez les instructions.
  6. Si vous souhaitez désigner cette stratégie comme stratégie d’authentification secondaire, sous l’onglet Authentification, cliquez sur Secondaire. Si vous souhaitez désigner cette stratégie comme stratégie d’authentification principale, ignorez cette étape.
  7. Cliquez sur Insérer une stratégie.
  8. Choisissez la stratégie que vous souhaitez lier au serveur virtuel d’authentification dans la liste déroulante.
  9. Dans la colonne Priorité à gauche, modifiez la priorité par défaut si nécessaire pour vous assurer que la stratégie est évaluée dans l’ordre approprié.
  10. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été configurée avec succès.

Prise en charge de la récupération des tentatives de connexion actuelles pour un utilisateur

L’appliance Citrix ADC fournit une option pour récupérer la valeur des tentatives de connexion actuelles d’un utilisateur par une nouvelle expression « aaa.user.login_tentatives ». L’expression prend soit un argument (nom d’utilisateur), soit aucun argument. S’il n’y a pas d’argument, l’expression récupère le nom d’utilisateur à partir de aaa_session ou aaa_info.

Vous pouvez utiliser l’expression « aaa.user.login_tentatives » avec des stratégies d’authentification pour un traitement ultérieur.

Pour configurer le nombre de tentatives de connexion par utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add expression er aaa.user.login_attempts