Citrix ADC

Configuration de l’authentification kerberos sur l’appliance Citrix ADC

Cette rubrique fournit les étapes détaillées pour configurer l’authentification Kerberos sur l’appliance Citrix ADC à l’aide de l’interface de ligne de commande et de l’interface graphique.

Configuration de l’authentification Kerberos sur l’interface de ligne de commande

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit pour garantir l’authentification du trafic sur l’appliance.

    ns-cli-prompt> activer la fonctionnalité ns AAA

  2. Ajoutez le fichier keytab à l’appliance Citrix ADC. Un fichier keytab est nécessaire pour déchiffrer le secret reçu du client lors de l’authentification Kerberos. Un seul fichier keytab contient des détails d’authentification pour tous les services liés au serveur virtuel de gestion du trafic sur l’appliance Citrix ADC.

    Générez d’abord le fichier keytab sur le serveur Active Directory, puis transférez-le à l’appliance Citrix ADC.

    • Ouvrez une session sur le serveur Active Directory et ajoutez un utilisateur pour l’authentification Kerberos. Par exemple, pour ajouter un utilisateur nommé “Kerb-SVC-Account”:

      net user Kerb-SVC-Account freebsd!@#456 /add

      Remarque

      Dans la section Propriétés de l’utilisateur, assurez-vous que l’option « Modifier le mot de passe lors de la prochaine ouverture de session » n’est pas sélectionnée et que l’option « Mot de passe n’expire pas » est sélectionnée.

    • Mappez le service HTTP à l’utilisateur ci-dessus et exportez le fichier keytab. Par exemple, exécutez la commande suivante sur le serveur Active Directory :

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      Remarque

      Vous pouvez mapper plusieurs services si l’authentification est requise pour plusieurs services. Si vous souhaitez mapper d’autres services, répétez la commande ci-dessus pour chaque service. Vous pouvez donner le même nom ou des noms différents pour le fichier de sortie.

    • Transférez le fichier keytab vers l’appliance Citrix ADC à l’aide de la commande unix ftp ou de tout autre utilitaire de transfert de fichiers de votre choix.

  3. L’appliance Citrix ADC doit obtenir l’adresse IP du Controller de domaine à partir du nom de domaine complet (FQDN). Par conséquent, Citrix recommande de configurer Citrix ADC avec un serveur DNS.

    ns-cli-prompt> add dns nameserver <ip-address>

    Remarque

    Vous pouvez également ajouter des entrées d’hôte statiques ou utiliser tout autre moyen pour que l’appliance Citrix ADC puisse résoudre le nom de domaine complet du Controller de domaine en une adresse IP.

  4. Configurez l’action d’authentification, puis associez-la à une stratégie d’authentification.

    • Configurez l’action de négociation.

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>

    • Configurez la stratégie de négociation et associez l’action de négociation à cette stratégie.

      ns-cli-prompt ajouter l’authentification NegotiatePolicy <name> <rule> <reqAction>

  5. Créez un serveur virtuel d’authentification et associez la stratégie de négociation à celui-ci.

    • Créez un serveur virtuel d’authentification.

      ns-cli-prompt ajouter l’authentification vserver <name> SSL <ipAuthVserver> 443 -AuthenticationDomain <domainName>

    • Liez la stratégie de négociation au serveur virtuel d’authentification.

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. Associez le serveur virtuel d’authentification au serveur virtuel de gestion du trafic (équilibrage de charge ou commutation de contenu).

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    Remarque

    Des configurations similaires peuvent également être effectuées sur le serveur virtuel de commutation de contenu.

  7. Vérifiez les configurations en procédant comme suit :

    • Accédez au serveur virtuel de gestion du trafic à l’aide du nom de domaine complet. Par exemple, les opérations suivantes peuvent être effectuées : Échantillon

    • Affichez les détails de la session sur l’interface de ligne de commande.

      ns-cli-prompt> show aaa session

Configuration de l’authentification Kerberos sur l’interface graphique

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit.

    Accédez à Système > Paramètres, cliquez sur Configurer les fonctionnalités de base et activez la fonctionnalité d’authentification, d’autorisation et d’audit.

  2. Ajoutez le fichier keytab comme détaillé à l’étape 2 de la procédure CLI mentionnée ci-dessus.

  3. Ajoutez un serveur DNS.

    Accédez à Gestion du trafic > DNS > Serveurs de nomset spécifiez l’adresse IP du serveur DNS.

  4. Configurez l’action et la stratégie Négocier .

    Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Stratégie, puis créez une stratégie avec Négociercomme type d’action. Cliquez sur ADD pour créer un nouveau serveur de négociation d’authentification ou sur Modifier pour configurer les détails existants.

  5. Liez la stratégie de négociation au serveur virtuel d’authentification.

    Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuelset associez la stratégie Négocierau serveur virtuel d’authentification.

  6. Associez le serveur virtuel d’authentification au serveur virtuel de gestion du trafic (équilibrage de charge ou commutation de contenu).

    Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuelset spécifiez les paramètres d’authentification appropriés.

    Remarque

    Des configurations similaires peuvent également être effectuées sur le serveur virtuel de commutation de contenu.

  7. Vérifiez les configurations décrites à l’étape 7 de la procédure CLI mentionnée ci-dessus.

Configuration de l’authentification kerberos sur l’appliance Citrix ADC