Citrix ADC

Fonctionnement de l’authentification, de l’autorisation et de l’audit

L’authentification, l’autorisation et l’audit assurent la sécurité d’un environnement Internet distribué en permettant à tout client disposant des informations d’identification appropriées de se connecter en toute sécurité aux serveurs d’applications protégés depuis n’importe où sur Internet. Cette fonctionnalité intègre les trois fonctionnalités de sécurité que sont l’authentification, l’autorisation et l’audit. L’authentification permet au Citrix ADC de vérifier les informations d’identification du client, localement ou avec un serveur d’authentification tiers, et d’autoriser uniquement les utilisateurs approuvés à accéder aux serveurs protégés. L’autorisation permet à ADC de vérifier le contenu d’un serveur protégé auquel il permet à chaque utilisateur d’accéder. L’audit permet à l’ADC de conserver un enregistrement de l’activité de chaque utilisateur sur un serveur protégé.

Pour comprendre le fonctionnement de l’authentification, de l’autorisation et de l’audit dans un environnement distribué, envisagez une organisation dotée d’un intranet accessible à ses employés au bureau, à la maison et lors de leurs déplacements. Le contenu de l’intranet est confidentiel et nécessite un accès sécurisé. Tout utilisateur qui souhaite accéder à l’intranet doit avoir un nom d’utilisateur et un mot de passe valides. Pour répondre à ces exigences, l’ADC effectue les opérations suivantes :

  • Redirige l’utilisateur vers la page de connexion si l’utilisateur accède à l’intranet sans s’être connecté.
  • Collecte les informations d’identification de l’utilisateur, les transmet au serveur d’authentification et les met en cache dans un répertoire accessible via LDAP. Pour de plus amples informations, consultez Détermination des attributs dans votre annuaire LDAP.

  • Vérifie que l’utilisateur est autorisé à accéder au contenu intranet spécifique avant de remettre la demande de l’utilisateur au serveur d’applications.
  • Maintient un délai d’expiration de session après lequel les utilisateurs doivent s’authentifier à nouveau pour retrouver l’accès à l’intranet. (Vous pouvez configurer le délai d’expiration.)
  • Consigne l’accès de l’utilisateur, y compris les tentatives de connexion non valides, dans un journal d’audit.

La section suivante traite des deux mécanismes d’authentification :

  • Formulaires basés sur AAA-TM.

  • 401 Authentification activée AAA-TM.

Formulaires basés sur AAA-TM

Avec l’authentification basée sur les formulaires, un formulaire d’ouverture de session est présenté à l’utilisateur final. Ce type de formulaire d’authentification prend en charge l’authentification multifacteur (nFactor) et l’authentification classique.

Formulaires basés sur AAA-TM

Assurez-vous que l’authentification basée sur les formulaires fonctionne :

  • L’authentification du serveur virtuel d’équilibrage de charge doit être activée.

  • Le paramètre ‘AuthenticationHost’ doit être spécifié vers lequel l’utilisateur doit être redirigé pour l’authentification. La commande pour configurer la même chose est la suivante :

     set lb vs lb1 -authentication sur —authenticationhost aaavs-ip/fqdn
    
  • L’authentification basée sur un formulaire fonctionne avec un navigateur qui prend en charge HTML

Les étapes suivantes expliquant comment fonctionne l’authentification basée sur les formulaires :

  1. Le client (navigateur) envoie une requête GET pour une URL sur le serveur virtuel TM (équilibrage de charge/CS).

  2. Le serveur virtuel TM détermine que le client n’a pas été authentifié et envoie une réponse HTTP 302 au client. La réponse contient un script masqué qui provoque le client à émettre une requête GET pour /cgi/tm au serveur virtuel d’authentification.
  3. Le client envoie GET /cgi/tm contenant l’URL cible au serveur virtuel d’authentification.
  4. Le serveur virtuel d’authentification envoie une redirection vers la page de connexion.
  5. L’utilisateur envoie ses informations d’identification au serveur virtuel d’authentification avec un POST /DOAuthentication.do. L’ authentification est effectuée par le serveur virtuel d’authentification.
  6. Si les informations d’identification sont correctes, le serveur virtuel d’authentification envoie une réponse HTTP 302 à l’URL cgi/selfauth sur le serveur d’équilibrage de charge avec un jeton unique (OTP).
  7. Le serveur d’équilibrage de charge envoie HTTP 302 au client.
  8. Le client envoie une requête GET pour son URL cible initiale avec un cookie de 32 octets.

    Schéma de flux AAA-TM basé sur des formulaires

Authentification 401 activée AAA-TM

Avec l’authentification basée sur 401, l’appliance Citrix ADC présente une boîte de dialogue contextuelle comme suit à l’utilisateur final.

AAA-TM basé sur 401

AAA-TM basé sur un formulaire fonctionne sur les messages de redirection. Cependant, certaines applications ne prennent pas en charge les redirections. Dans de telles applications, l’authentification 401 activée AAA-TM est utilisée.

Assurez-vous que ce qui suit pour que l’authentification 401 AAA-TM fonctionne :

  • La valeur du paramètre AuthNVSName pour le serveur virtuel d’équilibrage de charge doit être le nom du serveur virtuel d’authentification à utiliser pour authentifier les utilisateurs.

  • Le paramètre ‘authn401’ doit être activé. La commande pour configurer la même chose est la suivante :

     set lb vs lb1 —authn401 sur —AuthNVSName <aaavs-name>
    

Les étapes suivantes expliquant comment fonctionne l’authentification 401 :

  1. L’utilisateur tente d’accéder à une URL particulière à l’aide du serveur virtuel d’équilibrage de charge.

  2. Le serveur virtuel d’équilibrage de charge envoie une réponse HTTP 401 à l’utilisateur indiquant que l’authentification est requise pour l’accès.
  3. L’utilisateur envoie ses informations d’identification au serveur virtuel d’équilibrage de charge dans l’en-tête d’autorisation.
  4. Le serveur virtuel d’équilibrage de charge authentifie l’utilisateur, puis connecte l’utilisateur aux serveurs back-end.

    Schéma de flux AAA-TM basé sur 401

Configuration de la stratégie No_Auth pour contourner certains trafic

Vous pouvez maintenant configurer la stratégie No_Auth pour contourner certains trafic de l’authentification lorsque l’authentification basée sur 401 est activée sur le serveur virtuel de gestion du trafic. Pour un tel trafic, vous devez lier une stratégie de « no-authentification ».

Pour configurer la stratégie No_Auth pour contourner certains trafic à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication policy <name> -rule <expression> -action <string>

Exemple :

add authentication policy ldap -rule ldapAct1 -action

Fonctionnement de l’authentification, de l’autorisation et de l’audit