Gestion des identités utilisateur

Un nombre croissant de violations de la sécurité et la popularité croissante des appareils mobiles ont souligné la nécessité de veiller à ce que l’utilisation de l’Internet externe soit conforme aux politiques de l’entreprise et que seuls les utilisateurs autorisés accèdent aux ressources externes fournies par le personnel de l’entreprise. La gestion des identités permet de vérifier l’identité d’une personne ou d’un appareil. Il ne détermine pas les tâches que l’individu peut effectuer ni les fichiers qu’il peut voir.

Un déploiement de proxy de transfert SSL identifie l’utilisateur avant d’autoriser l’accès à Internet. Toutes les demandes et réponses de l’utilisateur sont inspectées. L’activité de l’utilisateur est consignée et les enregistrements sont exportés vers Citrix Application Delivery Management (ADM) à des fins de création de rapports. Dans Citrix ADM, vous pouvez afficher les statistiques sur les activités utilisateur, les transactions et la consommation de bande passante.

Par défaut, seule l’adresse IP de l’utilisateur est enregistrée, mais vous pouvez configurer la fonctionnalité pour enregistrer plus de détails sur l’utilisateur et utiliser ces informations d’identité pour créer des stratégies d’utilisation d’Internet plus riches pour des utilisateurs spécifiques.

L’appliance Citrix ADC prend en charge les modes d’authentification suivants pour une configuration de proxy explicite.

  • LDAP (Lightweight Directory Access Protocol). Authentifie l’utilisateur via un serveur d’authentification LDAP externe. Pour de plus amples informations, consultez la section Stratégies d’authentification LDAP.
  • RADIUS. Authentifie l’utilisateur via un serveur RADIUS externe. Pour de plus amples informations, consultez la section Stratégies d’authentification RADIUS.
  • TACACS+. Authentifie l’utilisateur via un serveur d’authentification TACACS (Terminal Access Controller Access-Control System) externe. Pour de plus amples informations, consultez la section Stratégies d’authentification.
  • Negotiate. Authentifie l’utilisateur via un serveur d’authentification Kerberos. En cas d’erreur dans l’authentification Kerberos, l’appliance utilise l’authentification NTLM. Pour de plus amples informations, consultez la section Négocier des stratégies d’authentification.

Pour le proxy transparent, seule l’authentification LDAP basée sur IP est actuellement prise en charge. Lorsqu’une demande client est reçue, le proxy authentifie l’utilisateur en vérifiant une entrée pour l’adresse IP du client dans l’annuaire actif et crée une session basée sur l’adresse IP de l’utilisateur. Toutefois, si vous configurez l’attribut SsonameAttribute dans une action LDAP, une session est créée à l’aide du nom d’utilisateur au lieu de l’adresse IP. Les stratégies classiques ne sont pas prises en charge pour l’authentification dans une configuration de proxy transparente.

Remarque

Pour le proxy explicite, vous devez définir le nom de connexion LDAP sur samAccountName. Pour le proxy transparent, vous devez définir le nom de connexion LDAP sur NetworkAddress et attribute1 sur samAccountName.

Exemple de proxy explicite :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName

Exemple pour le proxy transparent :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

Configurer l’authentification utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>

Arguments :

Nom du serveur :

Nom du serveur virtuel d’authentification auquel lier la stratégie.

Longueur maximale : 127

Type de service :

Type de protocole du serveur virtuel d’authentification. Toujours SSL.

Valeurs possibles : SSL

Valeur par défaut : SSL

Nom de l’action :

Nom de la nouvelle action LDAP. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois l’action LDAP ajoutée. L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon action d’authentification » ou « mon action d’authentification »).

Longueur maximale : 127

serverIP:

Adresse IP attribuée au serveur LDAP.

ldapBase:

Base (nœud) à partir de laquelle démarrer les recherches LDAP. Si le serveur LDAP s’exécute localement, la valeur par défaut de base est dc = netscaler, dc = com. Longueur maximale : 127

ldapBindDn:

Nom unique complet (DN) utilisé pour lier au serveur LDAP.

Par défaut : CN=Manager, dc=netscaler, dc=com

Longueur maximale : 127

ldapBindDnPassword:

Mot de passe utilisé pour se lier au serveur LDAP.

Longueur maximale : 127

ldapLoginName:

Attribut de nom de connexion LDAP. L’appliance Citrix ADC utilise le nom de connexion LDAP pour interroger les serveurs LDAP externes ou Active Directory. Longueur maximale : 127

Nom de la stratégie :

Nom de la stratégie d’authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHentication créée. L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comporte un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « ma politique d’authentification » ou « ma politique d’authentification »).

Longueur maximale : 127

règle :

Nom de la règle, ou d’une expression de syntaxe par défaut, utilisée par la stratégie pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur AUTHENTIFICATION.

Longueur maximale : 1499

action :

Nom de l’action d’authentification à effectuer si la stratégie correspond.

Longueur maximale : 127

priorité :

Entier positif spécifiant la priorité de la stratégie. Un nombre inférieur spécifie une priorité plus élevée. Les stratégies sont évaluées dans l’ordre de leurs priorités et la première stratégie qui correspond à la demande est appliquée. Doit être unique dans la liste des stratégies liées au serveur virtuel d’authentification.

Valeur minimale : 0

Valeur maximale : 4294967295

Exemple :

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done

Activer la journalisation des noms d’utilisateur à l’aide de la CLI

À l’invite de commandes, tapez :

set appflow param -AAAUserName ENABLED

Arguments :

AAAUserName

Activez la journalisation des noms d’utilisateur AAA AppFlow.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

Exemple :

set appflow param -AAAUserName ENABLED