Configuration de l’authentification des utilisateurs externes

L’authentification dans une appliance Citrix ADC peut être locale ou externe. Pour authentifier des utilisateurs externes, l’appliance utilise un serveur d’authentification externe tel que LDAP, RADIUS et TACACS+. Pour authentifier un utilisateur externe et accorder l’accès à l’appliance, vous devez utiliser une stratégie d’authentification. L’authentification système Citrix ADC utilise la stratégie d’authentification avancée. Les stratégies d’authentification avancées utilisent les expressions de stratégie avancées Citrix ADC. Les stratégies d’authentification avancées sont utilisées pour la gestion des utilisateurs système dans une appliance Citrix ADC partitionnée.

Remarque :

Si votre appliance dispose de stratégies classiques et de ses expressions, vous devez cesser de l’utiliser et migrer l’utilisation des stratégies classiques vers l’infrastructure de stratégies avancées.

Une fois que vous avez créé une stratégie d’authentification, vous devez la lier à l’entité globale du système. Vous pouvez configurer un serveur d’authentification externe (par exemple, TACACS) en liant une seule stratégie d’authentification à l’entité globale du système. Vous pouvez également configurer une cascade de serveurs d’authentification en liant plusieurs stratégies à l’entité globale du système.

Remarque :

Lorsqu’un utilisateur externe se connecte à l’appliance, le système génère un message d’erreur « L’utilisateur n’existe pas » dans le fichier ns.log. Cela se produit car le système exécute la commande systemuser_systemcmdpolicy_binding pour initialiser l’interface graphique de l’utilisateur.

Configuration de l’authentification LDAP

Vous pouvez configurer l’appliance Citrix ADC pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP. L’autorisation LDAP requiert des noms de groupes identiques dans Active Directory, sur le serveur LDAP et sur l’appliance. Les caractères et la casse doivent également être les mêmes.

Par défaut, l’authentification LDAP est sécurisée à l’aide du protocole SSL/TLS. Il existe deux types de connexions LDAP sécurisées. Dans le premier type, le serveur LDAP accepte la connexion SSL/TLS sur un port distinct du port utilisé pour accepter les connexions LDAP effacées. Une fois que les utilisateurs ont établi la connexion SSL/TLS, le trafic LDAP peut être envoyé via la connexion. Le second type permet à la fois des connexions LDAP non sécurisées et sécurisées et est géré par un seul port sur le serveur. Dans ce scénario, pour créer une connexion sécurisée, le client établit d’abord une connexion LDAP claire. Ensuite, la commande LDAP StartTLS est envoyée au serveur via la connexion. Si le serveur LDAP prend en charge StartTLS, la connexion est convertie en connexion LDAP sécurisée à l’aide de TLS.

Les numéros de port pour les connexions LDAP sont les suivants :

  • 389 pour les connexions LDAP non sécurisées
  • 636 pour des connexions LDAP sécurisées
  • 3268 pour les connexions LDAP non sécurisées Microsoft
  • 3269 pour les connexions LDAP sécurisées Microsoft

Les connexions LDAP qui utilisent la commande StartTLS utilisent le numéro de port 389. Si les numéros de port 389 ou 3268 sont configurés sur l’appliance, elle tente d’utiliser StartTL pour établir la connexion. Si un autre numéro de port est utilisé, les tentatives de connexion utilisent SSL/TLS. Si StartTLS ou SSL/TLS ne peuvent pas être utilisés, la connexion échoue.

Lors de la configuration du serveur LDAP, la casse des caractères alphabétiques doit correspondre à celle du serveur et de l’appliance. Si le répertoire racine du serveur LDAP est spécifié, tous les sous-répertoires sont également recherchés pour trouver l’attribut utilisateur. Dans les répertoires volumineux, cela peut affecter les performances. Pour cette raison, Citrix vous recommande d’utiliser une unité d’organisation spécifique.

Le tableau suivant répertorie des exemples de nom unique de base (DN).

Serveur LDAP DN de base
Microsoft Active Directory DC = Citrix, DC = Local
Novell eDirectory dc=citrix, dc=net
IBM Directory Server cn=users
Lotus Domino OU=ville, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) OU=Personnes, dc=citrix, dc=com

Tableau 2. Exemples de nom unique de base

Le tableau suivant répertorie des exemples de nom unique de liaison (DN).

Serveur LDAP Nom unique de liaison
Microsoft Active Directory CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, dc=citrix, dc=net
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) uid=admin, OU=Administrateurs, OU=Gestion topologique, O=NetscapeRoot

Tableau 3. Exemples de nom unique de liaison |Serveur LDAP|Nom unique de liaison| |— |— | |Microsoft Active Directory|CN=Administrator, CN=Users, DC=citrix, DC=local| |Novell eDirectory|cn=admin, dc=citrix, dc=net| |IBM Directory Server|LDAP_dn| |Lotus Domino|CN=Notes Administrator, O=Citrix, C=US| |Sun ONE Directory (anciennement iPlanet)|uid=admin, OU=Administrateurs, OU=Gestion topologique, O=NetscapeRoot|

Configurer l’authentification LDAP à l’aide de l’interface de ligne de commande

Pour configurer la stratégie LDAP classique

À l’invite de commandes, procédez comme suit :

Étape 1 : Créer une action LDAP.

add authentication ldapAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} >] [-authTimeout <positive_integer>] [-ldapBase <string>] [-ldapBindDn <string>] {-ldapBindDnPassword } [-ldapLoginName <string>] [-groupAttrName <string>] [-subAttributeName <string>]

Exemple :

add authentication ldapAction ldap_act -serverIP <IP> -authTimeout 30 -ldapBase "CN=xxxxx,DC=xxxx,DC=xxx" -ldapBindDn "CN=xxxxx,CN=xxxxx,DC=xxxx,DC=xxx" -ldapBindDnPassword abcd -ldapLoginName sAMAccountName -groupattrName memberOf -subAttributeName CN

Étape 2 : Créer une stratégie LDAP.

add authentication ldapPolicy <name> <rule> [<reqAction>]

Exemple :

ajouter l’authentification ldappolicy ldap_pol_classic ns_true ldap_act.

Étape 3 : Créer une stratégie LDAP Création d’une stratégie d’authentification avancée LDAP :

add authentication ldapPolicy <name> <rule> [<reqAction>]

Exemple :

add authentication policy ldap_pol_advance -rule true -action ldap_act

Étape 4 : Liez la stratégie LDAP aux points de liaison suivants auxquels la stratégie sera évaluée.

System Global: bind system global <policyName> [-priority <positive_integer]

VPN Global: bind vpn global <policyName> [-priority <positive_integer>]

Authentication Server: bind authentication vserver <name> [-policy <string> [-priority <positive_integer>]

VPN Server: bind vpn vserver <name> [-policy <string> [-priority <positive_integer>]

Pour configurer la stratégie LDAP classique

À l’invite de commandes, tapez :

add authentication Policy <name> -rule <expression> -action <string>

Exemple :

add authentication policy ldap_pol_classic -rule true -action ldap_act

Pour configurer l’authentification LDAP à l’aide de l’interface graphique

Accédez à Système > Authentification > LDAP et créez la stratégie d’authentification LDAP.

Détermination des attributs dans le répertoire LDAP

Si vous avez besoin d’aide pour déterminer vos attributs d’annuaire LDAP, vous pouvez facilement les rechercher avec le navigateur LDAP gratuit de Softerra.

Vous pouvez télécharger le navigateur LDAP à partir du site Web Softerra LDAP Administrator à l’adresse http://www.ldapbrowser.com. Une fois le navigateur installé, définissez les attributs suivants :

  • Nom d’hôte ou adresse IP de votre serveur LDAP.
  • Port de votre serveur LDAP. La valeur par défaut est 389.
  • Le champ DN de base peut être laissé vide.
  • Les informations fournies par le navigateur LDAP peuvent vous aider à déterminer le DN de base requis pour l’onglet Authentification.
  • La vérification de liaison anonyme détermine si le serveur LDAP requiert des informations d’identification de l’utilisateur pour que le navigateur se connecte à lui. Si le serveur LDAP requiert des informations d’identification, laissez la case désactivée.

Après avoir terminé les paramètres, le navigateur LDAP affiche le nom du profil dans le volet gauche et se connecte au serveur LDAP.

Configuration de l’authentification RADIUS

Vous pouvez configurer l’appliance Citrix ADC pour authentifier l’accès utilisateur avec un ou plusieurs serveurs RADIUS. Si vous utilisez des produits RSA SecurID, SafeWord ou Gemalto Protiva, utilisez un serveur RADIUS.

Votre configuration peut nécessiter l’utilisation d’une adresse IP du serveur d’accès réseau (IP NAS) ou d’un identifiant de serveur d’accès réseau (ID NAS). Lorsque vous configurez l’appliance pour qu’elle utilise un serveur d’authentification RADIUS, suivez les instructions suivantes :

  • Si vous activez l’utilisation de l’IP NAS, l’appliance envoie son adresse IP configurée au serveur RADIUS, plutôt que l’adresse IP source utilisée pour établir la connexion RADIUS.
  • Si vous configurez l’ID NAS, l’appliance envoie l’identificateur au serveur RADIUS. Si vous ne configurez pas l’ID NAS, l’appliance envoie son nom d’hôte au serveur RADIUS.
  • Lorsque l’adresse IP du NAS est activée, l’appliance ignore tout ID NAS configuré à l’aide de l’adresse IP du NAS pour communiquer avec le serveur RADIUS.

Pour configurer l’authentification RADIUS à l’aide de l’interface graphique

Accédez à Système > Authentification > Rayon et créez la stratégie d’authentification RADIUS.

Choix des protocoles d’authentification RADIUS

L’appliance Citrix ADC prend en charge les implémentations de RADIUS configurées pour utiliser l’un de plusieurs protocoles pour l’authentification utilisateur, notamment :

  • Protocole d’authentification par mot de passe
  • Protocole d’authentification CHAP (Challenge-Handshake Authentication Protocol)
  • Protocole d’authentification Microsoft Challenge-Handshake (MS-CHAP version 1 et version 2)

Si votre déploiement de l’appliance est configuré pour utiliser l’authentification RADIUS et que votre serveur RADIUS est configuré pour utiliser le protocole d’authentification par mot de passe, vous pouvez renforcer l’authentification utilisateur en attribuant un secret partagé fort au serveur RADIUS. Les secrets partagés RADIUS forts sont constitués de séquences aléatoires de lettres majuscules et minuscules, de chiffres et de ponctuation, et comptent au moins 22 caractères. Si possible, utilisez un programme de génération aléatoire de caractères pour déterminer les secrets partagés RADIUS.

Pour protéger davantage le trafic RADIUS, attribuez un secret partagé différent à chaque appliance ou serveur virtuel. Lorsque vous définissez des clients sur le serveur RADIUS, vous pouvez également attribuer un secret partagé distinct à chaque client. Dans ce cas, vous devez configurer séparément chaque stratégie qui utilise l’authentification RADIUS.

Les secrets partagés sont configurés sur l’appliance lors de la création d’une stratégie RADIUS.

Configuration de l’extraction d’adresses IP

Vous pouvez configurer l’appliance pour extraire l’adresse IP d’un serveur RADIUS. Lorsqu’un utilisateur s’authentifie auprès du serveur RADIUS, le serveur renvoie une adresse IP encadrée qui est attribuée à l’utilisateur. Voici les attributs pour l’extraction d’adresses IP :

  • Permet à un serveur RADIUS distant de fournir une adresse IP à partir du réseau interne pour un utilisateur connecté à l’appliance.
  • Permet la configuration de n’importe quel attribut RADIUS en utilisant le type ipaddress, y compris ceux qui sont codés par le fournisseur.

Lors de la configuration du serveur RADIUS pour l’extraction d’adresses IP, vous configurez l’identificateur fournisseur et le type d’attribut.

L’identifiant du fournisseur permet au serveur RADIUS d’attribuer une adresse IP au client à partir d’un pool d’adresses IP configurées sur le serveur RADIUS. L’ID fournisseur et les attributs sont utilisés pour établir l’association entre le client RADIUS et le serveur RADIUS. L’ID fournisseur est l’attribut de la réponse RADIUS qui fournit l’adresse IP du réseau interne. La valeur zéro indique que l’attribut n’est pas codé par le fournisseur. Le type d’attribut est l’attribut d’adresse IP distante dans une réponse RADIUS. La valeur minimale est un et la valeur maximale est 255.

Une configuration courante consiste à extraire l’adresse IP encadréede l’attribut RADIUS. L’ID fournisseur est défini sur zéro ou n’est pas spécifié. Le type d’attribut est défini sur huit.

Pour configurer l’extraction d’adresses IP à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Rayon, puis sélectionnez une stratégie.
  2. Modifiez les paramètres du serveur et définissez les valeurs pertinentes dans les champs Identifiant du fournisseur de groupe et Type d’attribut de groupe.

Configuration de l’authentification TACACS+

Vous pouvez configurer un serveur TACACS+ pour l’authentification. Comme pour l’authentification RADIUS, TACACS+ utilise une clé secrète, une adresse IP et le numéro de port. Le numéro de port par défaut est 49. Pour configurer l’appliance pour qu’elle utilise un serveur TACACS+, indiquez l’adresse IP du serveur et le secret TACACS+. Le port doit être spécifié uniquement lorsque le numéro de port du serveur utilisé est autre chose que le numéro de port par défaut 49.

Pour configurer l’authentification TACACS+ à l’aide de l’interface graphique

Accédez à Système > Authentification > TACACS et créez la stratégie d’authentification TACACS.

Une fois les paramètres du serveur TACACS+ configurés sur l’appliance, liez la stratégie à l’entité globale du système.

Liaison des stratégies d’authentification à l’entité globale du système

Lorsque les stratégies d’authentification sont Configures, liez les stratégies à l’entité globale du système.

Pour lier une stratégie d’authentification classique au système global à l’aide de l’interface de ligne de commande

À l’invite de ligne de commande, procédez comme suit :

bind system global <policyName> [-priority <positive_integer>]

Exemple :

bind system global ldap_pol_classic -priority 10

Pour lier une stratégie d’authentification avancée au système global à l’aide de l’interface de ligne de commande

À l’invite de ligne de commande, procédez comme suit :

bind system global <policyName> [-priority <positive_integer>]

Exemple :

bind system global ldap_pol_advanced -priority 10

Pour lier une stratégie d’authentification au système global à l’aide de l’interface graphique

  1. Accédez à Système > Authentification, puis sélectionnez le type d’authentification.
  2. Sous l’onglet Stratégies, cliquez sur Liaisons globales et liez les stratégies d’authentification.