Citrix ADC

Authentification basée sur 401

Avec l’authentification basée sur 401, l’appliance Citrix ADC présente une boîte de dialogue contextuelle à l’utilisateur final.

AAA-TM basé sur 401

AAA-TM basé sur un formulaire fonctionne sur les messages de redirection. Certaines applications ne prennent pas en charge les redirections. Dans ce cas, l’authentification 401 AAA-TM activée est utilisée.

Activez les paramètres suivants pour que 401 Authentication AAA-TM fonctionne.

  • La valeur du paramètre « AuthNvsName » du serveur virtuel d’équilibrage de charge doit être le nom du serveur virtuel d’authentification à utiliser pour authentifier les utilisateurs.

  • Le paramètre « authn401 » doit être activé. La commande pour configurer la même chose est la suivante :

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

Les étapes suivantes expliquant le fonctionnement de l’authentification 401 :

  1. L’utilisateur essaie d’accéder à une URL particulière à l’aide du serveur virtuel d’équilibrage de charge.

  2. Le serveur virtuel d’équilibrage de charge renvoie une réponse HTTP 401 à l’utilisateur indiquant que l’authentification est requise pour l’accès.
  3. L’utilisateur envoie ses informations d’identification au serveur virtuel d’équilibrage de charge dans l’en-tête d’autorisation.
  4. Le serveur virtuel d’équilibrage de charge authentifie l’utilisateur, puis connecte l’utilisateur aux serveurs principaux.

    Diagramme de flux AAA-TM basé sur 401

Important :

Pour un serveur virtuel d’équilibrage de charge avec l’authentification 401 activée, plusieurs sessions d’authentification et d’autorisation peuvent être créées pour le même utilisateur en peu de temps. Cette configuration peut entraîner un pic de mémoire. Vous pouvez appliquer la configuration suivante sur l’appliance Citrix ADC pour déboguer et identifier l’application client final.

set syslogparams -userDefinedAuditlog yes

add audit messageaction 401_log_act InFORMATIONAL '"LB-401 accessed: User: <" + AAA.USER.NAME + "> SessionID <"+ AAA.USER.SESSIONID + "> Client :<" + CLIENT.IP.SRC + "> accessed URL: <" + HTTP.REQ.URL + ">"'

add rewritepolicy rewrite_401_log true NOREWRITE -logAction 401_log_act

bind lb vserver <lb_name> -policyName rewrite_401_log -priority 100 -type reqUEST
<!--NeedCopy-->
Authentification basée sur 401