ADC

Négocier l’authentification

Comme pour les autres types de politiques d’authentification, une politique d’authentification Negotiate comprend une expression et une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et vous lui attribuez une priorité. Lorsque vous la liez, vous la désignez également en tant que stratégie principale ou secondaire.

Outre les fonctions d’authentification standard, la commande Negotiate Action permet désormais d’extraire les informations utilisateur d’un fichier keytab au lieu de vous demander de les saisir manuellement. Si un keytab possède plusieurs SPN, l’authentification, l’autorisation et l’audit sélectionnent le SPN approprié. Vous pouvez configurer cette fonctionnalité via la ligne de commande ou à l’aide de l’utilitaire de configuration.

Remarque

Ces instructions supposent que vous connaissez déjà le protocole LDAP et que vous avez déjà configuré le serveur d’authentification LDAP de votre choix.

Pour configurer l’authentification, l’autorisation et l’audit afin d’extraire les informations utilisateur d’un fichier keytab à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande appropriée :

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • name  : nom de l’action de négociation à utiliser.
  • domain : nom de domaine du principal de service qui représente NetScaler.
  • DomainUser  : nom d’utilisateur du compte mappé avec NetScaler principal. Cela peut être fourni avec le domaine et le mot de passe lorsque le fichier keytab n’est pas disponible. Si le nom d’utilisateur est fourni avec le fichier keytab, ce fichier keytab sera recherché pour les informations d’identification de cet utilisateur. Longueur maximale : 127
  • DomainUserPassWD  : mot de passe du compte mappé au principal NetScaler.
  • DefaultAuthenticationGroup  : il s’agit du groupe par défaut qui est choisi lorsque l’authentification réussit en plus des groupes extraits. Longueur maximale : 63
  • keytab  : chemin d’accès au fichier keytab utilisé pour déchiffrer les tickets Kerberos présentés à NetScaler. Si keytab n’est pas disponible, le domaine/le nom d’utilisateur/le mot de passe peuvent être spécifiés dans la configuration de l’action de négociation. Longueur maximale : 127
  • NTLMPath  : chemin d’accès au site activé pour l’authentification NTLM, y compris le nom de domaine complet du serveur. Ceci est utilisé lorsque les clients se rabattent sur NTLM. Longueur maximale : 127

Pour configurer l’authentification, l’autorisation et l’audit afin d’extraire les informations utilisateur d’un fichier keytab à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé au lieu d’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic applicatif > Authentification > Politiques avancées > Actions > Actions NEGOTIATE.
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Si vous souhaitez créer une nouvelle action de négociation, cliquez sur Ajouter.
    • Si vous souhaitez modifier une action de négociation existante, sélectionnez l’action dans le volet de données, puis cliquez sur Modifier.
  3. Si vous créez une nouvelle action de négociation, dans la zone de texte Nom, tapez le nom de votre nouvelle action. Le nom peut comporter de 1 à 127 caractères et peut être composé de lettres majuscules et minuscules, de chiffres, de traits d’union (-) et de traits de soulignement (_). Si vous modifiez une action de négociation existante, ignorez cette étape. Le nom est en lecture seule ; vous ne pouvez pas le modifier.
  4. Sous Négocier, si la case Utiliser le fichier Keytab n’est pas déjà cochée, cochez-la.
  5. Dans la zone de texte du chemin du fichier Keytab, tapez le chemin complet et le nom du fichier Keytab que vous souhaitez utiliser.
  6. Dans la zone de texte Groupe d’authentification par défaut, tapez le groupe d’authentification que vous souhaitez définir par défaut pour cet utilisateur.
  7. Cliquez sur Créer ou sur OK pour enregistrer vos modifications.

Points à noter lorsque des cryptages avancés sont utilisés pour l’authentification Kerberos

  • Exemple de configuration lorsque keytab est utilisé : ajouter une authentification NegotiateAction neg_act_aes256 -keytab « /nsconfig/krb/lbvs_aes256.keytab »
  • Utilisez la commande suivante lorsque keytab possède plusieurs types de cryptage. La commande capture également les paramètres utilisateur du domaine : add authentication NegotiateAction neg_act_keytab_all -keytab « /nsconfig/krb/lbvs_all.keytab » -DomainUser « http://lbvs.aaa.local »
  • Utilisez les commandes suivantes lorsque les informations d’identification utilisateur sont utilisées : add authentication NegotiateAction neg_act_user -domain AAA.LOCAL -DomainUser « http://lbvs.AAA.local » -DomainUserPasswd <password>
  • Assurez-vous que les informations DomainUser correctes sont fournies. Vous pouvez rechercher le nom d’ouverture de session de l’utilisateur dans AD.