Citrix ADC

Négociation d’authentification

Comme pour les autres types de stratégies d’authentification, une stratégie d’authentification Négocier est composée d’une expression et d’une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et lui attribuez une priorité. Lorsque vous la liez, vous la définissez également comme stratégie principale ou secondaire.

Outre les fonctions d’authentification standard, la commande Négocier l’action peut désormais extraire les informations utilisateur d’un fichier keytab au lieu de vous obliger à entrer ces informations manuellement. Si un keytab comporte plusieurs SPN, l’authentification, l’autorisation et l’audit sélectionne le SPN correct. Vous pouvez configurer cette fonctionnalité à partir de la ligne de commande ou à l’aide de l’utilitaire de configuration.

Remarque

Ces instructions supposent que vous connaissez déjà le protocole LDAP et que vous avez déjà configuré le serveur d’authentification LDAP choisi.

Pour configurer l’authentification, l’autorisation et l’audit afin d’extraire les informations utilisateur d’un fichier keytab à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande appropriée :

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

Parameter description

  • name - Nom de l’action de négociation à utiliser.
  • domain - Nom de domaine du principal de service qui représente Citrix ADC.
  • DomainUser - Nom d’utilisateur du compte qui est mappé avec Citrix ADC principal. Cela peut être donné avec le domaine et le mot de passe lorsque le fichier keytab n’est pas disponible. Si le nom d’utilisateur est donné avec le fichier keytab, alors ce fichier keytab sera recherché pour les informations d’identification de cet utilisateur. Longueur maximale : 127
  • DomainUserPasswd - Mot de passe du compte qui est mappé au principal Citrix ADC.
  • DefaultAuthenticationGroup - Il s’agit du groupe par défaut qui est choisi lorsque l’authentification réussit en plus des groupes extraits. Longueur maximale : 63
  • keytab - Chemin d’accès au fichier keytab utilisé pour déchiffrer les tickets kerberos présentés à Citrix ADC. Si keytab n’est pas disponible, le domaine/nom d’utilisateur/mot de passe peut être spécifié dans la configuration de l’action de négociation. Longueur maximale : 127
  • NTLMPath - Chemin d’accès au site activé pour l’authentification NTLM, y compris le nom de domaine complet du serveur. Ceci est utilisé lorsque les clients reviennent à NTLM. Longueur maximale : 127

Pour configurer l’authentification, l’autorisation et l’audit afin d’extraire les informations utilisateur d’un fichier keytab à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé à la place de l’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic des applications > Authentification > Stratégies avancées > Actions > NEGOCIATE Actions.
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Si vous souhaitez créer une action Négocier, cliquez sur Ajouter.
    • Si vous souhaitez modifier une action Négocier existante, sélectionnez l’action dans le volet de données, puis cliquez sur Modifier .
  3. Si vous créez une action Négocier, dans la zone de texte Nom, tapez un nom pour votre nouvelle action. Le nom peut comporter entre un et 127 caractères et peut être composé de majuscules et minuscules, de chiffres et de tiret (-) et de trait de soulignement (_). Si vous modifiez une action Négocier existante, ignorez cette étape. Le nom est en lecture seule ; vous ne pouvez pas le modifier.
  4. Sous Négocier, si la case Utiliser le fichier Keytab n’est pas déjà cochée, cochez-la.
  5. Dans la zone de texte Chemin d’accès au fichier Keytab, tapez le chemin d’accès complet et le nom de fichier du keytab que vous souhaitez utiliser.
  6. Dans la zone de texte Groupe d’authentification par défaut, tapez le groupe d’authentification que vous souhaitez définir par défaut pour cet utilisateur.
  7. Cliquez sur Créer ou sur OK pour enregistrer vos modifications.

Points à noter lorsque les chiffrements avancés sont utilisés pour l’authentification Kerberos

  • Exemple de configuration lorsque keytab est utilisé : add authentication negotiateAction neg_act_aes256 -keytab “/nsconfig/krb/lbvs_aes256.keytab”
  • Utilisez la commande suivante lorsque keytab a plusieurs types de chiffrement. La commande capture en outre les paramètres utilisateur du domaine : add authentication negotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
  • Utilisez les commandes suivantes lorsque les informations d’identification de l’utilisateur sont utilisées : add authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “HTTP/lbvs.aaa.local” -domainUserPasswd <password>
  • Assurez-vous que les informations DomainUser correctes sont fournies. Vous pouvez rechercher le nom d’ouverture de session de l’utilisateur dans AD.