Citrix ADC

Configurer l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion

Vous pouvez configurer l’ouverture de session de l’utilisateur sur l’appliance Citrix ADC à l’aide des informations d’identification Active Directory (nom d’utilisateur et mot de passe) à des fins de gestion (superutilisateur, lecture seule, privilèges réseau, etc.).

Conditions préalables

  • Serveurs de contrôleur de domaine Windows Active Directory
  • Un groupe de domaines dédié aux administrateurs NetScaler
  • Citrix Gateway 10.1 et versions ultérieures

Les figures suivantes illustrent l’authentification LDAP sur l’appliance Citrix ADC.

Authentification LDAP à des fins de gestion

Étapes de configuration de haut niveau

  1. Créer un serveur LDAP
  2. Créer une stratégie LDAP
  3. Lier la stratégie LDAP
  4. Attribuez des privilèges à vos administrateurs de l’une des manières suivantes
    • Appliquer des privilèges sur le groupe
    • Appliquer des privilèges individuellement pour chaque utilisateur

Créer un serveur LDAP d’authentification

  1. Accédez à Système > Authentification > LDAP.
  2. Cliquez sur l’onglet Serveur, puis cliquez sur Ajouter.
  3. Terminez la configuration, puis cliquez sur Créer.

Serveur d'authentification LDAP

Remarque :

dans cet exemple, l’accès est limité à l’appliance Citrix ADC en filtrant l’authentification sur l’appartenance au groupe d’utilisateurs en définissant le filtre de recherche. La valeur utilisée pour cet exemple est - & (memberOf=CN=NSG_admin, OU=AdminGroups, DC=Citrix, DC=lab)

Créer une stratégie LDAP

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Cliquez sur Ajouter.
  3. Entrez un nom pour la stratégie, sélectionnez le serveur que vous avez créé au cours des étapes précédentes.
  4. Dans le champ de texte Expression, entrez l’expression appropriée, puis cliquez sur Créer.

Stratégie d'authentification LDAP

Lier la politique LDAP à l’échelle mondiale

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Dans la page Stratégies d’authentification, cliquez sur Liaisons globales.
  3. Sélectionnez la stratégie que vous avez créée (dans cet exemple, Pol_LDAPMgmt).
  4. Choisissez une priorité en conséquence (plus le nombre est bas, plus la priorité est élevée)
  5. Cliquez sur Liaison, puis Terminé. Une coche verte apparaît dans la colonne Bound Bound.

Lier la stratégie d'authentification LDAP globalement

Attribuer des privilèges à vos administrateurs

Vous pouvez choisir l’une des deux options suivantes.

  • Appliquer des privilèges sur un groupe : ajoutez un groupe dans l’appliance Citrix ADC et attribuez les mêmes droits d’accès à chaque utilisateur qui est membre de ce groupe.
  • Appliquer des privilèges individuellement pour chaque utilisateur : créez chaque compte d’administrateur utilisateur et attribuez des droits à chacun d’eux.

Appliquer des privilèges sur un groupe

Lorsque vous appliquez des privilèges sur un groupe, les utilisateurs membres du groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC et disposer d’une stratégie de commande de superutilisateur.

  1. Accédez à Système > Administration des utilisateurs > Groupes.
  2. Entrez les détails selon l’exigence, puis cliquez sur Créer.

Créer un groupe d'utilisateurs et attribuer des privilèges

Vous avez défini le groupe Active Directory auquel appartiennent les utilisateurs ainsi que le niveau de stratégie de commande qui doit être associé au compte lors de la connexion. Vous pouvez ajouter de nouveaux utilisateurs administrateur au groupe LDAP que vous avez configuré dans le filtre de recherche.

Remarque :

le nom du groupe doit correspondre à l’enregistrement Active Directory.

Appliquer des privilèges individuellement pour chaque utilisateur

Dans ce scénario, les utilisateurs qui sont membres de votre groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC mais ne disposent pas de privilèges tant que vous n’avez pas créé l’utilisateur spécifique sur l’appliance Citrix ADC et y lier la stratégie de commande.

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Cliquez sur Ajouter.
  3. Entrez les détails selon le besoin.

    Remarque : veillez à sélectionner Activer l’authentification externe.

Créer un utilisateur et attribuer des privilèges

  1. Cliquez sur Continuer.

Vous avez défini l’utilisateur Active Directory et le niveau de stratégie de commande qui doivent être associés au compte lors de la connexion.

Remarque :

  • Le nom d’utilisateur doit correspondre à l’enregistrement Active Directory de l’utilisateur existant.
  • Lorsque vous ajoutez un utilisateur à Citrix ADC pour l’authentification externe, vous devez fournir un mot de passe, si l’authentification externe n’est pas disponible. Pour que l’authentification externe fonctionne correctement, le mot de passe interne ne doit pas être le même que le mot de passe LDAP du compte d’utilisateur.

Ajouter une stratégie de commande à l’utilisateur

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Sélectionnez l’utilisateur que vous avez créé, puis cliquez sur Modifier.
  3. Dans Liaisons, cliquez sur Stratégie de commande système.
  4. Sélectionnez la stratégie de commande appropriée à appliquer à votre utilisateur.
  5. Cliquez sur Lier, puis sur Fermer.

Lier la stratégie de commande à l'utilisateur

Pour ajouter d’autres administrateurs ;

  • Ajoutez les utilisateurs administrateur au groupe LDAP que vous avez configuré dans le filtre de recherche.
  • Créez l’utilisateur système dans Citrix ADC et attribuez la stratégie de commande correcte.

Pour configurer l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion à l’aide de l’interface de ligne de commande

Utilisez les commandes suivantes comme référence pour configurer la connexion d’un groupe disposant de privilèges de superutilisateur sur l’interface de ligne de commande Citrix ADC Appliance CLI.

  1. Créer un serveur LDAP

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    
  2. Créer et stratégie LDAP

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    
  3. Liaison de la stratégie LDAP

    bind system global pol_LDAPmgmt -priority 110
    
  4. Attribuer des privilèges à vos administrateurs

    • Pour appliquer des privilèges sur le groupe
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    
    • Pour appliquer des privilèges individuellement à chaque utilisateur
    add system user admyoa
    bind system user admyoa superuser 100