Citrix ADC

Configuration de l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion

Vous pouvez configurer l’ouverture de session utilisateur à l’appliance Citrix ADC à l’aide des informations d’identification Active Directory (nom d’utilisateur et mot de passe) à des fins de gestion (superutilisateur, lecture seule, privilèges réseau et tous les autres).

Conditions préalables

  • Serveurs de contrôleurs de domaine Windows Active Directory
  • Un groupe de domaines dédié pour les administrateurs NetScaler
  • Citrix Gateway 10.1 et versions ultérieures

Les figures suivantes illustrent l’authentification LDAP sur l’appliance Citrix ADC.

Processus d'authentification LDAP à des fins de gestion

Étapes de configuration de haut niveau

  1. Création d’un serveur LDAP
  2. Création d’une stratégie LDAP
  3. Lier la stratégie LDAP
  4. Attribuez des privilèges à vos administrateurs de l’une des manières suivantes :
    • Appliquer les privilèges sur le groupe
    • Appliquer des privilèges individuellement pour chaque utilisateur

Création d’un serveur LDAP d’authentification

  1. Accédez à Système > Authentification > LDAP.
  2. Cliquez sur l’onglet Serveur, puis sur Ajouter.
  3. Terminez la configuration, puis cliquez sur Créer.

serveur d'authentification LDAP

Remarque :

Dans cet exemple, l’accès est limité à l’appliance Citrix ADC en filtrant l’authentification sur l’appartenance au groupe d’utilisateurs en définissant le filtre de recherche. La valeur utilisée pour cet exemple est - & (memberof=CN=NSG_Admin, OU=AdminGroups, DC=Citrix, DC=Lab)

Création d’une stratégie LDAP

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Cliquez sur Ajouter.
  3. Entrez un nom pour la stratégie, sélectionnez le serveur que vous avez créé au cours des étapes précédentes.
  4. Dans le champ de texte Expression, saisissez l’expression appropriée, puis cliquez sur Créer.

Stratégie d'authentification LDAP

Liez la stratégie LDAP globalement

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Dans la page Stratégies d’authentification, cliquez sur Liaisons globales.
  3. Sélectionnez la stratégie que vous avez créée (dans cet exemple, POL_LDAPMgmt).
  4. Choisissez une priorité en conséquence (plus le nombre est bas, plus la priorité est élevée)
  5. Cliquez sur Lier, puis sur Terminé. Une coche verte apparaît dans la colonne Globally Bound .

Lier la stratégie d'authentification LDAP globalement

Attribuez des privilèges à vos administrateurs

Vous pouvez choisir l’une des deux options suivantes.

  • Appliquer des privilèges sur un groupe : ajoutez un groupe dans l’appliance Citrix ADC et attribuez les mêmes droits d’accès à chaque utilisateur membre de ce groupe.
  • Appliquez des privilèges individuellement pour chaque utilisateur : créez chaque compte administrateur utilisateur et attribuez des droits à chacun d’eux.

Appliquer des privilèges sur un groupe

Lorsque vous appliquez des privilèges à un groupe, les utilisateurs qui sont membres du groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC et avoir une stratégie de commande de superutilisateur.

  1. Accédez à Système > Administration des utilisateurs > Groupes.
  2. Entrez les détails conformément à la condition requise, puis cliquez sur Créer.

Création d'un groupe d'utilisateurs et attribution de privilèges

Vous avez défini le groupe Active Directory auquel appartiennent les utilisateurs ainsi que le niveau de stratégie de commande qui doit être associé au compte lors de la connexion. Vous pouvez ajouter de nouveaux utilisateurs administrateurs au groupe LDAP que vous avez configuré dans le filtre de recherche.

Remarque :

Le nom du groupe doit correspondre à l’enregistrement Active Directory.

Appliquer des privilèges individuellement pour chaque utilisateur

Dans ce scénario, les utilisateurs qui sont membres de votre groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC mais ne disposent d’aucun privilège tant que vous n’avez pas créé l’utilisateur spécifique sur l’appliance Citrix ADC et n’y avez pas lié la stratégie de commande.

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Cliquez sur Ajouter.
  3. Entrez les détails conformément au besoin.

    Remarque : Assurez-vous de sélectionner Activer l’authentification externe.

Créer un utilisateur et attribuer des privilèges

  1. Cliquez sur Continuer.

Vous avez défini l’utilisateur Active Directory et le niveau de stratégie de commande qui doit être associé au compte lors de la connexion.

Remarque :

  • Le nom d’utilisateur doit correspondre à l’enregistrement Active Directory de l’utilisateur existant.
  • Lorsque vous ajoutez un utilisateur à Citrix ADC pour l’authentification externe, vous devez fournir un mot de passe, si l’authentification externe n’est pas disponible. Pour que l’authentification externe fonctionne correctement, le mot de passe interne ne doit pas être identique au mot de passe LDAP du compte d’utilisateur.

Ajouter une stratégie de commande à l’utilisateur

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Sélectionnez l’utilisateur que vous avez créé, puis cliquez sur Modifier.
  3. Dans Liaisons, cliquez sur Stratégie de commande système.
  4. Sélectionnez la stratégie de commande appropriée à appliquer à votre utilisateur.
  5. Cliquez sur Lier, puis sur Fermer.

Stratégie de commande Lier à l'utilisateur

Pour ajouter d’autres administrateurs ;

  • Ajoutez les utilisateurs administrateurs au groupe LDAP que vous avez configuré sur le filtre de recherche.
  • Créez l’utilisateur système dans Citrix ADC et attribuez la stratégie de commande appropriée.

Pour configurer l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion à l’aide de l’interface de ligne de commande

Utilisez les commandes suivantes comme référence pour configurer l’ouverture de session pour un groupe avec des privilèges de superutilisateur sur l’interface de ligne de commande de l’appliance Citrix ADC.

  1. Création d’un serveur LDAP

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    <!--NeedCopy-->
    
  2. Création et stratégie LDAP

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    <!--NeedCopy-->
    
  3. Liaison de la stratégie LDAP

    bind system global pol_LDAPmgmt -priority 110
    <!--NeedCopy-->
    
  4. Attribuez des privilèges à vos administrateurs

    • Pour appliquer des privilèges au groupe
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    <!--NeedCopy-->
    
    • Pour appliquer des privilèges individuellement à chaque utilisateur
    add system user admyoa
    bind system user admyoa superuser 100
    <!--NeedCopy-->