ADC

Configurer le protocole LDAP après avoir déchargé le protocole SSL vers un serveur virtuel d’équilibrage de charge

Dans une appliance NetScaler, le processus AAAD est utilisé pour effectuer une authentification de base telle que LDAP, RADIUS, TACACS pour l’accès à la gestion ou pour l’autorisation d’authentification et l’accès à la passerelle. Comme AAAD s’exécute sur le processeur de gestion, il peut y avoir des problèmes liés à des échecs d’authentification intermittents. Pour éviter ces défaillances, le serveur virtuel d’équilibrage de charge peut être utilisé pour décharger la fonctionnalité SSL d’AAAD.

Avantages du transfert du protocole SSL vers un serveur virtuel d’équilibrage de charge

  • Performances AAAD améliorées. Dans AAAD, pour chaque demande d’authentification pour le serveur LDAP de type SSL, une nouvelle session SSL est établie. Comme le processus AAAD s’exécute sur le processeur de gestion, l’établissement de la session SSL a un impact sur les performances lors de requêtes élevées adressées à l’AAAD. Le transfert de la fonctionnalité SSL vers un serveur virtuel d’équilibrage de charge améliore les performances du processus AAAD.
  • Rendez le certificat client au serveur. La bibliothèque LDAP cliente d’AAAD effectue uniquement la validation du certificat du serveur, il n’est pas possible de rendre le certificat client au serveur. Comme l’authentification mutuelle SSL nécessite le rendu du certificat client pour établir la connexion SSL, le transfert de la fonctionnalité SSL au serveur virtuel d’équilibrage de charge permet de restituer le certificat client au serveur.

Configurer le protocole LDAP après avoir déchargé le protocole SSL vers le serveur virtuel d’équilibrage de charge

Remarque : Une fois que vous avez créé une adresse IP de serveur virtuel d’équilibrage de charge pour LDAP et que vous avez pointé le serveur de requêtes LDAP vers l’adresse IP du serveur virtuel, le trafic provient du SNIP.

Conditions préalables

  • Assurez-vous que le protocole LDAP sécurisé est activé sur les contrôleurs de domaine que l’appliance NetScaler utilise pour l’authentification. Par défaut, avec une autorité de certification d’entreprise, tous les contrôleurs de domaine s’inscrivent pour obtenir un certificat à l’aide du modèle de certificat de contrôleur de domaine.
  • Assurez-vous que le protocole LDAP sécurisé fonctionne en utilisant le fichier ldp.exe et en vous connectant au contrôleur de domaine via le port 636 et le protocole SSL.

Configurer LDAP après avoir déchargé le protocole SSL vers le serveur virtuel d’équilibrage de charge à l’aide de l’interface graphique

  1. Créez un service d’équilibrage de charge avec le protocole défini sur SSL_TCP.

    • Accédez à Gestion du trafic > Équilibrage de charge > Services et cliquez sur Ajouter.
    • Spécifiez l’adresse IP du contrôleur de domaine et définissez le numéro de port sur 636.
    • Cliquez sur OK.

    Créer un service

  2. Créez un serveur virtuel d’équilibrage de charge pour le service d’équilibrage de charge LDAPS.

    1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    2. Définissez le protocole sur TCP, entrez l’adresse IP, définissez le port sur 636, puis cliquez sur OK.

    Créer un serveur virtuel d'équilibrage de charge

  3. Liez le service LDAPS au serveur virtuel d’équilibrage de charge.

    • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    • Sélectionnez le serveur virtuel LDAP. La page Serveur virtuel d’équilibrage de charge s’affiche.
    • Dans la section Services et groupes de services, cliquez sur Aucune liaison de service de serveur virtuel d’équilibrage de charge. La page Service Binding s’affiche.
    • Sélectionnez le service d’équilibrage de charge. Mettez à jour les autres champs obligatoires et cliquez sur Lier.
    • Cliquez sur Terminé.
  4. Modifiez maintenant le serveur de stratégies d’authentification LDAP pour qu’il pointe vers le serveur virtuel d’équilibrage de charge pour un LDAP sécurisé. Le type de sécurité doit être PLAINTEXT.

    1. Accédez à NetScaler Gateway > Stratégies > Authentification > LDAP.
    2. Sélectionnez le serveur LDAP et cliquez sur Modifier.
    3. Remplacez l’adresse IP par l’adresse VIP LDAPS hébergée sur l’appliance NetScaler créée précédemment.
    4. Changez le type de sécurité en PLAINTEXT, changez le port en 636, cochez la case Autoriser la modification du mot de passe, si nécessaire (SLDAP autorise les modifications de mot de passe).
    5. Cliquez sur Tester la connectivité réseau pour vérifier la connectivité.
    6. Cliquez sur OK.

    Changer le texte brut en SSL Vous pouvez consulter le tableau de bord d’authentification pour vérifier que l’état du serveur LDAP est activé. Consultez également les journaux d’authentification pour vérifier que l’authentification fonctionne comme prévu.

Configurer LDAP après avoir déchargé le protocole SSL vers le serveur virtuel d’équilibrage de charge à l’aide de l’interface de ligne de commande

  1. Configurez un serveur LDAP pour le processus AAAD. L’exemple de configuration suivant établit la connexion SSL avec un serveur virtuel d’équilibrage de charge sans authentification mutuelle SSL.

    add authentication ldapAction ldap_act -serverIP 1.1.12.12 -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -ldapLoginName samAccountName
    <!--NeedCopy-->
    
  2. Configurez un serveur virtuel d’équilibrage de charge pour le serveur virtuel LDAP. Le serveur virtuel d’équilibrage de charge est de type TCP.

    add lb vserver ldaps TCP 1.1.1.12 636 -persistenceType NONE -cltTimeout 9000
    <!--NeedCopy-->
    
  3. Configurez un service pour le serveur virtuel d’équilibrage de charge. Le type de service est SSL-TCP.

    add service ldaps 1.1.10.1 SSL_TCP 636
    <!--NeedCopy-->
    
  4. Configurez un certificat CA pour le service et définissez le paramètre « ServerAuth » pour la validation du certificat du serveur.

    bind ssl service ldaps -certkeyName ca-cert -CA
    set ssl service ldaps -serverAuth enabled
    <!--NeedCopy-->
    
  5. Joignez le certificat au service rendu au serveur LDAP.

    bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication]
    <!--NeedCopy-->
    
  6. Liez le service au serveur virtuel d’équilibrage de charge.

    bind lb vserver ldaps ldaps
    <!--NeedCopy-->
    
Configurer le protocole LDAP après avoir déchargé le protocole SSL vers un serveur virtuel d’équilibrage de charge