Configurer le protocole LDAP après avoir déchargé le protocole SSL vers un serveur virtuel d’équilibrage de charge
Dans une appliance Citrix ADC, le processus AAAD est utilisé pour effectuer une authentification de base telle que LDAP, RADIUS, TACACS pour l’accès à la gestion ou l’autorisation d’authentification et l’accès à la passerelle. Comme AAAD s’exécute sur le processeur de gestion, il peut y avoir des problèmes liés à des échecs d’authentification intermittents. Pour éviter ces défaillances, le serveur virtuel d’équilibrage de charge peut être utilisé pour décharger la fonctionnalité SSL d’AAAD.
Avantages du transfert du protocole SSL vers un serveur virtuel d’équilibrage de charge
- Performances AAAD améliorées. Dans AAAD, pour chaque demande d’authentification pour le serveur LDAP de type SSL, une nouvelle session SSL est établie. Comme le processus AAAD s’exécute sur le processeur de gestion, l’établissement de la session SSL a un impact sur les performances lors de requêtes élevées adressées à l’AAAD. Le transfert de la fonctionnalité SSL vers un serveur virtuel d’équilibrage de charge améliore les performances du processus AAAD.
- Rendez le certificat client au serveur. La bibliothèque LDAP cliente d’AAAD effectue uniquement la validation du certificat du serveur, il n’est pas possible de rendre le certificat client au serveur. Comme l’authentification mutuelle SSL nécessite le rendu du certificat client pour établir la connexion SSL, le transfert de la fonctionnalité SSL au serveur virtuel d’équilibrage de charge permet de restituer le certificat client au serveur.
Configurer le protocole LDAP après avoir déchargé le protocole SSL vers le serveur virtuel d’équilibrage de charge
Remarque : Une fois que vous avez créé une adresse IP de serveur virtuel d’équilibrage de charge pour LDAP et que vous avez pointé le serveur de requêtes LDAP vers l’adresse IP du serveur virtuel, le trafic provient du SNIP.
Conditions préalables
- Assurez-vous que le protocole LDAP sécurisé est activé sur les contrôleurs de domaine que l’appliance Citrix ADC utilise pour l’authentification. Par défaut, avec une autorité de certification d’entreprise, tous les contrôleurs de domaine s’inscrivent pour obtenir un certificat à l’aide du modèle de certificat de contrôleur de domaine.
- Assurez-vous que le protocole LDAP sécurisé fonctionne en utilisant le fichier ldp.exe et en vous connectant au contrôleur de domaine via le port 636 et le protocole SSL.
Étapes pour configurer le protocole LDAP après avoir déchargé le protocole SSL vers le serveur virtuel d’équilibrage de charge
-
Créez un groupe de services d’équilibrage de charge avec le protocole défini sur TCP. Accédez à Gestion du trafic > Équilibrage de charge > Groupes de services et cliquez sur Ajouter.
-
Ajoutez le contrôleur de domaine en tant que membre du groupe de services. Entrez l’adresse IP du contrôleur de domaine, définissez le port sur 636, puis cliquez sur Créer.
-
Créez un serveur virtuel d’équilibrage de charge pour LDAPS.
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
- Définissez le protocole sur TCP, entrez l’adresse IP, définissez le port sur 636, puis cliquez sur OK.
-
Liez le groupe de services LDAPS au serveur virtuel.
- Cliquez sur Liaison de groupe de services Virtual Server sans équilibrage de charge.
- Sélectionnez le groupe de services et cliquez sur Bind. Vérifiez que le serveur virtuel s’affiche en mode UP.
-
Modifiez maintenant le serveur de politique d’authentification LDAP pour qu’il pointe vers le serveur virtuel d’équilibrage de charge pour un LDAP sécurisé. Le type de sécurité doit être PLAINTEXT.
- Accédez à Citrix Gateway > Politiques > Authentification > LDAP.
- Sélectionnez le serveur LDAP et cliquez sur Modifier.
- Modifiez l’adresse IP en adresse VIP LDAPS hébergée sur l’appliance Citrix ADC créée précédemment.
- Changez le type de sécurité en PLAINTEXT, changez le port en 636, cochez la case Autoriser la modification du mot de passe, si nécessaire (SLDAP autorise les modifications de mot de passe).
- Cliquez sur Tester la connectivité réseau pour vérifier la connectivité.
- Cliquez sur OK.
Vous pouvez consulter le tableau de bord d’authentification pour vérifier que l’état du serveur LDAP est activé. Consultez également les journaux d’authentification pour vérifier que l’authentification fonctionne comme prévu.
Exemple de configuration CLI
-
Configurez un serveur LDAP pour le processus AAAD. L’exemple de configuration suivant établit la connexion SSL avec un serveur virtuel d’équilibrage de charge sans authentification mutuelle SSL.
add authentication ldapAction ldap_act -serverIP <LB-VIP> -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN <!--NeedCopy--> -
Configurez un serveur virtuel d’équilibrage de charge pour le serveur virtuel LDAP. Le serveur virtuel d’équilibrage de charge est de type TCP.
add lb vserver ldaps TCP <LB-VIP> 636 -persistenceType NONE -cltTimeout 9000 <!--NeedCopy--> -
Configurez un service pour le serveur virtuel d’équilibrage de charge. Le type de service est SSL-TCP.
add service ldaps <LDAP-IP> SSL_TCP 636 <!--NeedCopy--> -
Configurez un certificat CA pour le service et définissez le paramètre « ServerAuth » pour la validation du certificat du serveur.
bind ssl service ldaps -certkeyName ca-cert -CA set ssl service ldaps -serverAuth enabled <!--NeedCopy--> -
Joignez le certificat au service rendu au serveur LDAP.
bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication] <!--NeedCopy--> -
Liez le service au serveur virtuel d’équilibrage de charge.
bind lb vserver ldaps ldaps <!--NeedCopy-->