Citrix ADC

L’authentification Web

L’authentification, l’autorisation et l’audit permettent désormais d’authentifier un utilisateur auprès d’un serveur Web, en fournissant les informations d’identification requises par le serveur Web dans une requête HTTP et en analysant la réponse du serveur Web pour déterminer si l’authentification de l’utilisateur a réussi. Comme pour les autres types de stratégies d’authentification, une stratégie d’authentification Web est composée d’une expression et d’une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et vous lui attribuez une priorité. Lorsque vous la liez, vous la désignez également en tant que stratégie principale ou secondaire.

Pour configurer l’authentification Web avec un serveur Web spécifique, vous devez d’abord créer une action d’authentification Web. Étant donné que l’authentification sur les serveurs Web n’utilise pas de format rigide, vous devez spécifier exactement quelles informations le serveur Web a besoin et dans quel format lors de la création de l’action. Pour ce faire, vous créez une expression dans la stratégie avancée de l’appliance Citrix ADC qui contient les éléments suivants :

  • IP du serveur : adresse IP du serveur Web d’authentification.
  • Port du serveur : port du serveur Web d’authentification.
  • Règle d’authentification : expression dans la stratégie avancée de l’appliance Citrix ADC qui contient les informations d’identification de l’utilisateur dans le format attendu par le serveur Web.
  • Scheme—HTTP (pour l’authentification Web non chiffrée) ou HTTPS (pour l’authentification Web cryptée).
  • Règle de réussite : expression dans la stratégie avancée de l’appliance Citrix ADC qui correspond à la chaîne de réponse du serveur Web qui indique que l’utilisateur s’est authentifié avec succès.

Pour tous les autres paramètres, suivez les règles normales de la commande d’ajout d’une action d’authentification.

Vous créez ensuite une stratégie associée à cette action. La stratégie est similaire à une stratégie LDAP, et comme les stratégies LDAP, elle utilise la syntaxe de l’appliance Citrix ADC.

Remarque

Ces instructions supposent que vous connaissez déjà les exigences d’authentification du ou des serveurs Web sur lesquels vous souhaitez vous authentifier et que vous avez déjà configuré le serveur d’authentification Web.

Pour configurer une action d’authentification Web à l’aide de l’interface de ligne de commande

Pour créer une action d’authentification Web sur la ligne de commande, tapez la commande suivante sur la ligne de commande :

add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->

Exemple

add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"

add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"

add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->

Pour configurer une action d’authentification Web à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé au lieu d’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > LDAP.
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Si vous souhaitez créer une nouvelle action d’authentification Web, cliquez sur Ajouter.
    • Si vous souhaitez modifier une action d’authentification Web existante, sélectionnez l’action dans le volet de données, puis cliquez sur Modifier.
  3. Si vous créez une nouvelle action d’authentification Web, dans la boîte de dialogue Créer un serveur Web d’authentification, zone de texte Nom, tapez un nom pour la nouvelle action d’authentification Web. Le nom peut comporter de un à 127 caractères et peut être composé de lettres majuscules et minuscules, de chiffres et de traits d’union (-) et de traits de soulignement (_). Si vous modifiez une action d’authentification Web existante, ignorez cette étape. Le nom est en lecture seule ; vous ne pouvez pas le modifier.</span>
  4. Dans la zone de texte Adresse IP du serveur Web, tapez l’adresse IP IPv4 ou IPv6 du serveur Web d’authentification. Si l’adresse est une adresse IP IPv6, cochez d’abord la case IPv6.
  5. Dans la zone de texte Port, tapez le numéro de port sur lequel le serveur Web accepte les connexions.
  6. Sélectionnez HTTP ou HTTPS dans la liste déroulante Protocole .
  7. Dans la zone de texte Expression de demande HTTP, tapez une expression régulière au format PCRE qui crée la demande de serveur Web qui contient les informations d’identification de l’utilisateur dans le format exact attendu par le serveur Web d’authentification.
  8. Dans la zone de texte Expression pour valider l’authentification, tapez une expression de stratégie avancée de l’appliance Citrix ADC qui décrit les informations contenues dans la réponse du serveur Web indiquant que l’authentification de l’utilisateur a réussi.
  9. Remplissez les champs restants comme décrit dans la documentation générale des actions d’authentification.
  10. Cliquez sur OK.