Citrix ADC

Authentification serveur virtuel

Le serveur virtuel de gestion du trafic (équilibrage de charge ou commutation de contenu) redirige toutes les demandes d’authentification vers le serveur virtuel d’authentification. Ce serveur virtuel traite les stratégies d’authentification associées et donne donc accès à l’application.

Remarque : vous ne pouvez pas lier les stratégies de gestion du trafic à l’authentification, à l’autorisation et à l’audit des serveurs virtuels.

Configurer le serveur virtuel d’authentification

Les étapes de la configuration d’un serveur virtuel d’authentification sont les suivantes :

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit.

    ` enable ns feature AAA ``

  2. Configurez un serveur virtuel d’authentification. Il doit être de type SSL et assurez-vous de lier la paire de clés de certificat-clé SSL au serveur virtuel.

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    
  3. Spécifiez le nom de domaine complet du domaine pour le serveur virtuel d’authentification.

    set authentication vserver <name> -authenticationDomain <FQDN>
    
  4. Associez le serveur virtuel d’authentification au serveur virtuel de gestion du trafic concerné.

    Points à noter :

    • Le nom de domaine complet du serveur virtuel de gestion du trafic doit se trouver dans le même domaine que le nom de domaine complet du serveur virtuel d’authentification pour que le cookie de session de domaine fonctionne correctement. Sur le serveur virtuel de gestion du trafic :
      • Activer l’authentification.
      • Spécifiez le nom de domaine complet du serveur virtuel d’authentification en tant qu’hôte d’authentification du serveur virtuel de gestion du trafic.
      • [Facultatif]Spécifiez le domaine d’authentification sur le serveur virtuel de gestion du trafic.
      • Si vous ne configurez pas le domaine d’authentification, l’appliance affecte un nom de domaine complet constitué du nom de domaine complet du serveur virtuel d’authentification sans la partie nom d’hôte. Par exemple, si le nom de domaine du serveur virtuel d’authentification est tm.xyz.bar.com, l’appliance affecte xyz.bar.com comme domaine d’authentification.
        • Pour l’équilibrage de charge :
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
        
        • Pour la commutation de contenu :
         set cs vserver <name> <protocol> <IPAddress> <port>
        
    • Si vous devez définir un cookie à l’échelle du domaine pour un domaine d’authentification, vous devez activer le profil d’authentification sur un serveur virtuel d’équilibrage de charge.
  5. Vérifiez que les deux serveurs virtuels sont UP et configurez correctement.

    show authentication vserver <name>
    

Pour configurer un serveur virtuel d’authentification à l’aide de l’interface graphique

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit.

    Accédez à Système > Paramètres, cliquez sur Configurer les fonctionnalités de baseet activez l’authentification, l’autorisation et l’audit.

  2. Configurez le serveur virtuel d’authentification.

    Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuelset configurez si nécessaire.

  3. Configurez le serveur virtuel de gestion du trafic pour l’authentification.

    • Pour l’équilibrage de charge :

      Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuelset configurez le serveur virtuel selon vos besoins.

    • Pour la commutation de contenu :

      Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuelset configurez le serveur virtuel selon vos besoins.

    • Vérifiez la configuration de l’authentification.

      Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuelset vérifiez les détails du serveur virtuel d’authentification approprié.

Configurer le serveur virtuel d’authentification

Pour configurer l’authentification, l’autorisation et l’audit, configurez d’abord un serveur virtuel d’authentification pour gérer le trafic d’authentification. Ensuite, liez une paire de clés de certificat SSL au serveur virtuel pour lui permettre de gérer les connexions SSL. Pour plus d’informations sur la configuration de SSL et la création d’une paire de clés de certificat, reportez-vous à la section Certificats SSL.

Configurer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande

Pour configurer un serveur virtuel d’authentification et vérifier la configuration, à l’invite de commandes, tapez les commandes suivantes dans le même ordre :

dd authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>

Exemple :

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

Remarque

Le paramètre Authentication Domain est obsolète. Utilisez le profil d’authentification pour définir les cookies à l’échelle du domaine.

Configurer un serveur virtuel d’authentification à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :

    • Pour créer un serveur virtuel d’authentification, cliquez sur Ajouter.
    • Pour modifier un serveur virtuel d’authentification existant, sélectionnez le serveur virtuel, puis cliquez sur Modifier. La boîte de dialogue Configuration s’ouvre avec la zone Paramètres de base développée.
  3. Spécifiez les valeurs des paramètres comme suit (l’astérisque indique un paramètre obligatoire) :

    • nom*—name (Impossible de changer pour un serveur virtuel créé précédemment)
    • Type d’adresse IP* : type d’adresse IP du serveur virtuel d’authentification
    • Adresse IP*—adresse IP du serveur virtuel d’authentification
    • port*—port TCP sur lequel le serveur virtuel accepte les connexions.
    • Échec du délai de connexion : a échoué LoginMeout (secondes autorisées avant l’échec de la connexion, et l’utilisateur doit recommencer le processus de connexion.)
    • Nombre maximal de tentatives de connexion—maxLoginAttempts (Nombre de tentatives de connexion autorisées avant le verrouillage de l’utilisateur)

    Remarque :

    Le serveur virtuel d’authentification utilise uniquement le protocole SSL et le port 443, de sorte que ces options sont grisées. Toutes les options qui ne sont pas mentionnées peuvent être ignorées.

  4. Cliquez sur Continuer pour afficher la zone Certificats.
  5. Dans la zone Certificats, configurez tous les certificats SSL que vous souhaitez utiliser avec ce serveur virtuel.

    • Pour configurer un certificat d’autorité de certification, cliquez sur la flèche située à droite de Certificat d’autorité de certification pour afficher la boîte de dialogue Clé de certification, sélectionnez le certificat que vous souhaitez lier à ce serveur virtuel, puis cliquez sur Enregistrer.
    • Pour configurer un certificat de serveur, cliquez sur la flèche à droite de Certificat de serveur et suivez le même processus que pour le certificat de l’autorité de certification.
  6. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification avancées .
  7. Si vous souhaitez lier une stratégie d’authentification avancée au serveur virtuel, cliquez sur la flèche située à droite de la ligne pour afficher la boîte de dialogue Stratégie d’authentification, choisissez la stratégie que vous souhaitez lier au serveur, définissez la priorité, puis cliquez sur OK.
  8. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification de base .
  9. Si vous souhaitez créer une stratégie d’authentification de base et la lier au serveur virtuel, cliquez sur le signe plus pour afficher la boîte de dialogue Stratégies, puis suivez les invites pour configurer la stratégie et la lier à ce serveur virtuel.
  10. Cliquez sur Continuer pour afficher la zone Serveurs virtuels basés sur 401.
  11. Dans la zone Serveurs virtuels basés sur 401, configurez tous les serveurs virtuels d’équilibrage de charge ou de commutation de contenu que vous souhaitez lier à ce serveur virtuel.

    • Pour lier un serveur virtuel d’équilibrage de charge, cliquez sur la flèche à droite du serveur virtuel d’équilibrage de charge pour afficher la boîte de dialogue Serveurs virtuels d’équilibrage de charge et suivez les instructions.
    • Pour lier un serveur virtuel de commutation de contenu, cliquez sur la flèche à droite du serveur virtuel de commutation de contenu pour afficher la boîte de dialogue Serveurs virtuels de commutation de contenu et suivez le même processus que pour lier un serveur virtuel LB.
  12. Si vous souhaitez créer ou configurer un groupe, dans la zone Groupes, cliquez sur la flèche pour afficher la boîte de dialogue Groupes et suivez les invites.
  13. Vérifiez vos paramètres et lorsque vous avez terminé, cliquez sur Terminé. La boîte de dialogue se ferme. Si vous avez créé un nouveau serveur virtuel d’authentification, il apparaît maintenant dans la liste de la fenêtre Configuration .

Serveur virtuel de gestion du trafic

Après avoir créé et configuré votre serveur virtuel d’authentification, vous créez ou configurez ensuite un serveur virtuel de gestion du trafic et vous y associez votre serveur virtuel d’authentification. Vous pouvez utiliser un serveur virtuel d’équilibrage de charge ou de commutation de contenu pour un serveur virtuel de gestion du trafic. Pour plus d’informations sur la création et la configuration de l’un ou l’autre type de serveur virtuel, consultez le Guide de gestion du trafic Citrix à l’adresse Gestion du trafic.

Remarque :

le nom de domaine complet du serveur virtuel de gestion du trafic doit se trouver dans le même domaine que le nom de domaine complet du serveur virtuel d’authentification pour que le cookie de session de domaine fonctionne correctement.

Vous configurez un serveur virtuel de gestion du trafic pour l’authentification, l’autorisation et l’audit en activant l’authentification, puis en affectant le nom de domaine complet du serveur d’authentification au serveur virtuel de gestion du trafic. Vous pouvez également configurer le domaine d’authentification sur le serveur virtuel de gestion du trafic actuellement. Si vous ne configurez pas cette option, l’appliance Citrix ADC attribue au serveur virtuel de gestion du trafic un nom de domaine complet composé du nom de domaine complet du serveur virtuel d’authentification sans la partie nom d’hôte. Par exemple, si le nom de domaine du serveur virtuel d’authentification est tm.xyz.bar.com, l’appliance affecte xyz.bar.com. comme domaine d’authentification.

Pour configurer un serveur virtuel de gestion du trafic à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez l’un des ensembles de commandes suivants :

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>

Exemple :

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done

Pour configurer un serveur virtuel de gestion du trafic à l’aide de l’interface graphique

  1. Dans le volet de navigation, effectuez l’une des opérations suivantes.

    • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    • Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuels
    • Dans le volet d’informations, sélectionnez le serveur virtuel sur lequel vous souhaitez activer l’authentification, puis cliquez sur Modifier.
    • Dans la zone de texte Domaine, tapez le domaine d’authentification.
    • Dans le menu Avancé à droite, sélectionnez Authentification .
    • Choisissez Authentification basée sur le formulaire ou Authentification basée sur 401 et remplissez les informations d’authentification.

      • Pour l’authentification basée sur le formulaire, entrez le nom de domaine complet d’authentification (nom de domaine complet du serveur d’authentification), le serveur virtuel d’authentification (l’adresse IP du serveur virtuel d’authentification) et le profil d’authentification (le profil à utiliser pour l’authentification).
      • Pour l’authentification basée sur 401, entrez le serveur virtuel d’authentification et le profil d’authentification uniquement.
    • Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que le serveur virtuel a été configuré correctement.

Prise en charge simplifiée du protocole de connexion pour l’authentification, l’autorisation et l’audit

Le protocole de connexion entre l’authentification, l’autorisation et l’audit des serveurs virtuels de gestion du trafic et des serveurs virtuels d’authentification, d’autorisation et d’audit est simplifié pour utiliser des mécanismes internes par opposition à l’envoi des données chiffrées via des paramètres de requête. Grâce à cette fonctionnalité, la réexécution des requêtes est empêchée.

Configurer le DNS

Pour que le cookie de session de domaine utilisé dans le processus d’authentification fonctionne correctement, vous devez configurer DNS pour affecter à la fois l’authentification et les serveurs virtuels de gestion du trafic aux FQDN dans le même domaine. Pour plus d’informations sur la configuration des enregistrements d’adresse DNS, reportez-vous à la sectionSystème de noms de domaine.

Vérifier l’authentification serveur virtuel

Après avoir configuré les serveurs virtuels d’authentification et de gestion du trafic et avant de créer des comptes d’utilisateurs, vous devez vérifier que les deux serveurs virtuels sont correctement configurés et sont dans l’état UP.

Configurer une authentification NoAuth à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

show authentication vserver <name>

Exemple :

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done

Configurer une authentification NoAuth à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix ADC AAA - Trafic des applications > Serveurs virtuels. Remarque : à partir de Citrix Gateway, accédez à Citrix Gateway > Serveurs virtuels.
  2. Vérifiez les informations du volet Serveurs virtuels AAA pour vérifier que votre configuration est correcte et que votre serveur virtuel d’authentification accepte le trafic. Vous pouvez sélectionner un serveur virtuel spécifique pour afficher des informations détaillées dans le volet d’informations.