Citrix ADC

Authentification serveur virtuel

Le serveur virtuel de gestion du trafic (équilibrage de charge ou commutation de contenu) redirige toutes les demandes d’authentification vers le serveur virtuel d’authentification. Ce serveur virtuel traite les stratégies d’authentification associées et donne donc accès à l’application.

Remarque : Vous ne pouvez pas lier les stratégies de gestion du trafic aux serveurs virtuels d’authentification, d’autorisation et d’audit.

Configurer le serveur virtuel d’authentification

Les étapes de configuration d’un serveur virtuel d’authentification sont les suivantes :

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit.

    enable ns feature AAA
    <!--NeedCopy-->
    
  2. Configurez un serveur virtuel d’authentification. Il doit être de type SSL et assurez-vous de lier la paire de clés de certificat SSL au serveur virtuel.

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    <!--NeedCopy-->
    
  3. Spécifiez le nom de domaine complet du domaine pour le serveur virtuel d’authentification.

    set authentication vserver <name> -authenticationDomain <FQDN>
    <!--NeedCopy-->
    
  4. Associez le serveur virtuel d’authentification au serveur virtuel de gestion du trafic concerné.

    Points à noter :

    • Le nom de domaine complet du serveur virtuel de gestion du trafic doit se trouver dans le même domaine que le nom de domaine complet du serveur virtuel d’authentification pour que le cookie de session de domaine fonctionne correctement. Sur le serveur virtuel de gestion du trafic :
      • Activez l’authentification.
      • Spécifiez le nom de domaine complet du serveur virtuel d’authentification en tant qu’hôte d’authentification du serveur virtuel de gestion du trafic.
      • [Facultatif] Spécifiez le domaine d’authentification sur le serveur virtuel de gestion du trafic.
      • Si vous ne configurez pas le domaine d’authentification, l’appliance affecte un nom de domaine complet constitué du nom de domaine complet du serveur virtuel d’authentification sans la partie nom d’hôte. Par exemple, si le nom de domaine du serveur virtuel d’authentification est tm.xyz.bar.com, l’appliance affecte xyz.bar.com comme domaine d’authentification.
        • Pour l’équilibrage de charge :
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
         <!--NeedCopy-->
        
        • Pour le changement de contenu :
         set cs vserver <name> <protocol> <IPAddress> <port>
         <!--NeedCopy-->
        
    • Si vous devez définir un cookie à l’échelle du domaine pour un domaine d’authentification, vous devez activer le profil d’authentification sur un serveur virtuel d’équilibrage de charge.
  5. Vérifiez que les deux serveurs virtuels sont actifs et configurés correctement.

    show authentication vserver <name>
    <!--NeedCopy-->
    

Pour configurer un serveur virtuel d’authentification à l’aide de l’interface graphique

  1. Activez la fonctionnalité d’authentification, d’autorisation et d’audit.

    Accédez à Système > Paramètres, cliquez sur Configurer les fonctionnalités de baseet activez l’authentification, l’autorisation et l’audit.

  2. Configurez le serveur virtuel d’authentification.

    Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels, puis configurez le cas échéant.

  3. Configurez le serveur virtuel de gestion du trafic pour l’authentification.

    • Pour l’équilibrage de charge :

      Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis configurez le serveur virtuel selon vos besoins.

    • Pour le changement de contenu :

      Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuels, puis configurez le serveur virtuel selon vos besoins.

    • Vérifiez la configuration de l’authentification.

      Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels, puis vérifiez les détails du serveur virtuel d’authentification correspondant.

Configurez le serveur virtuel d’authentification

Pour configurer l’authentification, l’autorisation et l’audit, configurez d’abord un serveur virtuel d’authentification pour gérer le trafic d’authentification. Ensuite, liez une paire de clés de certificat SSL au serveur virtuel pour lui permettre de gérer les connexions SSL. Pour plus d’informations sur la configuration de SSL et la création d’une paire de clés de certificat, voir Certificats SSL.

Configurer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande

Pour configurer un serveur virtuel d’authentification et vérifier la configuration, à l’invite de commandes, tapez les commandes suivantes dans le même ordre :

add authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

Exemple :

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

set authentication vserver Auth-Vserver-2

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

Remarque

Le paramètre Authentication Domain est obsolète. Utilisez le profil d’authentification pour définir des cookies à l’échelle du domaine.

Configuration d’un serveur virtuel d’authentification à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :

    • Pour créer un nouveau serveur virtuel d’authentification, cliquez sur Ajouter.
    • Pour modifier un serveur virtuel d’authentification existant, sélectionnez le serveur virtuel, puis cliquez sur Modifier. La boîte de dialogue Configuration s’ouvre avec la zone Paramètres de base développée.
  3. Spécifiez les valeurs des paramètres comme suit (un astérisque indique un paramètre obligatoire) :

    • Nom* : nom (ne peut pas être modifié pour un serveur virtuel créé précédemment)
    • Type d’adresse IP* : type d’adresse IP du serveur virtuel d’authentification
    • Adresse IP* : adresse IP du serveur virtuel d’authentification
    • PORT* : port TCP sur lequel le serveur virtuel accepte les connexions.
    • Failed login timeout : failedLoginTimeout (secondes autorisées avant l’échec de la connexion, et l’utilisateur doit recommencer le processus de connexion.)
    • Tentatives de connexion maximales : maxLoginAttempts (nombre de tentatives de connexion autorisées avant que l’utilisateur ne soit verrouillé)

    Remarque :

    Le serveur virtuel d’authentification utilise uniquement le protocole SSL et le port 443. Ces options sont donc grisées. Toutes les options qui ne sont pas mentionnées peuvent être ignorées.

  4. Cliquez sur Continuer pour afficher la zone Certificats.
  5. Dans la zone Certificats, configurez tous les certificats SSL que vous souhaitez utiliser avec ce serveur virtuel.

    • Pour configurer un certificat d’autorité de certification, cliquez sur la flèche à droite de Certificat d’autorité de certification pour afficher la boîte de dialogue Clé de certificat d’autorité de certification, sélectionnez le certificat que vous souhaitez lier à ce serveur virtuel, puis cliquez sur Enregistrer.
    • Pour configurer un certificat de serveur, cliquez sur la flèche à droite de Certificat de serveur et suivez le même processus que pour le certificat d’autorité de certification.
  6. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification avancées .
  7. Si vous souhaitez lier une stratégie d’authentification avancée au serveur virtuel, cliquez sur la flèche située à droite de la ligne pour afficher la boîte de dialogue Stratégie d’authentification, choisissez la stratégie à lier au serveur, définissez la priorité, puis cliquez sur OK.
  8. Cliquez sur Continuer pour afficher la zone Stratégies d’authentification de base .
  9. Si vous souhaitez créer une stratégie d’authentification de base et la lier au serveur virtuel, cliquez sur le signe plus pour afficher la boîte de dialogue Stratégies, puis suivez les invites pour configurer la stratégie et la lier à ce serveur virtuel.
  10. Cliquez sur Continuer pour afficher la zone Serveurs virtuels 401.
  11. Dans la zone Serveurs virtuels 401, configurez tous les serveurs virtuels d’équilibrage de charge ou de commutation de contenu que vous souhaitez lier à ce serveur virtuel.

    • Pour lier un serveur virtuel d’équilibrage de charge, cliquez sur la flèche située à droite du serveur virtuel d’équilibrage de charge pour afficher la boîte de dialogue Serveurs virtuels d’équilibrage de charge, puis suivez les instructions.
    • Pour lier un serveur virtuel de commutation de contenu, cliquez sur la flèche située à droite du serveur virtuel de commutation de contenu pour afficher la boîte de dialogue Serveurs virtuels de commutation de contenu et suivez le même processus que pour lier un serveur virtuel de base de données.
  12. Si vous souhaitez créer ou configurer un groupe, dans la zone Groupes, cliquez sur la flèche pour afficher la boîte de dialogue Groupes, puis suivez les instructions.
  13. Vérifiez vos paramètres et, lorsque vous avez terminé, cliquez sur Terminé. La boîte de dialogue se ferme. Si vous avez créé un nouveau serveur virtuel d’authentification, il apparaît désormais dans la liste de la fenêtre Configuration .

Serveur virtuel de gestion du trafic

Après avoir créé et configuré votre serveur virtuel d’authentification, vous devez ensuite créer ou configurer un serveur virtuel de gestion du trafic et y associer votre serveur virtuel d’authentification. Vous pouvez utiliser un serveur virtuel d’équilibrage de charge ou de commutation de contenu pour un serveur virtuel de gestion du trafic. Pour plus d’informations sur la création et la configuration de l’un ou l’autre type de serveur virtuel, reportez-vous au Guide Citrix Traffic Management dans Traffic Management.

Remarque :

le nom de domaine complet du serveur virtuel de gestion du trafic doit se trouver dans le même domaine que le nom de domaine complet du serveur virtuel d’authentification pour que le cookie de session de domaine fonctionne correctement.

Vous configurez un serveur virtuel de gestion du trafic pour l’authentification, l’autorisation et l’audit en activant l’authentification, puis en attribuant le nom de domaine complet du serveur d’authentification au serveur virtuel de gestion du trafic. Vous pouvez également configurer le domaine d’authentification sur le serveur virtuel de gestion du trafic actuellement. Si vous ne configurez pas cette option, l’appliance Citrix ADC attribue au serveur virtuel de gestion du trafic un nom de domaine complet qui se compose du nom de domaine complet du serveur virtuel d’authentification sans la partie du nom d’hôte. Par exemple, si le nom de domaine du serveur virtuel d’authentification est tm.xyz.bar.com, l’appliance affecte xyz.bar.com. comme domaine d’authentification.

Pour configurer un serveur virtuel de gestion du trafic à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez l’un des jeux de commandes suivants :

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

Exemple :

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

Pour configurer un serveur virtuel de gestion du trafic à l’aide de l’interface graphique

  1. Dans le volet de navigation, effectuez l’une des opérations suivantes.

    • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    • Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuels
    • Dans le volet d’informations, sélectionnez le serveur virtuel sur lequel vous souhaitez activer l’authentification, puis cliquez sur Modifier.
    • Dans la zone de texte Domaine, tapez le domaine d’authentification.
    • Dans le menu Avancé de droite, sélectionnez Authentification.
    • Sélectionnez Authentification basée sur un formulaire ou Authentificationbasée sur 401, puis renseignez les informations d’authentification.

      • Pour Authentification basée sur un formulaire, entrez le nom de domaine complet de l’authentification (nom de domaine complet du serveur d’authentification), le serveur virtuel d’authentification (l’adresse IP du serveur virtuel d’authentification) et le profil d’authentification (le profil à utiliser pour l’authentification).
      • Pour l’authentification basée sur 401, entrez le serveur virtuel d’authentification et le profil d’authentification uniquement.
    • Cliquez sur OK. Un message apparaît dans la barre d’état, indiquant que le serveur virtuel a été correctement configuré.

Prise en charge simplifiée du protocole de connexion pour l’authentification, l’autorisation et l’audit

Le protocole de connexion entre les serveurs virtuels d’authentification, d’autorisation et d’audit de gestion du trafic et les serveurs virtuels d’authentification, d’autorisation et d’audit est simplifié pour utiliser des mécanismes internes plutôt que d’envoyer les données chiffrées via des paramètres de requête. Cette fonctionnalité empêche la relecture des demandes.

Configurer le DNS

Pour que le cookie de session de domaine utilisé dans le processus d’authentification fonctionne correctement, vous devez configurer DNS pour affecter à la fois l’authentification et les serveurs virtuels de gestion du trafic aux FQDN dans le même domaine. Pour plus d’informations sur la configuration des enregistrements d’adresses DNS, voir Système de noms de domaine.

Vérifier l’authentification serveur virtuel

Après avoir configuré les serveurs virtuels d’authentification et de gestion du trafic et avant de créer des comptes d’utilisateurs, vous devez vérifier que les deux serveurs virtuels sont correctement configurés et qu’ils sont à l’état UP.

Configurer une authentification NoAuth à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

show authentication vserver <name>
<!--NeedCopy-->

Exemple :

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

Configurer une authentification NoAuth à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix ADC AAA - Trafic des applications > Serveurs virtuels. Remarque : Dans Citrix Gateway, accédez à Citrix Gateway > Serveurs virtuels.
  2. Consultez les informations du volet Serveurs virtuels AAA pour vérifier que votre configuration est correcte et que votre serveur virtuel d’authentification accepte le trafic. Vous pouvez sélectionner un serveur virtuel spécifique pour afficher des informations détaillées dans le volet de détails.